Share via


Training voor microsoft Sentinel-vaardigheden

In dit artikel wordt u begeleid bij een training op niveau 400 om u te helpen bij het ontwikkelen van vaardigheden in Microsoft Sentinel. De training bestaat uit 21 modules in eigen tempo die relevante productdocumentatie, blogberichten en andere bronnen presenteren.

De modules die hier worden vermeld, zijn onderverdeeld in vijf onderdelen na de levenscyclus van een Security Operation Center (SOC):

Deel 1: Overzicht

Deel 2: Ontwerpen en implementeren

Deel 3: Inhoud maken

Deel 4: Operationeel

Deel 5: Geavanceerd

Deel 1: Overzicht

Module 0: Andere leer- en ondersteuningsopties

Deze training voor vaardigheden is een level-400-training die is gebaseerd op de Microsoft Sentinel Ninja-training. Als u niet zo diep wilt gaan of als u een specifiek probleem hebt om op te lossen, zijn andere resources mogelijk geschikter:

Module 1: Aan de slag met Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel levert beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Het biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Zie Wat is Microsoft Sentinel voor meer informatie.

Als u een eerste overzicht wilt krijgen van de technische mogelijkheden van Microsoft Sentinel, is de nieuwste Ignite-presentatie een goed uitgangspunt. Mogelijk vindt u ook de quickstartgids voor Microsoft Sentinel nuttig (siteregistratie is vereist).

Bekijk een gedetailleerder overzicht in deze Microsoft Sentinel-webinar: YouTube, MP4 of presentatie.

Wil je het zelf proberen? De Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 of presentatie) biedt een eenvoudige manier om aan de slag te gaan. Als u wilt weten hoe u aan de slag gaat, raadpleegt u de onboardingdocumentatie of bekijkt u de installatie- en configuratievideo van Microsoft Sentinel van Insight.

Leren van andere gebruikers

Duizenden organisaties en serviceproviders gebruiken Microsoft Sentinel. Zoals gebruikelijk bij beveiligingsproducten, gaan de meeste organisaties er niet openbaar over. Nog steeds zijn er een paar die:

Leren van analisten

Module 2: Hoe wordt Microsoft Sentinel gebruikt?

Veel organisaties gebruiken Microsoft Sentinel als primaire SIEM. De meeste modules in deze cursus hebben betrekking op deze use-case. In deze module presenteren we een aantal extra manieren om Microsoft Sentinel te gebruiken.

Als onderdeel van de Microsoft-beveiligingsstack

Gebruik Microsoft Sentinel, Microsoft Defender voor Cloud en Microsoft Defender XDR samen om uw Microsoft-workloads te beveiligen, waaronder Windows, Azure en Office:

Uw workloads met meerdere clouds bewaken

De cloud is (nog) nieuw en wordt vaak niet zo uitgebreid bewaakt als on-premises workloads. Lees deze presentatie voor meer informatie over hoe Microsoft Sentinel u kan helpen de kloof tussen cloudbewaking in uw clouds te sluiten.

Naast uw bestaande SIEM

Als u Microsoft Sentinel gebruikt voor uw cloudworkloads, gebruikt u mogelijk Microsoft Sentinel naast uw bestaande SIEM voor een overgangsperiode of langere termijn. Mogelijk gebruikt u ook beide met een ticketsysteem, zoals Service Now.

Bekijk de migratie webinar: YouTube, MP4 of presentatie voor meer informatie over het migreren van een andere SIEM naar Microsoft Sentinel.

Er zijn drie veelvoorkomende scenario's voor implementatie naast elkaar:

U kunt de waarschuwingen van Microsoft Sentinel ook verzenden naar uw SIEM- of ticketsysteem van derden met behulp van graph beveiligings-API. Deze benadering is eenvoudiger, maar het is niet mogelijk om andere gegevens te verzenden.

Voor MSSP's

Omdat het de installatiekosten elimineert en locatieneutraal is, is Microsoft Sentinel een populaire keuze voor het leveren van SIEM als een service. Zoek een lijst met MISA (Microsoft Intelligent Security Association) lid-beheerde beveiligingsserviceproviders (MSSP's) die gebruikmaken van Microsoft Sentinel. Veel andere MSSP's, met name regionale en kleinere, gebruiken Microsoft Sentinel, maar zijn geen MISA-leden.

Lees de Microsoft Sentinel Technical Playbooks voor MSSP's om uw traject als MSSP te starten. Meer informatie over MSSP-ondersteuning is opgenomen in de volgende module, die betrekking heeft op cloudarchitectuur en ondersteuning voor meerdere tenants.

Deel 2: Ontwerpen en implementeren

Hoewel 'Deel 1: Overzicht' manieren biedt om Microsoft Sentinel binnen enkele minuten te gaan gebruiken, is het belangrijk om een plan te maken voordat u een productie-implementatie start.

In deze sectie wordt u begeleid bij het ontwerpen van uw oplossing en vindt u richtlijnen voor het implementeren van uw ontwerp:

  • Werkruimte- en tenantarchitectuur
  • Gegevens verzamelen
  • Logboekbeheer
  • Overname van bedreigingsinformatie

Module 3: Werkruimte- en tenantarchitectuur

Een Microsoft Sentinel-exemplaar wordt een werkruimte genoemd. De werkruimte is hetzelfde als een Log Analytics-werkruimte en biedt ondersteuning voor alle Log Analytics-mogelijkheden. U kunt Microsoft Sentinel beschouwen als een oplossing waarmee SIEM-functies worden toegevoegd boven op een Log Analytics-werkruimte.

Meerdere werkruimten zijn vaak nodig en kunnen samenwerken als één Microsoft Sentinel-systeem. Een speciale use case is het leveren van een service met behulp van Microsoft Sentinel (bijvoorbeeld door een MSSP (Managed Security Service Provider) of door een Global SOC in een grote organisatie.

Zie Microsoft Sentinel uitbreiden naar werkruimten en tenants of bekijk de webinar: YouTube, MP4 of presentatie voor meer informatie over het gebruik van meerdere werkruimten als één Microsoft Sentinel-systeem.

Houd rekening met het volgende wanneer u meerdere werkruimten gebruikt:

Het Microsoft Sentinel Technical Playbook voor MSSP's biedt gedetailleerde richtlijnen voor veel van deze onderwerpen en is handig voor grote organisaties, niet alleen voor MSSP's.

Module 4: Gegevensverzameling

De basis van een SIEM is het verzamelen van telemetriegegevens: gebeurtenissen, waarschuwingen en contextuele verrijkingsinformatie, zoals bedreigingsinformatie, gegevens over beveiligingsproblemen en assetgegevens. Hier volgt een lijst met bronnen waarnaar moet worden verwezen:

  • Microsoft Sentinel-gegevensconnectors lezen.
  • Ga naar Uw Microsoft Sentinel-gegevensconnector zoeken om alle ondersteunde en out-of-the-box gegevensconnectors te zien. Koppelingen naar algemene implementatieprocedures en extra stappen die vereist zijn voor specifieke connectors.
  • Scenario's voor gegevensverzameling: meer informatie over verzamelingsmethoden zoals Logstash/CEF/WEF. Andere veelvoorkomende scenario's zijn machtigingenbeperking voor tabellen, logboekfiltering, het verzamelen van logboeken van Amazon Web Services (AWS) of Google Cloud Platform (GCP), Microsoft 365 onbewerkte logboeken, enzovoort. Alles vindt u in de webinar 'Scenario's voor gegevensverzameling': YouTube, MP4 of presentatie.

Het eerste stukje informatie dat u voor elke connector ziet, is de methode voor gegevensopname. De methode die wordt weergegeven, bevat een koppeling naar een van de volgende algemene implementatieprocedures, die de meeste informatie bevatten die u nodig hebt om uw gegevensbronnen te verbinden met Microsoft Sentinel:

Methode voor gegevensopname Gekoppeld artikel
Integratie van Azure-service-naar-service Verbinding maken met Azure-, Windows-, Microsoft- en Amazon-services
Common Event Format (CEF) via Syslog Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent
Microsoft Sentinel Data Collector-API Uw gegevensbron verbinden met de Microsoft Sentinel Data Collector-API om gegevens op te nemen
Azure Functions en de REST API Azure Functions gebruiken om Microsoft Sentinel te verbinden met uw gegevensbron
Syslog Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent
Aangepaste logboeken Aangepaste logboeken via AMA-gegevensconnector - Gegevensopname configureren naar Microsoft Sentinel vanuit specifieke toepassingen

Als uw bron niet beschikbaar is, kunt u een aangepaste connector maken. Aangepaste connectors maken gebruik van de opname-API en zijn daarom vergelijkbaar met directe bronnen. U implementeert meestal aangepaste connectors met behulp van Azure Logic Apps, dat een optie zonder code of Azure Functions biedt.

Module 5: Logboekbeheer

De eerste architectuurbeslissing die u moet overwegen wanneer u Microsoft Sentinel configureert, is hoeveel werkruimten en welke u moet gebruiken. Andere beslissingen voor architectuur voor sleutellogboekbeheer zijn onder andere:

  • Waar en hoe lang gegevens moeten worden bewaard.
  • Hoe u de toegang tot gegevens het beste beheert en beveiligt.

Gegevens opnemen, archiveren, zoeken en herstellen in Microsoft Sentinel

Om aan de slag te gaan, bekijkt u de webinar 'Uw logboeklevenscyclus beheren met nieuwe methoden voor opname, archivering, zoeken en herstellen' .

Deze suite met functies bevat:

  • Basisopnamelaag: een nieuwe prijscategorie voor Azure Monitor-logboeken waarmee u logboeken tegen lagere kosten kunt opnemen. Deze gegevens worden slechts acht dagen bewaard in de werkruimte.
  • Archieflaag: Azure Monitor-logboeken hebben de retentiemogelijkheden uitgebreid van twee jaar tot zeven jaar. Met deze nieuwe laag kunt u gegevens maximaal zeven jaar bewaren in een voordelige gearchiveerde status.
  • Zoektaken: zoektaken met beperkte KQL om alle relevante logboeken te zoeken en te retourneren. Deze taken zoeken gegevens in de analyselaag, de basislaag en gearchiveerde gegevens.
  • Gegevensherstel: Een nieuwe functie waarmee u een gegevenstabel en een tijdsbereik kunt kiezen, zodat u gegevens kunt herstellen naar de werkruimte via een hersteltabel.

Zie Gegevens opnemen, archiveren, zoeken en herstellen in Microsoft Sentinel voor meer informatie over deze nieuwe functies.

Alternatieve bewaaropties buiten het Microsoft Sentinel-platform

Als u gegevens langer dan twee jaar wilt bewaren of de retentiekosten wilt verlagen, kunt u Overwegen Om Azure Data Explorer te gebruiken voor langetermijnretentie van Microsoft Sentinel-logboeken. Bekijk de webinardia's, webinaropnamen of blog.

Wilt u meer gedetailleerde informatie? Bekijk de webinar 'De breedte en dekking van opsporing van bedreigingen verbeteren met ADX-ondersteuning, meer entiteitstypen en bijgewerkte MITRE-integratie' .

Als u liever een andere langetermijnretentieoplossing hebt, raadpleegt u Exporteren vanuit Microsoft Sentinel/Log Analytics-werkruimte naar Azure Storage en Event Hubs of logboeken verplaatsen naar langetermijnopslag met behulp van Azure Logic Apps. Het voordeel van het gebruik van Logic Apps is dat historische gegevens kunnen worden geëxporteerd.

Ten slotte kunt u fijnmazige bewaarperioden instellen met behulp van instellingen voor retentie op tabelniveau. Zie Gegevensretentie en archiefbeleid configureren in Azure Monitor-logboeken (preview) voor meer informatie.

Logboekbeveiliging

Toegewezen cluster

Gebruik een toegewezen werkruimtecluster als de verwachte gegevensopname ongeveer of meer dan 500 GB per dag is. Met een toegewezen cluster kunt u resources beveiligen voor uw Microsoft Sentinel-gegevens, waardoor betere queryprestaties voor grote gegevenssets mogelijk zijn.

Module 6: Verrijking: Bedreigingsinformatie, volglijsten en meer

Een van de belangrijke functies van een SIEM is het toepassen van contextuele informatie op de gebeurtenisstoom, waarmee detectie, prioriteitstelling van waarschuwingen en incidentonderzoek mogelijk is. Contextuele informatie omvat bijvoorbeeld bedreigingsinformatie, IP-intelligentie, host- en gebruikersgegevens en volglijsten.

Microsoft Sentinel biedt uitgebreide hulpprogramma's voor het importeren, beheren en gebruiken van bedreigingsinformatie. Voor andere typen contextuele informatie biedt Microsoft Sentinel volglijsten en andere alternatieve oplossingen.

Informatie over bedreigingen

Bedreigingsinformatie is een belangrijke bouwsteen van een SIEM. Bekijk de webinar 'De kracht van bedreigingsinformatie verkennen in Microsoft Sentinel' .

In Microsoft Sentinel kunt u bedreigingsinformatie integreren met behulp van de ingebouwde connectors van TAXII-servers (Trusted Automated eXchange of Indicator Information) of via de Microsoft Graph-beveiligings-API. Zie Integratie van bedreigingsinformatie in Microsoft Sentinel voor meer informatie. Zie module 4: secties voor gegevensverzameling voor meer informatie over het importeren van bedreigingsinformatie.

Nadat deze is geïmporteerd, wordt bedreigingsinformatie uitgebreid gebruikt in Microsoft Sentinel. De volgende functies zijn gericht op het gebruik van bedreigingsinformatie:

  • Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken in het nieuwe gebied Bedreigingsinformatie van Microsoft Sentinel.

  • Gebruik de ingebouwde regelsjablonen voor bedreigingsinformatieanalyse om beveiligingswaarschuwingen en incidenten te genereren met behulp van uw geïmporteerde bedreigingsinformatie.

  • Visualiseer belangrijke informatie over uw bedreigingsinformatie in Microsoft Sentinel met behulp van de werkmap bedreigingsinformatie.

Bekijk de webinar 'Automate Your Microsoft Sentinel Triage Efforts with RiskIQ Threat Intelligence': YouTube of presentatie.

Kort op tijd? Bekijk de Ignite-sessie (28 minuten).

Wilt u meer gedetailleerde informatie? Bekijk de webinar 'Deep dive on threat intelligence': YouTube, MP4 of presentatie.

Watchlists en andere opzoekmechanismen

Microsoft Sentinel biedt volglijsten om elk type contextuele informatie te importeren en te beheren. Met behulp van volglijsten kunt u gegevenstabellen uploaden in CSV-indeling en deze gebruiken in uw KQL-query's. Zie Volglijsten gebruiken in Microsoft Sentinel voor meer informatie of bekijk de webinar 'Volglijsten gebruiken om waarschuwingen te beheren, vermoeidheid van waarschuwingen te verminderen en SOC-efficiëntie te verbeteren': YouTube of presentatie.

Volglijsten gebruiken om u te helpen bij de volgende scenario's:

  • Bedreigingen onderzoeken en snel reageren op incidenten: Importeer snel IP-adressen, bestands-hashes en andere gegevens uit CSV-bestanden. Nadat u de gegevens hebt geïmporteerd, gebruikt u naam-waardeparen voor volglijsten voor joins en filters in waarschuwingsregels, opsporing van bedreigingen, werkmappen, notebooks en algemene query's.

  • Zakelijke gegevens importeren als volglijst: importeer bijvoorbeeld lijsten met gebruikers met bevoegde systeemtoegang of beëindigde werknemers. Gebruik vervolgens de volglijst om acceptatielijsten en bloklijsten te maken om te detecteren of te voorkomen dat die gebruikers zich aanmelden bij het netwerk.

  • Verminder de vermoeidheid van waarschuwingen: maak acceptatielijsten om waarschuwingen van een groep gebruikers te onderdrukken, zoals gebruikers van geautoriseerde IP-adressen die taken uitvoeren die normaal gesproken de waarschuwing activeren. Voorkomen dat goedaardige gebeurtenissen waarschuwingen worden.

  • Gebeurtenisgegevens verrijken: gebruik volglijsten om uw gebeurtenisgegevens te verrijken met combinaties van naamwaarden die zijn afgeleid van externe gegevensbronnen.

Naast volglijsten kunt u de KQL-functie voor externe gegevens, aangepaste logboeken en KQL gebruiken om contextinformatie te beheren en op te vragen. Elk van de vier methoden heeft de voor- en nadelen en u kunt meer lezen over de vergelijkingen tussen deze methoden in het blogbericht 'Lookups implementeren in Microsoft Sentinel'. Hoewel elke methode verschillend is, is het gebruik van de resulterende informatie in uw query's vergelijkbaar en is het eenvoudig om ertussen te schakelen.

Zie Watchlists gebruiken om efficiëntie te stimuleren tijdens Microsoft Sentinel-onderzoeken voor ideeën over het gebruik van volglijsten buiten analytische regels.

Bekijk de webinar 'Volglijsten gebruiken om waarschuwingen te beheren, vermoeidheid van waarschuwingen te verminderen en SOC-efficiëntie te verbeteren': YouTube of presentatie.

Module 7: Logboektransformatie

Microsoft Sentinel ondersteunt twee nieuwe functies voor gegevensopname en transformatie. Deze functies, geleverd door Log Analytics, reageren op uw gegevens, zelfs voordat ze zijn opgeslagen in uw werkruimte. De functies zijn:

Zie voor meer informatie:

Module 8: Migratie

In veel (zo niet de meeste) gevallen hebt u al een SIEM en moet u migreren naar Microsoft Sentinel. Hoewel het misschien een goed moment is om opnieuw te beginnen en uw SIEM-implementatie te herzien, is het zinvol om enkele van de assets te gebruiken die u al in uw huidige implementatie hebt gebouwd. Bekijk de webinar 'Aanbevolen procedures voor het converteren van detectieregels' (van Splunk, QRadar en ArcSight naar Azure Microsoft Sentinel): YouTube, MP4, presentatie of blog.

Mogelijk bent u ook geïnteresseerd in de volgende bronnen:

Module 9: Geavanceerd SIEM-informatiemodel en normalisatie

Het samenwerken met verschillende gegevenstypen en tabellen kan een uitdaging opleveren. U moet vertrouwd raken met deze gegevenstypen en schema's tijdens het schrijven en gebruiken van een unieke set analyseregels, werkmappen en opsporingsquery's. Het correleren van de gegevenstypen die nodig zijn voor onderzoek en opsporing kan ook lastig zijn.

Het Advanced SIEM-informatiemodel (ASIM) biedt een naadloze ervaring voor het verwerken van verschillende bronnen in uniforme, genormaliseerde weergaven. ASIM is afgestemd op het algemene informatiemodel voor opensource-beveiligingsgebeurtenissen (OSSEM) en bevordert leveranciersagnostische, industriebrede normalisatie. Bekijk de webinar 'Advanced SIEM information model (ASIM): Now built into Microsoft Sentinel' webinar: YouTube of presentatie.

De huidige implementatie is gebaseerd op normalisatie van querytijd, die gebruikmaakt van KQL-functies:

  • Genormaliseerde schema's hebben betrekking op standaardsets met voorspelbare gebeurtenistypen die eenvoudig kunnen worden gebruikt en geïntegreerde mogelijkheden kunnen bouwen. Het schema definieert welke velden een gebeurtenis, een genormaliseerde naamgevingsconventie voor kolommen en een standaardindeling voor de veldwaarden moeten vertegenwoordigen.
    • Bekijk de webinar 'Inzicht in normalisatie in Microsoft Sentinel': YouTube of presentatie.
    • Bekijk de webinar 'Deep Dive into Microsoft Sentinel normalizing parsers and normalized content': YouTube, MP3 of presentation.
  • Parsers wijzen bestaande gegevens toe aan de genormaliseerde schema's. U implementeert parsers met behulp van KQL-functies. Bekijk de webinar 'ASIM uitbreiden en beheren: parsers ontwikkelen, testen en implementeren': YouTube of presentatie.

  • Inhoud voor elk genormaliseerd schema bevat analyseregels, werkmappen en opsporingsquery's. Deze inhoud werkt op genormaliseerde gegevens zonder dat u bronspecifieke inhoud hoeft te maken.

Het gebruik van ASIM biedt de volgende voordelen:

  • Detectie van meerdere bronnen: genormaliseerde analyseregels werken on-premises en in de cloud voor verschillende bronnen. De regels detecteren aanvallen, zoals beveiligingsaanvallen of onmogelijke reizen tussen systemen, waaronder Okta, AWS en Azure.

  • Hiermee staat u bronagnostische inhoud toe: Met behulp van ASIM wordt ingebouwde en aangepaste inhoud automatisch uitgebreid naar elke bron die ASIM ondersteunt, zelfs als de bron is toegevoegd nadat de inhoud is gemaakt. Procesanalyse ondersteunt bijvoorbeeld alle bronnen die een klant kan gebruiken om de gegevens in te voeren, waaronder Microsoft Defender voor Eindpunt, Windows-gebeurtenissen en Sysmon. We zijn klaar om Sysmon voor Linux en WEF toe te voegen wanneer deze is uitgebracht.

  • Ondersteuning voor uw aangepaste bronnen in ingebouwde analyses

  • Gebruiksgemak: analisten die ASIM leren, vinden het veel eenvoudiger om query's te schrijven, omdat de veldnamen altijd hetzelfde zijn.

Meer informatie over ASIM

Profiteer van deze resources:

  • Bekijk de overzichts webinar 'Inzicht in normalisatie in Azure Sentinel': YouTube of presentatie.

  • Bekijk de webinar 'Deep dive into Microsoft Sentinel normalizing parsers and normalized content': YouTube, MP3 of presentation.

  • Bekijk de webinar 'Turbocharge ASIM: zorg ervoor dat normalisatie de prestaties helpt in plaats van dit te beïnvloeden'-webinar: YouTube, MP4 of presentatie.

  • Lees de ASIM-documentatie.

ASIM implementeren

  • Implementeer de parsers uit de mappen, te beginnen met 'ASIM*' in de map parsers op GitHub.

  • Analytische regels activeren die gebruikmaken van ASIM. Zoek normaal in de sjabloongalerie om er een aantal te vinden. Gebruik deze GitHub-zoekopdracht om de volledige lijst op te halen.

ASIM gebruiken

Deel 3: Inhoud maken

Wat is Microsoft Sentinel-inhoud?

De waarde van Microsoft Sentinel-beveiliging is een combinatie van de ingebouwde mogelijkheden en uw mogelijkheid om aangepaste mogelijkheden te maken en de ingebouwde mogelijkheden aan te passen. Onder de ingebouwde mogelijkheden zijn er UEBA (User and Entity Behavior Analytics), machine learning- of out-of-box analytics-regels. Aangepaste mogelijkheden worden vaak 'inhoud' genoemd en bevatten analytische regels, opsporingsquery's, werkmappen, playbooks enzovoort.

In deze sectie hebben we de modules gegroepeerd die u helpen bij het maken van dergelijke inhoud of het wijzigen van ingebouwde inhoud naar uw behoeften. We beginnen met KQL, de microsoft sentinel van Azure. In de volgende modules wordt een van de bouwstenen voor inhoud besproken, zoals regels, playbooks en werkmappen. Ze worden verpakt door gebruiksvoorbeelden te bespreken, die elementen van verschillende typen omvatten die betrekking hebben op specifieke beveiligingsdoelen, zoals detectie van bedreigingen, opsporing of governance.

Module 10: Kusto-querytaal

De meeste Microsoft Sentinel-mogelijkheden maken gebruik van Kusto-querytaal (KQL). Wanneer u in uw logboeken zoekt, regels schrijft, opsporingsquery's maakt of werkmappen ontwerpt, gebruikt u KQL.

In de volgende sectie over het schrijven van regels wordt uitgelegd hoe u KQL gebruikt in de specifieke context van SIEM-regels.

Naarmate u KQL leert, vindt u mogelijk ook de volgende verwijzingen nuttig:

Module 11: Analyse

Geplande analyseregels schrijven

Met Microsoft Sentinel kunt u ingebouwde regelsjablonen gebruiken, de sjablonen voor uw omgeving aanpassen of aangepaste regels maken. De kern van de regels is een KQL-query; Er is echter veel meer dan dat om in een regel te configureren.

Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie over de procedure voor het maken van regels. Bekijk de webinar: YouTube, MP4 of presentatie voor meer informatie over het schrijven van regels (wat in een regel moet gaan, waarbij u zich richt op KQL voor regels).

SIEM-analyseregels hebben specifieke patronen. Meer informatie over het implementeren van regels en het schrijven van KQL voor deze patronen:

Het blogbericht 'Blob- en File Storage-onderzoeken' bevat een stapsgewijs voorbeeld van het schrijven van een nuttige analyseregel.

Ingebouwde analyses gebruiken

Voordat u begint met het schrijven van uw eigen regel, kunt u overwegen om te profiteren van de ingebouwde analysemogelijkheden. Ze hebben niet veel van je nodig, maar het is de moeite waard om ze te leren:

  • Gebruik de ingebouwde sjablonen voor geplande regels. U kunt deze sjablonen afstemmen door ze op dezelfde manier te wijzigen om een geplande regel te bewerken. Zorg ervoor dat u de sjablonen implementeert voor de gegevensconnectors die u verbindt, die worden vermeld op het tabblad Volgende stappen van de gegevensconnector.

  • Meer informatie over de machine learning-mogelijkheden van Microsoft Sentinel: YouTube, MP4 of presentatie.

  • Haal de lijst met geavanceerde detecties van aanvallen met meerdere fasen (Fusion) van Microsoft Sentinel op, die standaard zijn ingeschakeld.

  • Bekijk de webinar 'Fusion machine learning-detecties met geplande analyseregels': YouTube, MP4 of presentatie.

  • Meer informatie over ingebouwde SOC-machine learning-afwijkingen van Microsoft Sentinel.

  • Bekijk de webinar 'Aangepaste SOC-machine learning-afwijkingen en hoe u deze kunt gebruiken': YouTube, MP4 of presentatie.

  • Bekijk de webinar 'Fusion machine learning-detecties voor opkomende bedreigingen en configuratiegebruikersinterface': YouTube of presentatie.

Module 12: SOAR implementeren

In moderne SIEM's, zoals Microsoft Sentinel, vormt SOAR het hele proces vanaf het moment dat een incident wordt geactiveerd totdat het is opgelost. Dit proces begint met een incidentonderzoek en gaat verder met een geautomatiseerd antwoord. In het blogbericht 'Microsoft Sentinel gebruiken voor reactie op incidenten, indeling en automatisering' vindt u een overzicht van veelvoorkomende use cases voor SOAR.

Automatiseringsregels vormen het startpunt voor Microsoft Sentinel-automatisering. Ze bieden een lichtgewicht methode voor gecentraliseerde, geautomatiseerde verwerking van incidenten, waaronder onderdrukking, fout-positieve verwerking en automatische toewijzing.

Om krachtige automatiseringsmogelijkheden op basis van werkstromen te bieden, maken automatiseringsregels gebruik van Logic Apps-playbooks. Zie voor meer informatie:

Vind tientallen nuttige playbooks in de map Playbooks op de GitHub-site van Microsoft Sentinel of lees een playbook met behulp van een volglijst om een eigenaar van een abonnement te informeren over een waarschuwing voor een playbook-overzicht.

Module 13: Werkmappen, rapportage en visualisatie

Werkmappen

Als zenuwcentrum van uw SOC is Microsoft Sentinel vereist voor het visualiseren van de informatie die wordt verzameld en produceert. Gebruik werkmappen om gegevens in Microsoft Sentinel te visualiseren.

Werkmappen kunnen interactief zijn en veel meer inschakelen dan alleen grafieken. Met werkmappen kunt u apps of extensiemodules voor Microsoft Sentinel maken om de ingebouwde functionaliteit aan te vullen. U kunt ook werkmappen gebruiken om de functies van Microsoft Sentinel uit te breiden. Hier volgen enkele voorbeelden van dergelijke apps:

U vindt tientallen werkmappen in de map Workbooks in microsoft Sentinel GitHub. Sommige hiervan zijn ook beschikbaar in de galerie met Microsoft Sentinel-werkmappen.

Rapportage- en andere visualisatieopties

Werkmappen kunnen dienen voor rapportage. Voor geavanceerdere rapportagemogelijkheden, zoals rapporten plannen en distribueren of draaitabellen, kunt u het volgende gebruiken:

Module 14: Notebooks

Jupyter-notebooks zijn volledig geïntegreerd met Microsoft Sentinel. Hoewel het een belangrijk hulpmiddel in de kist van de jager is en de webinars in de jachtsectie heeft besproken, is hun waarde veel breder. Notebooks kunnen dienen voor geavanceerde visualisatie, als onderzoekshandleiding en voor geavanceerde automatisering.

Als u notitieblokken beter wilt begrijpen, bekijkt u de video Inleiding tot notitieblokken. Ga aan de slag met de webinar voor notitieblokken (YouTube, MP4 of presentatie) of lees de documentatie. De Microsoft Sentinel Notebooks Ninja-serie is een doorlopende trainingsreeks om u in notebooks upskills te maken.

Een belangrijk onderdeel van de integratie is geïmplementeerd door MSTICPy, een Python-bibliotheek die is ontwikkeld door ons onderzoeksteam om te worden gebruikt met Jupyter-notebooks. Microsoft Sentinel-interfaces en geavanceerde beveiligingsmogelijkheden worden toegevoegd aan uw notebooks.

Module 15: Use cases en oplossingen

Met connectors, regels, playbooks en werkmappen kunt u use cases implementeren. Dit is de SIEM-term voor een inhoudspakket dat is bedoeld om een bedreiging te detecteren en erop te reageren. U kunt ingebouwde gebruiksvoorbeelden van Microsoft Sentinel implementeren door de voorgestelde regels te activeren wanneer u elke connector verbindt. Een oplossing is een groep gebruiksvoorbeelden die betrekking hebben op een specifiek bedreigingsdomein.

In de webinar 'Aanpak identiteit' (YouTube, MP4 of presentatie) wordt uitgelegd wat een use-case is en hoe het ontwerp moet worden benaderd, en er worden verschillende use cases gepresenteerd die gezamenlijk identiteitsbedreigingen aanpakken.

Een ander relevant oplossingsgebied is het beveiligen van extern werk. Bekijk onze Ignite-sessie over het beveiligen van extern werk en lees meer over de volgende specifieke use cases:

En ten slotte leert u hoe u de softwareleveringsketen kunt bewaken met Microsoft Sentinel.

Microsoft Sentinel-oplossingen bieden in-productdetectie, implementatie met één stap en inschakeling van end-to-end-product-, domein- en/of verticale scenario's in Microsoft Sentinel. Zie Voor meer informatie over Inhoud en oplossingen van Microsoft Sentinel en bekijk de webinar 'Uw eigen Microsoft Sentinel-oplossingen maken': YouTube of presentatie.

Deel 4: Operationeel

Module 16: Incidenten afhandelen

Nadat u uw SOC hebt gemaakt, moet u deze gaan gebruiken. De webinar 'dag in het leven van een SOC-analist' (YouTube, MP4 of presentatie) begeleidt u bij het gebruik van Microsoft Sentinel in de SOC om incidenten te classificeren, onderzoeken en erop te reageren.

Zie Integratie met Microsoft Teams rechtstreeks vanuit Microsoft Sentinel om uw teams in staat te stellen naadloos samen te werken in de hele organisatie en met externe belanghebbenden. En bekijk de webinar 'Verminder de MTTR van uw SOC (Mean Time to Respond) door Microsoft Sentinel te integreren met Microsoft Teams' .

U kunt ook het documentatieartikel over incidentonderzoek lezen. Als onderdeel van het onderzoek gebruikt u ook de entiteitspagina's voor meer informatie over entiteiten die betrekking hebben op uw incident of geïdentificeerd als onderdeel van uw onderzoek.

Het onderzoek naar incidenten in Microsoft Sentinel breidt zich verder uit dan de kernfunctionaliteit voor incidentonderzoek. U kunt meer onderzoekshulpprogramma's bouwen met behulp van werkmappen en notebooks. Notebooks worden besproken in de volgende sectie, Module 17: Opsporing. U kunt ook meer onderzoekshulpprogramma's bouwen of bestaande hulpprogramma's aanpassen aan uw specifieke behoeften. Voorbeelden zijn:

Module 17: Opsporing

Hoewel de meeste discussie tot nu toe gericht is op detectie en incidentbeheer, is opsporing een andere belangrijke use case voor Microsoft Sentinel. Opsporing is een proactieve zoekopdracht naar bedreigingen in plaats van een reactief antwoord op waarschuwingen.

Het opsporingsdashboard wordt voortdurend bijgewerkt. Hierin worden alle query's weergegeven die zijn geschreven door het Microsoft-team van beveiligingsanalisten en eventuele extra query's die u hebt gemaakt of gewijzigd. Elke query bevat een beschrijving van waar deze op wordt gezocht en op welk soort gegevens deze wordt uitgevoerd. Deze sjablonen worden gegroepeerd op basis van hun verschillende tactieken. De pictogrammen aan de rechterkant categoriseren het type bedreiging, zoals initiële toegang, persistentie en exfiltratie. Zie Zoeken naar bedreigingen met Microsoft Sentinel voor meer informatie.

Als u meer wilt weten over wat opsporing is en hoe Microsoft Sentinel dit ondersteunt, bekijkt u de inleidende webinar 'Opsporing van bedreigingen': YouTube, MP4 of presentatie. De webinar begint met een update over nieuwe functies. Als u meer wilt weten over opsporing, begint u bij dia 12. De YouTube-video is al ingesteld om daar te beginnen.

Hoewel de inleidende webinar zich richt op hulpprogramma's, gaat het jagen allemaal om beveiliging. Onze webinar van het beveiligingsonderzoeksteam (YouTube, MP4 of presentatie) richt zich op het daadwerkelijk jagen.

De follow-up webinar,AWS threat hunting by using Microsoft Sentinel (YouTube, MP4 of presentation) drijft het punt door een end-to-end opsporingsscenario weer te geven in een hoogwaardige doelomgeving.

Ten slotte kunt u leren hoe u SolarWinds post-compromise opsporing kunt uitvoeren met Microsoft Sentinel - en WebShell-opsporing, gemotiveerd door de nieuwste recente beveiligingsproblemen op on-premises Microsoft Exchange-servers.

Module 18: Analyse van gebruikers- en entiteitsgedrag (UEBA)

Met de zojuist geïntroduceerde UEBA-module (Microsoft Sentinel User and Entity Behavior Analytics) kunt u bedreigingen binnen uw organisatie identificeren en onderzoeken, ongeacht of deze afkomstig zijn van een geïnfecteerde entiteit of een kwaadwillende insider.

Omdat Microsoft Sentinel logboeken en waarschuwingen verzamelt van alle verbonden gegevensbronnen, analyseert microsoft deze en bouwt het basislijngedragsprofielen van de entiteiten van uw organisatie (zoals gebruikers, hosts, IP-adressen en toepassingen) gedurende een periode en peergroepshorizon. Met behulp van verschillende technieken en machine learning-mogelijkheden kan Microsoft Sentinel vervolgens afwijkende activiteiten identificeren en u helpen bepalen of een asset is aangetast. Niet alleen dat, maar het kan ook de relatieve gevoeligheid van bepaalde activa bepalen, peergroepen van assets identificeren en de mogelijke impact van een bepaalde gecompromitteerde asset evalueren (de 'straal van de blast'). Gewapend met deze informatie kunt u effectief prioriteit geven aan uw onderzoek en incidentafhandeling.

Meer informatie over UEBA door de webinar (YouTube, MP4 of presentatie) te bekijken en meer te lezen over het gebruik van UEBA voor onderzoeken in uw SOC.

Bekijk de webinar 'Future of Users Entity Behavior Analytics in Microsoft Sentinel' voor meer informatie over de meest recente updates.

Module 19: De status van Microsoft Sentinel bewaken

Een onderdeel van het uitvoeren van een SIEM zorgt ervoor dat deze probleemloos werkt en een veranderend gebied is in Azure Microsoft Sentinel. Gebruik het volgende om de status van Microsoft Sentinel te controleren:

Deel 5: Geavanceerd

Module 20: Uitbreiden en integreren met behulp van de Microsoft Sentinel-API's

Als cloudeigen SIEM is Microsoft Sentinel een API-first-systeem. Elke functie kan worden geconfigureerd en gebruikt via een API, waardoor u eenvoudig kunt integreren met andere systemen en Microsoft Sentinel kunt uitbreiden met uw eigen code. Als API intimiderend klinkt voor u, maakt u zich geen zorgen. Wat er ook beschikbaar is met behulp van de API, is ook beschikbaar met behulp van PowerShell.

Bekijk de korte inleidende video en lees het blogbericht voor meer informatie over de Microsoft Sentinel-API's. Bekijk de webinar 'Sentinel (API's) uitbreiden en integreren' (YouTube, MP4 of presentatie) en lees het blogbericht Microsoft Sentinel uitbreiden: API's, integratie en beheerautomatisering.

Module 21: Uw eigen machine learning bouwen

Microsoft Sentinel biedt een geweldig platform voor het implementeren van uw eigen machine learning-algoritmen. We noemen het het build-your-own machine learning-model of BYO ML. BYO ML is bedoeld voor geavanceerde gebruikers. Als u op zoek bent naar ingebouwde gedragsanalyses, gebruikt u onze machine learning-analyseregels of UEBA-module of schrijft u uw eigen op KQL gebaseerde analyseregels voor gedragsanalyses.

Als u wilt beginnen met het overbrengen van uw eigen machine learning naar Microsoft Sentinel, bekijkt u de video 'Build-your-own machine learning-model' en leest u de detecties van build-your-own machine learning-modellen in de ai-onderdompelde AZURE Sentinel SIEM-blogpost . U kunt ook de BYO ML-documentatie raadplegen.

Volgende stappen