Entiteiten toevoegen aan bedreigingsinformatie in Microsoft Sentinel

• Geldt voor:

  Microsoft Sentinel in the Azure portal

Tijdens een onderzoek onderzoekt u entiteiten en hun context als een belangrijk onderdeel van het begrijpen van het bereik en de aard van een incident. Wanneer u een entiteit ontdekt als een schadelijke domeinnaam, URL, bestand of IP-adres in het incident, moet deze worden gelabeld en bijgehouden als een indicator van inbreuk (IOC) in uw bedreigingsinformatie.

U kunt bijvoorbeeld een IP-adres detecteren dat poortscans uitvoert in uw netwerk of werkt als een opdracht- en beheerknooppunt door verzendingen van grote aantallen knooppunten in uw netwerk te verzenden en/of te ontvangen.

Met Microsoft Sentinel kunt u deze typen entiteiten markeren vanuit uw incidentonderzoek en deze toevoegen aan uw bedreigingsinformatie. U kunt de toegevoegde indicatoren bekijken in Logboeken en Bedreigingsinformatie en deze gebruiken in uw Microsoft Sentinel-werkruimte.

Een entiteit toevoegen aan uw bedreigingsinformatie

De pagina Incidentdetails en de onderzoeksgrafiek bieden u twee manieren om entiteiten toe te voegen aan bedreigingsinformatie.

Details van incident

1. Selecteer incidenten in het menu Microsoft Sentinel in de sectie Bedreigingsbeheer .

2. Selecteer een incident dat u wilt onderzoeken. Selecteer in het deelvenster Details van incident de optie Volledige details weergeven om de pagina Details van het incident te openen.

3. Zoek in het deelvenster Entiteiten de entiteit die u wilt toevoegen als bedreigingsindicator. (U kunt de lijst filteren of een zoektekenreeks invoeren om deze te vinden.)

   

4. Selecteer de drie puntjes rechts van de entiteit en selecteer Toevoegen aan TI in het snelmenu.

   Voeg alleen de volgende typen entiteiten toe als bedreigingsindicatoren:

   • Domeinnaam
   • IP-adres (IPv4 en IPv6)
   • URL
   • Bestand (hash)

   

Onderzoeksgrafiek

De onderzoeksgrafiek is een visueel, intuïtief hulpprogramma dat verbindingen en patronen presenteert en uw analisten in staat stelt om de juiste vragen te stellen en leads te volgen. Gebruik deze functie om entiteiten toe te voegen aan uw lijsten met bedreigingsinformatie door ze beschikbaar te maken in uw werkruimte.

1. Selecteer incidenten in het menu Microsoft Sentinel in de sectie Bedreigingsbeheer .

2. Selecteer een incident dat u wilt onderzoeken. Selecteer acties in het deelvenster Incidentdetails en kies Onderzoeken in het snelmenu om de onderzoeksgrafiek te openen.

   

3. Selecteer de entiteit in de grafiek die u als bedreigingsindicator wilt toevoegen. Selecteer Toevoegen aan TI in het zijvenster dat wordt geopend.

   Voeg alleen de volgende typen entiteiten toe als bedreigingsindicatoren:

   • Domeinnaam
   • IP-adres (IPv4 en IPv6)
   • URL
   • Bestand (hash)

   

Welke van de twee interfaces u kiest, u komt hier terecht.

1. Het zijvenster Nieuwe indicator wordt geopend. De volgende velden worden automatisch ingevuld:

   • Typen

     • Het type indicator dat wordt vertegenwoordigd door de entiteit die u toevoegt.
       • Vervolgkeuzelijst met mogelijke waarden: , , , , fileen domain-name. URLipv6-addripv4-addr
     • Vereist. Automatisch ingevuld op basis van het entiteitstype.

   • Value

     • De naam van dit veld verandert dynamisch in het geselecteerde indicatortype.
     • De waarde van de indicator zelf.
     • Vereist. Automatisch ingevuld door de entiteitswaarde.

   • Tags

     • Tags met vrije tekst die u aan de indicator kunt toevoegen.
     • Optioneel. Automatisch ingevuld door de incident-id. U kunt anderen toevoegen.

   • Naam

     • Naam van de indicator. Deze naam wordt weergegeven in uw lijst met indicatoren.
     • Optioneel. Automatisch ingevuld door de naam van het incident.

   • Gemaakt door

     • Maker van de indicator.
     • Optioneel. Automatisch ingevuld door de gebruiker die zich heeft aangemeld bij Microsoft Sentinel.

   Vul de resterende velden dienovereenkomstig in.

   • Bedreigingstypen

     • Het bedreigingstype dat wordt vertegenwoordigd door de indicator.
     • Optioneel. Vrije tekst.

   • Beschrijving

     • Beschrijving van de indicator.
     • Optioneel. Vrije tekst.

   • Ingetrokken

     • Ingetrokken status van de indicator. Schakel het selectievakje in om de indicator in te trekken. Schakel het selectievakje uit om het actief te maken.
     • Optioneel. Booleaans.

   • Betrouwbaarheid

     • Score die het vertrouwen weerspiegelt in de juistheid van de gegevens, met procent.
     • Optioneel. Geheel getal, 1-100.

   • Kill chains

     • Fasen in de Lockheed Martin Cyber Kill Chain waaraan de indicator overeenkomt.
     • Optioneel. Vrije tekst.

   • Geldig vanaf

     • De tijd van waaruit deze indicator als geldig wordt beschouwd.
     • Vereist. Datum/tijd.

   • Geldig tot

     • Het tijdstip waarop deze indicator niet langer als geldig moet worden beschouwd.
     • Optioneel. Datum/tijd.

   

2. Wanneer alle velden naar tevredenheid zijn ingevuld, selecteert u Toepassen. Er wordt een bericht weergegeven in de rechterbovenhoek om te bevestigen dat uw indicator is gemaakt.

3. De entiteit wordt toegevoegd als een bedreigingsindicator in uw werkruimte. U vindt deze in de lijst met indicatoren op de pagina Bedreigingsinformatie. U kunt deze ook vinden in de tabel ThreatIntelligenceIndicators in Logboeken.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u entiteiten toevoegt aan uw lijsten met bedreigingsindicatoren. Raadpleeg voor meer informatie de volgende artikelen:

• Incidenten onderzoeken met Microsoft Sentinel
• Informatie over bedreigingsinformatie in Microsoft Sentinel
• Werken met bedreigingsindicatoren in Microsoft Sentinel