Training voor microsoft Sentinel-vaardigheden
In dit artikel wordt u begeleid bij een training op niveau 400 om u te helpen bij het ontwikkelen van vaardigheden in Microsoft Sentinel. De training bestaat uit 21 modules in eigen tempo die relevante productdocumentatie, blogberichten en andere bronnen presenteren.
De modules die hier worden vermeld, zijn onderverdeeld in vijf onderdelen na de levenscyclus van een Security Operation Center (SOC):
- Module 0: Andere leer- en ondersteuningsopties
- Module 1: Aan de slag met Microsoft Sentinel
- Module 2: Hoe wordt Microsoft Sentinel gebruikt?
Deel 2: Ontwerpen en implementeren
- Module 3: Werkruimte- en tenantarchitectuur
- Module 4: Gegevensverzameling
- Module 5: Logboekbeheer
- Module 6: Verrijking: Bedreigingsinformatie, volglijsten en meer
- Module 7: Logboektransformatie
- Module 8: Migratie
- Module 9: Geavanceerd SIEM-informatiemodel en normalisatie
- Module 10: Kusto-querytaal
- Module 11: Analyse
- Module 12: SOAR implementeren
- Module 13: Werkmappen, rapportage en visualisatie
- Module 14: Notebooks
- Module 15: Use cases en oplossingen
- Module 16: Een dag in het leven van een SOC-analist, incidentbeheer en onderzoek
- Module 17: Opsporing
- Module 18: Analyse van gebruikers- en entiteitsgedrag (UEBA)
- Module 19: De status van Microsoft Sentinel bewaken
- Module 20: Uitbreiden en integreren met behulp van de Microsoft Sentinel-API's
- Module 21: Uw eigen machine learning bouwen
Deel 1: Overzicht
Module 0: Andere leer- en ondersteuningsopties
Deze training voor vaardigheden is een level-400-training die is gebaseerd op de Microsoft Sentinel Ninja-training. Als u niet zo diep wilt gaan of als u een specifiek probleem hebt om op te lossen, zijn andere resources mogelijk geschikter:
- Hoewel de vaardigheidstraining uitgebreid is, moet het natuurlijk een script volgen en kan niet worden uitgebreid op elk onderwerp. Raadpleeg de documentatie waarnaar wordt verwezen voor informatie over elk artikel.
- U kunt nu gecertificeerd worden met de nieuwe certificering SC-200: Microsoft Security Operations Analyst, die Betrekking heeft op Microsoft Sentinel. Voor een bredere weergave op een hoger niveau van de Microsoft Security Suite kunt u ook SC-900 overwegen : Microsoft Security, Compliance en Identity Fundamentals of AZ-500: Microsoft Azure Security Technologies.
- Als u al ervaring hebt met Microsoft Sentinel, houdt u bij wat er nieuw is of neemt u deel aan het microsoft Cloud Security Private Community-programma voor een eerdere weergave in toekomstige releases.
- Hebt u een functieidee om met ons te delen? Laat het ons weten op de stempagina van microsoft Sentinel-gebruikers.
- Bent u een premier klant? Misschien wilt u de on-site of externe, vierdaagse Microsoft Sentinel Fundamentals Workshop. Neem contact op met uw Customer Success Account Manager voor meer informatie.
- Hebt u een specifiek probleem? Vraag (of beantwoord anderen) in de Microsoft Sentinel Tech Community. Of u kunt uw vraag of probleem per e-mail naar ons sturen.MicrosoftSentinel@microsoft.com
Module 1: Aan de slag met Microsoft Sentinel
Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel levert beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Het biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Zie Wat is Microsoft Sentinel voor meer informatie.
Als u een eerste overzicht wilt krijgen van de technische mogelijkheden van Microsoft Sentinel, is de nieuwste Ignite-presentatie een goed uitgangspunt. Mogelijk vindt u ook de quickstartgids voor Microsoft Sentinel nuttig (siteregistratie is vereist).
Bekijk een gedetailleerder overzicht in deze Microsoft Sentinel-webinar: YouTube, MP4 of presentatie.
Wil je het zelf proberen? De Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 of presentatie) biedt een eenvoudige manier om aan de slag te gaan. Als u wilt weten hoe u aan de slag gaat, raadpleegt u de onboardingdocumentatie of bekijkt u de installatie- en configuratievideo van Microsoft Sentinel van Insight.
Leren van andere gebruikers
Duizenden organisaties en serviceproviders gebruiken Microsoft Sentinel. Zoals gebruikelijk bij beveiligingsproducten, gaan de meeste organisaties er niet openbaar over. Nog steeds zijn er een paar die:
- Zoek gebruiksvoorbeelden van openbare klanten.
- Stuart Gregg, Security Operations Manager bij ASOS, heeft een veel gedetailleerdere blogpost gepost van de Microsoft Sentinel-ervaring, gericht op opsporing.
Leren van analisten
- Azure Sentinel bereikt een leader-plaatsing in Forrester Wave, met de hoogste rangorde in strategie
- Microsoft noemde een Visionary in het Magic Quadrant 2021 voor SIEM voor Microsoft Sentinel
Module 2: Hoe wordt Microsoft Sentinel gebruikt?
Veel organisaties gebruiken Microsoft Sentinel als primaire SIEM. De meeste modules in deze cursus hebben betrekking op deze use-case. In deze module presenteren we een aantal extra manieren om Microsoft Sentinel te gebruiken.
Als onderdeel van de Microsoft-beveiligingsstack
Gebruik Microsoft Sentinel, Microsoft Defender voor Cloud en Microsoft Defender XDR samen om uw Microsoft-workloads te beveiligen, waaronder Windows, Azure en Office:
- Lees meer over onze uitgebreide SIEM+XDR-oplossing die Microsoft Sentinel en Microsoft Defender XDR combineert.
- Lees het Azure Security-kompas (nu aanbevolen procedures voor Microsoft-beveiliging) om inzicht te hebben in de Microsoft-blauwdruk voor uw beveiligingsbewerkingen.
- Lees en bekijk hoe een dergelijke installatie helpt bij het detecteren en reageren op een WebShell-aanval: blog- of videodemo.
- Bekijk de webinar Better Together 'OT- en IOT-aanvalsdetectie, -onderzoek en -reactie'.
Uw workloads met meerdere clouds bewaken
De cloud is (nog) nieuw en wordt vaak niet zo uitgebreid bewaakt als on-premises workloads. Lees deze presentatie voor meer informatie over hoe Microsoft Sentinel u kan helpen de kloof tussen cloudbewaking in uw clouds te sluiten.
Naast uw bestaande SIEM
Als u Microsoft Sentinel gebruikt voor uw cloudworkloads, gebruikt u mogelijk Microsoft Sentinel naast uw bestaande SIEM voor een overgangsperiode of langere termijn. Mogelijk gebruikt u ook beide met een ticketsysteem, zoals Service Now.
Bekijk de migratie webinar: YouTube, MP4 of presentatie voor meer informatie over het migreren van een andere SIEM naar Microsoft Sentinel.
Er zijn drie veelvoorkomende scenario's voor implementatie naast elkaar:
Als u een ticketsysteem in uw SOC hebt, kunt u het beste waarschuwingen of incidenten van beide SIEM-systemen verzenden naar een ticketsysteem zoals Service Now. Voorbeelden hiervan zijn het gebruik van bidirectionele synchronisatie van Microsoft Sentinel-incidenten met ServiceNow of het verzenden van waarschuwingen die zijn verrijkt met ondersteunende gebeurtenissen van Microsoft Sentinel naar externe SIEM's.
In eerste instantie verzenden veel gebruikers waarschuwingen van Microsoft Sentinel naar hun on-premises SIEM. Zie Waarschuwingen verzenden die zijn verrijkt met ondersteunende gebeurtenissen van Microsoft Sentinel naar externe SIEM's voor meer informatie.
Naarmate Microsoft Sentinel in de loop van de tijd meer werkbelastingen omvat, zou u normaal gesproken de richting omkeren en waarschuwingen verzenden van uw on-premises SIEM naar Microsoft Sentinel. Hiervoor doet u het volgende:
- Zie Voor Splunk gegevens en belangrijke gebeurtenissen verzenden van Splunk naar Microsoft Sentinel.
- Zie QRadar-overtredingen verzenden naar Microsoft Sentinel voor QRadar.
- Zie Common Event Format (CEF) doorsturen voor ArcSight.
U kunt de waarschuwingen van Microsoft Sentinel ook verzenden naar uw SIEM- of ticketsysteem van derden met behulp van graph beveiligings-API. Deze benadering is eenvoudiger, maar het is niet mogelijk om andere gegevens te verzenden.
Voor MSSP's
Omdat het de installatiekosten elimineert en locatieneutraal is, is Microsoft Sentinel een populaire keuze voor het leveren van SIEM als een service. Zoek een lijst met MISA (Microsoft Intelligent Security Association) lid-beheerde beveiligingsserviceproviders (MSSP's) die gebruikmaken van Microsoft Sentinel. Veel andere MSSP's, met name regionale en kleinere, gebruiken Microsoft Sentinel, maar zijn geen MISA-leden.
Lees de Microsoft Sentinel Technical Playbooks voor MSSP's om uw traject als MSSP te starten. Meer informatie over MSSP-ondersteuning is opgenomen in de volgende module, die betrekking heeft op cloudarchitectuur en ondersteuning voor meerdere tenants.
Deel 2: Ontwerpen en implementeren
Hoewel 'Deel 1: Overzicht' manieren biedt om Microsoft Sentinel binnen enkele minuten te gaan gebruiken, is het belangrijk om een plan te maken voordat u een productie-implementatie start.
In deze sectie wordt u begeleid bij het ontwerpen van uw oplossing en vindt u richtlijnen voor het implementeren van uw ontwerp:
- Werkruimte- en tenantarchitectuur
- Gegevens verzamelen
- Logboekbeheer
- Overname van bedreigingsinformatie
Module 3: Werkruimte- en tenantarchitectuur
Een Microsoft Sentinel-exemplaar wordt een werkruimte genoemd. De werkruimte is hetzelfde als een Log Analytics-werkruimte en biedt ondersteuning voor alle Log Analytics-mogelijkheden. U kunt Microsoft Sentinel beschouwen als een oplossing waarmee SIEM-functies worden toegevoegd boven op een Log Analytics-werkruimte.
Meerdere werkruimten zijn vaak nodig en kunnen samenwerken als één Microsoft Sentinel-systeem. Een speciale use case is het leveren van een service met behulp van Microsoft Sentinel (bijvoorbeeld door een MSSP (Managed Security Service Provider) of door een Global SOC in een grote organisatie.
Zie Microsoft Sentinel uitbreiden naar werkruimten en tenants of bekijk de webinar: YouTube, MP4 of presentatie voor meer informatie over het gebruik van meerdere werkruimten als één Microsoft Sentinel-systeem.
Houd rekening met het volgende wanneer u meerdere werkruimten gebruikt:
- Een belangrijk stuurprogramma voor het gebruik van meerdere werkruimten is gegevenslocatie. Zie Microsoft Sentinel-gegevenslocatie voor meer informatie.
- Als u Microsoft Sentinel wilt implementeren en inhoud efficiënt wilt beheren in meerdere werkruimten, kunt u Microsoft Sentinel beheren als code met behulp van CI/CD-technologie (Continuous Integration/Continuous Delivery). Een aanbevolen best practice voor Microsoft Sentinel is het inschakelen van continue implementatie. Zie Continue implementatie systeemeigen inschakelen met Microsoft Sentinel-opslagplaatsen voor meer informatie.
- Wanneer u meerdere werkruimten als MSSP beheert, wilt u mogelijk de intellectuele eigendom van MSSP in Microsoft Sentinel beveiligen.
Het Microsoft Sentinel Technical Playbook voor MSSP's biedt gedetailleerde richtlijnen voor veel van deze onderwerpen en is handig voor grote organisaties, niet alleen voor MSSP's.
Module 4: Gegevensverzameling
De basis van een SIEM is het verzamelen van telemetriegegevens: gebeurtenissen, waarschuwingen en contextuele verrijkingsinformatie, zoals bedreigingsinformatie, gegevens over beveiligingsproblemen en assetgegevens. Hier volgt een lijst met bronnen waarnaar moet worden verwezen:
- Microsoft Sentinel-gegevensconnectors lezen.
- Ga naar Uw Microsoft Sentinel-gegevensconnector zoeken om alle ondersteunde en out-of-the-box gegevensconnectors te zien. Koppelingen naar algemene implementatieprocedures en extra stappen die vereist zijn voor specifieke connectors.
- Scenario's voor gegevensverzameling: meer informatie over verzamelingsmethoden zoals Logstash/CEF/WEF. Andere veelvoorkomende scenario's zijn machtigingenbeperking voor tabellen, logboekfiltering, het verzamelen van logboeken van Amazon Web Services (AWS) of Google Cloud Platform (GCP), Microsoft 365 onbewerkte logboeken, enzovoort. Alles vindt u in de webinar 'Scenario's voor gegevensverzameling': YouTube, MP4 of presentatie.
Het eerste stukje informatie dat u voor elke connector ziet, is de methode voor gegevensopname. De methode die wordt weergegeven, bevat een koppeling naar een van de volgende algemene implementatieprocedures, die de meeste informatie bevatten die u nodig hebt om uw gegevensbronnen te verbinden met Microsoft Sentinel:
Methode voor gegevensopname | Gekoppeld artikel |
---|---|
Integratie van Azure-service-naar-service | Verbinding maken met Azure-, Windows-, Microsoft- en Amazon-services |
Common Event Format (CEF) via Syslog | Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent |
Microsoft Sentinel Data Collector-API | Uw gegevensbron verbinden met de Microsoft Sentinel Data Collector-API om gegevens op te nemen |
Azure Functions en de REST API | Azure Functions gebruiken om Microsoft Sentinel te verbinden met uw gegevensbron |
Syslog | Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent |
Aangepaste logboeken | Aangepaste logboeken via AMA-gegevensconnector - Gegevensopname configureren naar Microsoft Sentinel vanuit specifieke toepassingen |
Als uw bron niet beschikbaar is, kunt u een aangepaste connector maken. Aangepaste connectors maken gebruik van de opname-API en zijn daarom vergelijkbaar met directe bronnen. U implementeert meestal aangepaste connectors met behulp van Azure Logic Apps, dat een optie zonder code of Azure Functions biedt.
Module 5: Logboekbeheer
De eerste architectuurbeslissing die u moet overwegen wanneer u Microsoft Sentinel configureert, is hoeveel werkruimten en welke u moet gebruiken. Andere beslissingen voor architectuur voor sleutellogboekbeheer zijn onder andere:
- Waar en hoe lang gegevens moeten worden bewaard.
- Hoe u de toegang tot gegevens het beste beheert en beveiligt.
Gegevens opnemen, archiveren, zoeken en herstellen in Microsoft Sentinel
Om aan de slag te gaan, bekijkt u de webinar 'Uw logboeklevenscyclus beheren met nieuwe methoden voor opname, archivering, zoeken en herstellen' .
Deze suite met functies bevat:
- Basisopnamelaag: een nieuwe prijscategorie voor Azure Monitor-logboeken waarmee u logboeken tegen lagere kosten kunt opnemen. Deze gegevens worden slechts acht dagen bewaard in de werkruimte.
- Archieflaag: Azure Monitor-logboeken hebben de retentiemogelijkheden uitgebreid van twee jaar tot zeven jaar. Met deze nieuwe laag kunt u gegevens maximaal zeven jaar bewaren in een voordelige gearchiveerde status.
- Zoektaken: zoektaken met beperkte KQL om alle relevante logboeken te zoeken en te retourneren. Deze taken zoeken gegevens in de analyselaag, de basislaag en gearchiveerde gegevens.
- Gegevensherstel: Een nieuwe functie waarmee u een gegevenstabel en een tijdsbereik kunt kiezen, zodat u gegevens kunt herstellen naar de werkruimte via een hersteltabel.
Zie Gegevens opnemen, archiveren, zoeken en herstellen in Microsoft Sentinel voor meer informatie over deze nieuwe functies.
Alternatieve bewaaropties buiten het Microsoft Sentinel-platform
Als u gegevens langer dan twee jaar wilt bewaren of de retentiekosten wilt verlagen, kunt u Overwegen Om Azure Data Explorer te gebruiken voor langetermijnretentie van Microsoft Sentinel-logboeken. Bekijk de webinardia's, webinaropnamen of blog.
Wilt u meer gedetailleerde informatie? Bekijk de webinar 'De breedte en dekking van opsporing van bedreigingen verbeteren met ADX-ondersteuning, meer entiteitstypen en bijgewerkte MITRE-integratie' .
Als u liever een andere langetermijnretentieoplossing hebt, raadpleegt u Exporteren vanuit Microsoft Sentinel/Log Analytics-werkruimte naar Azure Storage en Event Hubs of logboeken verplaatsen naar langetermijnopslag met behulp van Azure Logic Apps. Het voordeel van het gebruik van Logic Apps is dat historische gegevens kunnen worden geëxporteerd.
Ten slotte kunt u fijnmazige bewaarperioden instellen met behulp van instellingen voor retentie op tabelniveau. Zie Gegevensretentie en archiefbeleid configureren in Azure Monitor-logboeken (preview) voor meer informatie.
Logboekbeveiliging
Gebruik op rollen gebaseerd toegangsbeheer (RBAC) of RBAC op tabelniveau om meerdere teams in staat te stellen één werkruimte te gebruiken.
Verwijder indien nodig klantinhoud uit uw werkruimten.
Informatie over het controleren van werkruimtequery's en Microsoft Sentinel-gebruik met behulp van waarschuwingenwerkmappen en query's.
Gebruik privékoppelingen om ervoor te zorgen dat logboeken uw privénetwerk nooit verlaten.
Toegewezen cluster
Gebruik een toegewezen werkruimtecluster als de verwachte gegevensopname ongeveer of meer dan 500 GB per dag is. Met een toegewezen cluster kunt u resources beveiligen voor uw Microsoft Sentinel-gegevens, waardoor betere queryprestaties voor grote gegevenssets mogelijk zijn.
Module 6: Verrijking: Bedreigingsinformatie, volglijsten en meer
Een van de belangrijke functies van een SIEM is het toepassen van contextuele informatie op de gebeurtenisstoom, waarmee detectie, prioriteitstelling van waarschuwingen en incidentonderzoek mogelijk is. Contextuele informatie omvat bijvoorbeeld bedreigingsinformatie, IP-intelligentie, host- en gebruikersgegevens en volglijsten.
Microsoft Sentinel biedt uitgebreide hulpprogramma's voor het importeren, beheren en gebruiken van bedreigingsinformatie. Voor andere typen contextuele informatie biedt Microsoft Sentinel volglijsten en andere alternatieve oplossingen.
Informatie over bedreigingen
Bedreigingsinformatie is een belangrijke bouwsteen van een SIEM. Bekijk de webinar 'De kracht van bedreigingsinformatie verkennen in Microsoft Sentinel' .
In Microsoft Sentinel kunt u bedreigingsinformatie integreren met behulp van de ingebouwde connectors van TAXII-servers (Trusted Automated eXchange of Indicator Information) of via de Microsoft Graph-beveiligings-API. Zie Integratie van bedreigingsinformatie in Microsoft Sentinel voor meer informatie. Zie module 4: secties voor gegevensverzameling voor meer informatie over het importeren van bedreigingsinformatie.
Nadat deze is geïmporteerd, wordt bedreigingsinformatie uitgebreid gebruikt in Microsoft Sentinel. De volgende functies zijn gericht op het gebruik van bedreigingsinformatie:
Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken in het nieuwe gebied Bedreigingsinformatie van Microsoft Sentinel.
Gebruik de ingebouwde regelsjablonen voor bedreigingsinformatieanalyse om beveiligingswaarschuwingen en incidenten te genereren met behulp van uw geïmporteerde bedreigingsinformatie.
Visualiseer belangrijke informatie over uw bedreigingsinformatie in Microsoft Sentinel met behulp van de werkmap bedreigingsinformatie.
Bekijk de webinar 'Automate Your Microsoft Sentinel Triage Efforts with RiskIQ Threat Intelligence': YouTube of presentatie.
Kort op tijd? Bekijk de Ignite-sessie (28 minuten).
Wilt u meer gedetailleerde informatie? Bekijk de webinar 'Deep dive on threat intelligence': YouTube, MP4 of presentatie.
Watchlists en andere opzoekmechanismen
Microsoft Sentinel biedt volglijsten om elk type contextuele informatie te importeren en te beheren. Met behulp van volglijsten kunt u gegevenstabellen uploaden in CSV-indeling en deze gebruiken in uw KQL-query's. Zie Volglijsten gebruiken in Microsoft Sentinel voor meer informatie of bekijk de webinar 'Volglijsten gebruiken om waarschuwingen te beheren, vermoeidheid van waarschuwingen te verminderen en SOC-efficiëntie te verbeteren': YouTube of presentatie.
Volglijsten gebruiken om u te helpen bij de volgende scenario's:
Bedreigingen onderzoeken en snel reageren op incidenten: Importeer snel IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen voor volglijsten voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.
Zakelijke gegevens importeren als volglijst: importeer bijvoorbeeld lijsten met gebruikers met bevoegde systeemtoegang of beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken om te detecteren of te voorkomen dat die gebruikers zich aanmelden bij het netwerk.
Verminder de vermoeidheid van waarschuwingen: maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.
Gebeurtenisgegevens verrijken: gebruik volglijsten om uw gebeurtenisgegevens te verrijken met combinaties van naamwaarden die zijn afgeleid van externe gegevensbronnen.
Naast volglijsten kunt u de KQL-functie voor externe gegevens, aangepaste logboeken en KQL gebruiken om contextinformatie te beheren en op te vragen. Elk van de vier methoden heeft de voor- en nadelen en u kunt meer lezen over de vergelijkingen tussen deze methoden in het blogbericht 'Lookups implementeren in Microsoft Sentinel'. Hoewel elke methode verschillend is, is het gebruik van de resulterende informatie in uw query's vergelijkbaar en is het eenvoudig om ertussen te schakelen.
Zie Watchlists gebruiken om efficiëntie te stimuleren tijdens Microsoft Sentinel-onderzoeken voor ideeën over het gebruik van volglijsten buiten analytische regels.
Bekijk de webinar 'Volglijsten gebruiken om waarschuwingen te beheren, vermoeidheid van waarschuwingen te verminderen en SOC-efficiëntie te verbeteren': YouTube of presentatie.
Module 7: Logboektransformatie
Microsoft Sentinel ondersteunt twee nieuwe functies voor gegevensopname en transformatie. Deze functies, geleverd door Log Analytics, reageren op uw gegevens, zelfs voordat ze zijn opgeslagen in uw werkruimte. De functies zijn:
Logboekopname-API: gebruik deze api om logboeken met aangepaste indeling van elke gegevensbron naar uw Log Analytics-werkruimte te verzenden en deze logboeken vervolgens op te slaan in bepaalde specifieke standaardtabellen of in aangepaste tabellen die u maakt. U kunt de daadwerkelijke opname van deze logboeken uitvoeren met behulp van directe API-aanroepen. U kunt Azure Monitor-regels voor gegevensverzameling gebruiken om deze werkstromen te definiëren en te configureren.
Transformaties van werkruimtegegevens voor standaardlogboeken: er worden regels voor gegevensverzameling gebruikt om irrelevante gegevens te filteren, om uw gegevens te verrijken of te taggen, of om gevoelige of persoonlijke gegevens te verbergen. U kunt gegevenstransformatie bij opnametijd configureren voor de volgende typen ingebouwde gegevensconnectors:
- Gegevensconnectors op basis van Azure Monitor Agent (AMA) (Syslog en CEF | Windows DNS | Custom)
- Gegevensconnectors die diagnostische instellingen gebruiken
- Service-naar-service-gegevensconnectors
Zie voor meer informatie:
- Gegevens tijdens opnametijd transformeren of aanpassen in Microsoft Sentinel
- Uw Microsoft Sentinel-gegevensconnector zoeken
Module 8: Migratie
In veel (zo niet de meeste) gevallen hebt u al een SIEM en moet u migreren naar Microsoft Sentinel. Hoewel het misschien een goed moment is om opnieuw te beginnen en uw SIEM-implementatie te herzien, is het zinvol om enkele van de assets te gebruiken die u al in uw huidige implementatie hebt gebouwd. Bekijk de webinar 'Aanbevolen procedures voor het converteren van detectieregels' (van Splunk, QRadar en ArcSight naar Azure Microsoft Sentinel): YouTube, MP4, presentatie of blog.
Mogelijk bent u ook geïnteresseerd in de volgende bronnen:
- Splunk Search Processing Language (SPL) naar KQL-toewijzingen
- Voorbeelden van toewijzingsvoorbeelden voor ArcSight- en QRadar-regels
Module 9: Geavanceerd SIEM-informatiemodel en normalisatie
Het samenwerken met verschillende gegevenstypen en tabellen kan een uitdaging opleveren. U moet vertrouwd raken met deze gegevenstypen en schema's tijdens het schrijven en gebruiken van een unieke set analyseregels, werkmappen en opsporingsquery's. Het correleren van de gegevenstypen die nodig zijn voor onderzoek en opsporing kan ook lastig zijn.
Het Advanced SIEM-informatiemodel (ASIM) biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven. ASIM is afgestemd op het algemene informatiemodel voor opensource-beveiligingsgebeurtenissen (OSSEM) en bevordert leveranciersagnostische, industriebrede normalisatie. Bekijk de webinar 'Advanced SIEM information model (ASIM): Now built into Microsoft Sentinel' webinar: YouTube of presentatie.
De huidige implementatie is gebaseerd op normalisatie van querytijd, die gebruikmaakt van KQL-functies:
- Genormaliseerde schema's hebben betrekking op standaardsets met voorspelbare gebeurtenistypen die eenvoudig kunnen worden gebruikt en geïntegreerde mogelijkheden kunnen bouwen. Het schema definieert welke velden een gebeurtenis, een genormaliseerde naamgevingsconventie voor kolommen en een standaardindeling voor de veldwaarden moeten vertegenwoordigen.
- Bekijk de webinar 'Inzicht in normalisatie in Microsoft Sentinel': YouTube of presentatie.
- Bekijk de webinar 'Deep Dive into Microsoft Sentinel normalizing parsers and normalized content': YouTube, MP3 of presentation.
Parsers wijzen bestaande gegevens toe aan de genormaliseerde schema's. U implementeert parsers met behulp van KQL-functies. Bekijk de webinar 'ASIM uitbreiden en beheren: parsers ontwikkelen, testen en implementeren': YouTube of presentatie.
Inhoud voor elk genormaliseerd schema bevat analyseregels, werkmappen en opsporingsquery's. Deze inhoud werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken.
Het gebruik van ASIM biedt de volgende voordelen:
Detectie van meerdere bronnen: genormaliseerde analyseregels werken on-premises en in de cloud voor verschillende bronnen. De regels detecteren aanvallen, zoals beveiligingsaanvallen of onmogelijke reizen tussen systemen, waaronder Okta, AWS en Azure.
Hiermee staat u bronagnostische inhoud toe: Met behulp van ASIM wordt ingebouwde en aangepaste inhoud automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Procesanalyse ondersteunt bijvoorbeeld alle bronnen die een klant kan gebruiken om de gegevens in te voeren, waaronder Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon. We zijn klaar om Sysmon voor Linux en WEF toe te voegen wanneer deze is uitgebracht.
Ondersteuning voor uw aangepaste bronnen in ingebouwde analyses
Gebruiksgemak: analisten die ASIM leren, vinden het veel eenvoudiger om query's te schrijven, omdat de veldnamen altijd hetzelfde zijn.
Meer informatie over ASIM
Profiteer van deze resources:
Bekijk de overzichts webinar 'Inzicht in normalisatie in Azure Sentinel': YouTube of presentatie.
Bekijk de webinar 'Deep dive into Microsoft Sentinel normalizing parsers and normalized content': YouTube, MP3 of presentation.
Bekijk de webinar 'Turbocharge ASIM: zorg ervoor dat normalisatie de prestaties helpt in plaats van dit te beïnvloeden'-webinar: YouTube, MP4 of presentatie.
ASIM implementeren
Implementeer de parsers uit de mappen, te beginnen met 'ASIM*' in de map parsers op GitHub.
Analytische regels activeren die gebruikmaken van ASIM. Zoek normaal in de sjabloongalerie om er een aantal te vinden. Gebruik deze GitHub-zoekopdracht om de volledige lijst op te halen.
ASIM gebruiken
Gebruik de ASIM-opsporingsquery's van GitHub.
Gebruik ASIM-query's wanneer u KQL op het logboekscherm gebruikt.
Schrijf uw eigen analyseregels met behulp van ASIM of converteer bestaande regels.
Schrijf parsers voor uw aangepaste bronnen om ze compatibel te maken met ASIM en deel te nemen aan ingebouwde analyses.
Deel 3: Inhoud maken
Wat is Microsoft Sentinel-inhoud?
De waarde van Microsoft Sentinel-beveiliging is een combinatie van de ingebouwde mogelijkheden en uw mogelijkheid om aangepaste mogelijkheden te maken en de ingebouwde mogelijkheden aan te passen. Onder de ingebouwde mogelijkheden zijn er UEBA (User and Entity Behavior Analytics), machine learning- of out-of-box analytics-regels. Aangepaste mogelijkheden worden vaak 'inhoud' genoemd en bevatten analytische regels, opsporingsquery's, werkmappen, playbooks enzovoort.
In deze sectie hebben we de modules gegroepeerd die u helpen bij het maken van dergelijke inhoud of het wijzigen van ingebouwde inhoud naar uw behoeften. We beginnen met KQL, de microsoft sentinel van Azure. In de volgende modules wordt een van de bouwstenen voor inhoud besproken, zoals regels, playbooks en werkmappen. Ze worden verpakt door gebruiksvoorbeelden te bespreken, die elementen van verschillende typen omvatten die betrekking hebben op specifieke beveiligingsdoelen, zoals detectie van bedreigingen, opsporing of governance.
Module 10: Kusto-querytaal
De meeste Microsoft Sentinel-mogelijkheden maken gebruik van Kusto-querytaal (KQL). Wanneer u in uw logboeken zoekt, regels schrijft, opsporingsquery's maakt of werkmappen ontwerpt, gebruikt u KQL.
In de volgende sectie over het schrijven van regels wordt uitgelegd hoe u KQL gebruikt in de specifieke context van SIEM-regels.
Het aanbevolen traject voor het leren van Microsoft Sentinel KQL
Pluralsight KQL-cursus: geeft u de basisbeginselen
Must Learn KQL: een 20-delige KQL-serie die u begeleidt bij het maken van uw eerste analyseregel (inclusief een evaluatie en certificaat)
Het Microsoft Sentinel KQL Lab: een interactief lab dat KQL leert met een focus op wat u nodig hebt voor Microsoft Sentinel:
- Leermodule (SC-200 deel 4)
- Url van presentatie of lab
- Een Jupyter Notebooks-versie waarmee u de query's in het notebook kunt testen
- Trainings webinar: YouTube of MP4
- Webinar over laboplossingen bekijken: YouTube of MP4
Webinar 'Prestaties van Azure Microsoft Sentinel KQL-query's optimaliseren: YouTube, MP4 of presentatie
"ASIM gebruiken in uw KQL-query's": YouTube of presentatie
'KQL Framework voor Microsoft Sentinel: U in staat stellen KQL-savvy' webinar te worden: YouTube of presentatie
Naarmate u KQL leert, vindt u mogelijk ook de volgende verwijzingen nuttig:
Module 11: Analyse
Geplande analyseregels schrijven
Met Microsoft Sentinel kunt u ingebouwde regelsjablonen gebruiken, de sjablonen voor uw omgeving aanpassen of aangepaste regels maken. De kern van de regels is een KQL-query; Er is echter veel meer dan dat om in een regel te configureren.
Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie over de procedure voor het maken van regels. Bekijk de webinar: YouTube, MP4 of presentatie voor meer informatie over het schrijven van regels (wat in een regel moet gaan, waarbij u zich richt op KQL voor regels).
SIEM-analyseregels hebben specifieke patronen. Meer informatie over het implementeren van regels en het schrijven van KQL voor deze patronen:
Correlatieregels: Zie Lijsten en de operator 'in' gebruiken of de operator 'join' gebruiken
Aggregatie: Zie Lijsten en de operator 'in' gebruiken, of een meer geavanceerde patroonafhandeling van schuifvensters
Zoekacties: reguliere, of bij benadering, gedeeltelijke en gecombineerde zoekacties
Fout-positieven verwerken
Vertraagde gebeurtenissen: een feit van het leven in een SIEM en ze zijn moeilijk aan te pakken. Microsoft Sentinel kan u helpen bij het beperken van vertragingen in uw regels.
KQL-functies gebruiken als bouwstenen: Verrijken Windows-beveiliging gebeurtenissen met geparameteriseerde functies.
Het blogbericht 'Blob- en File Storage-onderzoeken' bevat een stapsgewijs voorbeeld van het schrijven van een nuttige analyseregel.
Ingebouwde analyses gebruiken
Voordat u begint met het schrijven van uw eigen regel, kunt u overwegen om te profiteren van de ingebouwde analysemogelijkheden. Ze hebben niet veel van je nodig, maar het is de moeite waard om ze te leren:
Gebruik de ingebouwde sjablonen voor geplande regels. U kunt deze sjablonen afstemmen door ze op dezelfde manier te wijzigen om een geplande regel te bewerken. Zorg ervoor dat u de sjablonen implementeert voor de gegevensconnectors die u verbindt, die worden vermeld op het tabblad Volgende stappen van de gegevensconnector.
Meer informatie over de machine learning-mogelijkheden van Microsoft Sentinel: YouTube, MP4 of presentatie.
Haal de lijst met geavanceerde detecties van aanvallen met meerdere fasen (Fusion) van Microsoft Sentinel op, die standaard zijn ingeschakeld.
Bekijk de webinar 'Fusion machine learning-detecties met geplande analyseregels': YouTube, MP4 of presentatie.
Meer informatie over ingebouwde SOC-machine learning-afwijkingen van Microsoft Sentinel.
Bekijk de webinar 'Aangepaste SOC-machine learning-afwijkingen en hoe u deze kunt gebruiken': YouTube, MP4 of presentatie.
Bekijk de webinar 'Fusion machine learning-detecties voor opkomende bedreigingen en configuratiegebruikersinterface': YouTube of presentatie.
Module 12: SOAR implementeren
In moderne SIEM's, zoals Microsoft Sentinel, vormt SOAR het hele proces vanaf het moment dat een incident wordt geactiveerd totdat het is opgelost. Dit proces begint met een incidentonderzoek en gaat verder met een geautomatiseerd antwoord. In het blogbericht 'Microsoft Sentinel gebruiken voor reactie op incidenten, indeling en automatisering' vindt u een overzicht van veelvoorkomende use cases voor SOAR.
Automatiseringsregels vormen het startpunt voor Microsoft Sentinel-automatisering. Ze bieden een lichtgewicht methode voor gecentraliseerde, geautomatiseerde verwerking van incidenten, waaronder onderdrukking, fout-positieve verwerking en automatische toewijzing.
Om krachtige automatiseringsmogelijkheden op basis van werkstromen te bieden, maken automatiseringsregels gebruik van Logic Apps-playbooks. Zie voor meer informatie:
Bekijk de webinar 'Ontketen de automation Jedi-trucs en bouw Logic Apps-playbooks zoals een baas': YouTube, MP4 of presentatie.
Lees meer over Logic Apps, de kerntechnologie die microsoft Sentinel-playbooks aanstuurt.
Zie de Microsoft Sentinel Logic Apps-connector, de koppeling tussen Logic Apps en Microsoft Sentinel.
Vind tientallen nuttige playbooks in de map Playbooks op de GitHub-site van Microsoft Sentinel of lees een playbook met behulp van een volglijst om een eigenaar van een abonnement te informeren over een waarschuwing voor een playbook-overzicht.
Module 13: Werkmappen, rapportage en visualisatie
Werkmappen
Als zenuwcentrum van uw SOC is Microsoft Sentinel vereist voor het visualiseren van de informatie die wordt verzameld en produceert. Gebruik werkmappen om gegevens in Microsoft Sentinel te visualiseren.
Als u wilt weten hoe u werkmappen maakt, leest u de documentatie van Azure Workbooks of bekijkt u de workbookstraining van Billy York (en de bijbehorende tekst).
De genoemde resources zijn niet specifiek voor Microsoft Sentinel. Ze zijn van toepassing op werkmappen in het algemeen. Bekijk de webinar: YouTube, MP4 of presentatie voor meer informatie over werkmappen in Microsoft Sentinel. Lees de documentatie.
Werkmappen kunnen interactief zijn en veel meer inschakelen dan alleen grafieken. Met werkmappen kunt u apps of extensiemodules voor Microsoft Sentinel maken om de ingebouwde functionaliteit aan te vullen. U kunt ook werkmappen gebruiken om de functies van Microsoft Sentinel uit te breiden. Hier volgen enkele voorbeelden van dergelijke apps:
De Werkmap Onderzoeksinzichten biedt een alternatieve benadering voor het onderzoeken van incidenten.
Grafiekvisualisatie van externe Teams-samenwerkingen maakt opsporing mogelijk voor riskant Teams-gebruik.
Met de werkmap reiskaart van gebruikers kunt u waarschuwingen voor geografische locaties onderzoeken.
De implementatiehandleiding voor onveilige protocollen van Microsoft Sentinel, recente verbeteringen en overzichtsvideo) helpt u bij het identificeren van het gebruik van onveilige protocollen in uw netwerk.
Ten slotte leert u hoe u informatie uit elke bron integreert met behulp van API-aanroepen in een werkmap.
U vindt tientallen werkmappen in de map Workbooks in microsoft Sentinel GitHub. Sommige hiervan zijn ook beschikbaar in de galerie met Microsoft Sentinel-werkmappen.
Rapportage- en andere visualisatieopties
Werkmappen kunnen dienen voor rapportage. Voor geavanceerdere rapportagemogelijkheden, zoals rapporten plannen en distribueren of draaitabellen, kunt u het volgende gebruiken:
Power BI, dat systeemeigen is geïntegreerd met Azure Monitor-logboeken en Microsoft Sentinel.
Excel, die Azure Monitor-logboeken en Microsoft Sentinel als gegevensbron kan gebruiken en de video 'Azure Monitor-logboeken en Excel integreren met Azure Monitor' kan bekijken.
Jupyter-notebooks, een onderwerp dat verderop in de opsporingsmodule wordt behandeld, zijn ook een uitstekend hulpmiddel voor visualisaties.
Module 14: Notebooks
Jupyter-notebooks zijn volledig geïntegreerd met Microsoft Sentinel. Hoewel het een belangrijk hulpmiddel in de kist van de jager is en de webinars in de jachtsectie heeft besproken, is hun waarde veel breder. Notebooks kunnen dienen voor geavanceerde visualisatie, als onderzoekshandleiding en voor geavanceerde automatisering.
Als u notitieblokken beter wilt begrijpen, bekijkt u de video Inleiding tot notitieblokken. Ga aan de slag met de webinar voor notitieblokken (YouTube, MP4 of presentatie) of lees de documentatie. De Microsoft Sentinel Notebooks Ninja-serie is een doorlopende trainingsreeks om u in notebooks upskills te maken.
Een belangrijk onderdeel van de integratie is geïmplementeerd door MSTICPy, een Python-bibliotheek die is ontwikkeld door ons onderzoeksteam om te worden gebruikt met Jupyter-notebooks. Microsoft Sentinel-interfaces en geavanceerde beveiligingsmogelijkheden worden toegevoegd aan uw notebooks.
Module 15: Use cases en oplossingen
Met connectors, regels, playbooks en werkmappen kunt u use cases implementeren. Dit is de SIEM-term voor een inhoudspakket dat is bedoeld om een bedreiging te detecteren en erop te reageren. U kunt ingebouwde gebruiksvoorbeelden van Microsoft Sentinel implementeren door de voorgestelde regels te activeren wanneer u elke connector verbindt. Een oplossing is een groep gebruiksvoorbeelden die betrekking hebben op een specifiek bedreigingsdomein.
In de webinar 'Aanpak identiteit' (YouTube, MP4 of presentatie) wordt uitgelegd wat een use-case is en hoe het ontwerp moet worden benaderd, en er worden verschillende use cases gepresenteerd die gezamenlijk identiteitsbedreigingen aanpakken.
Een ander relevant oplossingsgebied is het beveiligen van extern werk. Bekijk onze Ignite-sessie over het beveiligen van extern werk en lees meer over de volgende specifieke use cases:
Microsoft Teams-opsporingsscenario's en Graph-visualisatie van externe Microsoft Teams-samenwerkingen
Zoom bewaken met Microsoft Sentinel: aangepaste connectors, analyseregels en opsporingsquery's.
Azure Virtual Desktop bewaken met Microsoft Sentinel: gebruik Windows-beveiliging gebeurtenissen, aanmeldingslogboeken van Microsoft Entra, Microsoft Defender XDR voor eindpunten en diagnostische logboeken van Azure Virtual Desktop om bedreigingen van Azure Virtual Desktop te detecteren en op te sporen.
Microsoft Intune bewaken met behulp van query's en werkmappen.
En ten slotte leert u hoe u de softwareleveringsketen kunt bewaken met Microsoft Sentinel.
Microsoft Sentinel-oplossingen bieden in-productdetectie, implementatie met één stap en inschakeling van end-to-end-product-, domein- en/of verticale scenario's in Microsoft Sentinel. Zie Voor meer informatie over Inhoud en oplossingen van Microsoft Sentinel en bekijk de webinar 'Uw eigen Microsoft Sentinel-oplossingen maken': YouTube of presentatie.
Deel 4: Operationeel
Module 16: Incidenten afhandelen
Nadat u uw SOC hebt gemaakt, moet u deze gaan gebruiken. De webinar 'dag in het leven van een SOC-analist' (YouTube, MP4 of presentatie) begeleidt u bij het gebruik van Microsoft Sentinel in de SOC om incidenten te classificeren, onderzoeken en erop te reageren.
Zie Integratie met Microsoft Teams rechtstreeks vanuit Microsoft Sentinel om uw teams in staat te stellen naadloos samen te werken in de hele organisatie en met externe belanghebbenden. En bekijk de webinar 'Verminder de MTTR van uw SOC (Mean Time to Respond) door Microsoft Sentinel te integreren met Microsoft Teams' .
U kunt ook het documentatieartikel over incidentonderzoek lezen. Als onderdeel van het onderzoek gebruikt u ook de entiteitspagina's voor meer informatie over entiteiten die betrekking hebben op uw incident of geïdentificeerd als onderdeel van uw onderzoek.
Het onderzoek naar incidenten in Microsoft Sentinel breidt zich verder uit dan de kernfunctionaliteit voor incidentonderzoek. U kunt meer onderzoekshulpprogramma's bouwen met behulp van werkmappen en notebooks. Notebooks worden besproken in de volgende sectie, Module 17: Opsporing. U kunt ook meer onderzoekshulpprogramma's bouwen of bestaande hulpprogramma's aanpassen aan uw specifieke behoeften. Voorbeelden zijn:
De Werkmap Onderzoeksinzichten biedt een alternatieve benadering voor het onderzoeken van incidenten.
Notebooks verbeteren de onderzoekservaring. Lees Waarom Jupyter gebruiken voor beveiligingsonderzoeken? en leer hoe u dit kunt onderzoeken met behulp van Microsoft Sentinel- en Jupyter-notebooks:
Module 17: Opsporing
Hoewel de meeste discussie tot nu toe gericht is op detectie en incidentbeheer, is opsporing een andere belangrijke use case voor Microsoft Sentinel. Opsporing is een proactieve zoekopdracht naar bedreigingen in plaats van een reactief antwoord op waarschuwingen.
Het opsporingsdashboard wordt voortdurend bijgewerkt. Hierin worden alle query's weergegeven die zijn geschreven door het Microsoft-team van beveiligingsanalisten en eventuele extra query's die u hebt gemaakt of gewijzigd. Elke query bevat een beschrijving van waar deze op wordt gezocht en op welk soort gegevens deze wordt uitgevoerd. Deze sjablonen worden gegroepeerd op basis van hun verschillende tactieken. De pictogrammen aan de rechterkant categoriseren het type bedreiging, zoals initiële toegang, persistentie en exfiltratie. Zie Zoeken naar bedreigingen met Microsoft Sentinel voor meer informatie.
Als u meer wilt weten over wat opsporing is en hoe Microsoft Sentinel dit ondersteunt, bekijkt u de inleidende webinar 'Opsporing van bedreigingen': YouTube, MP4 of presentatie. De webinar begint met een update over nieuwe functies. Als u meer wilt weten over opsporing, begint u bij dia 12. De YouTube-video is al ingesteld om daar te beginnen.
Hoewel de inleidende webinar zich richt op hulpprogramma's, gaat het jagen allemaal om beveiliging. Onze webinar van het beveiligingsonderzoeksteam (YouTube, MP4 of presentatie) richt zich op het daadwerkelijk jagen.
De follow-up webinar,AWS threat hunting by using Microsoft Sentinel (YouTube, MP4 of presentation) drijft het punt door een end-to-end opsporingsscenario weer te geven in een hoogwaardige doelomgeving.
Ten slotte kunt u leren hoe u SolarWinds post-compromise opsporing kunt uitvoeren met Microsoft Sentinel - en WebShell-opsporing, gemotiveerd door de nieuwste recente beveiligingsproblemen op on-premises Microsoft Exchange-servers.
Module 18: Analyse van gebruikers- en entiteitsgedrag (UEBA)
Met de zojuist geïntroduceerde UEBA-module (Microsoft Sentinel User and Entity Behavior Analytics) kunt u bedreigingen binnen uw organisatie identificeren en onderzoeken, ongeacht of deze afkomstig zijn van een geïnfecteerde entiteit of een kwaadwillende insider.
Omdat Microsoft Sentinel logboeken en waarschuwingen verzamelt van alle verbonden gegevensbronnen, analyseert microsoft deze en bouwt het basislijngedragsprofielen van de entiteiten van uw organisatie (zoals gebruikers, hosts, IP-adressen en toepassingen) gedurende een periode en peergroepshorizon. Met behulp van verschillende technieken en machine learning-mogelijkheden kan Microsoft Sentinel vervolgens afwijkende activiteiten identificeren en u helpen bepalen of een asset is aangetast. Niet alleen dat, maar het kan ook de relatieve gevoeligheid van bepaalde activa bepalen, peergroepen van assets identificeren en de mogelijke impact van een bepaalde gecompromitteerde asset evalueren (de 'straal van de blast'). Gewapend met deze informatie kunt u effectief prioriteit geven aan uw onderzoek en incidentafhandeling.
Meer informatie over UEBA door de webinar (YouTube, MP4 of presentatie) te bekijken en meer te lezen over het gebruik van UEBA voor onderzoeken in uw SOC.
Bekijk de webinar 'Future of Users Entity Behavior Analytics in Microsoft Sentinel' voor meer informatie over de meest recente updates.
Module 19: De status van Microsoft Sentinel bewaken
Een onderdeel van het uitvoeren van een SIEM zorgt ervoor dat deze probleemloos werkt en een veranderend gebied is in Azure Microsoft Sentinel. Gebruik het volgende om de status van Microsoft Sentinel te controleren:
Meet de efficiëntie van uw beveiligingsbewerkingen (video).
De gegevenstabel Microsoft Sentinel Health biedt inzicht in statusafwijkingen, zoals de meest recente fout gebeurtenissen per connector of connectors met wijzigingen van geslaagde statussen tot mislukte statussen, die u kunt gebruiken om waarschuwingen en andere geautomatiseerde acties te maken. Zie De status van uw gegevensconnectors controleren voor meer informatie. Bekijk de video 'Werkmap voor statuscontrole van gegevensconnectors' . En ontvang meldingen over afwijkingen.
Bewaak agents met behulp van de statusoplossing van de agents (alleen Windows) en de Heartbeat-tabel (Linux en Windows).
Bewaak uw Log Analytics-werkruimte: YouTube, MP4 of presentatie, inclusief queryuitvoering en opnamestatus.
Kostenbeheer is ook een belangrijke operationele procedure in de SOC. Gebruik het Playbook Voor opnamekostenwaarschuwingen om ervoor te zorgen dat u altijd op de hoogte bent van eventuele kostenverhogingen.
Deel 5: Geavanceerd
Module 20: Uitbreiden en integreren met behulp van de Microsoft Sentinel-API's
Als cloudeigen SIEM is Microsoft Sentinel een API-first-systeem. Elke functie kan worden geconfigureerd en gebruikt via een API, waardoor u eenvoudig kunt integreren met andere systemen en Microsoft Sentinel kunt uitbreiden met uw eigen code. Als API intimiderend klinkt voor u, maakt u zich geen zorgen. Wat er ook beschikbaar is met behulp van de API, is ook beschikbaar met behulp van PowerShell.
Bekijk de korte inleidende video en lees het blogbericht voor meer informatie over de Microsoft Sentinel-API's. Bekijk de webinar 'Sentinel (API's) uitbreiden en integreren' (YouTube, MP4 of presentatie) en lees het blogbericht Microsoft Sentinel uitbreiden: API's, integratie en beheerautomatisering.
Module 21: Uw eigen machine learning bouwen
Microsoft Sentinel biedt een geweldig platform voor het implementeren van uw eigen machine learning-algoritmen. We noemen het het build-your-own machine learning-model of BYO ML. BYO ML is bedoeld voor geavanceerde gebruikers. Als u op zoek bent naar ingebouwde gedragsanalyses, gebruikt u onze machine learning-analyseregels of UEBA-module of schrijft u uw eigen op KQL gebaseerde analyseregels voor gedragsanalyses.
Als u wilt beginnen met het overbrengen van uw eigen machine learning naar Microsoft Sentinel, bekijkt u de video 'Build-your-own machine learning-model' en leest u de detecties van build-your-own machine learning-modellen in de ai-onderdompelde AZURE Sentinel SIEM-blogpost . U kunt ook de BYO ML-documentatie raadplegen.
Volgende stappen
- Implementatiehandleiding voor Microsoft Sentinel
- Quickstart: Onboarding van Microsoft Sentinel
- Nieuw in Microsoft Sentinel