Share via

Werken met bedreigingsindicatoren in Microsoft Sentinel

  • Artikel
  • Geldt voor:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Integreer bedreigingsinformatie in Microsoft Sentinel via de volgende activiteiten:

  • Importeer bedreigingsinformatie in Microsoft Sentinel door gegevensconnectors in te schakelen voor verschillende platforms en feeds voor bedreigingsinformatie.
  • Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken en op de pagina Bedreigingsinformatie van Microsoft Sentinel.
  • Bedreigingen detecteren en beveiligingswaarschuwingen en incidenten genereren met behulp van de ingebouwde analyseregelsjablonen op basis van uw geïmporteerde bedreigingsinformatie.
  • Visualiseer belangrijke informatie over uw geïmporteerde bedreigingsinformatie in Microsoft Sentinel met de werkmap Bedreigingsinformatie.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Uw bedreigingsindicatoren weergeven in Microsoft Sentinel

Meer informatie over het werken met bedreigingsinformatie-indicatoren in Microsoft Sentinel.

Uw indicatoren zoeken en weergeven op de pagina Bedreigingsinformatie

In deze procedure wordt beschreven hoe u uw indicatoren kunt weergeven en beheren op de pagina Bedreigingsinformatie , die u kunt openen vanuit het hoofdmenu van Microsoft Sentinel. Gebruik de pagina Bedreigingsinformatie om uw geïmporteerde bedreigingsindicatoren te sorteren, filteren en doorzoeken zonder een Log Analytics-query te schrijven.

Als u uw bedreigingsinformatie-indicatoren wilt weergeven op de pagina Bedreigingsinformatie :

  1. Voor Microsoft Sentinel in Azure Portal selecteert u bedreigingsinformatie onder Bedreigingsbeheer.

    Voor Microsoft Sentinel in de Defender-portal selecteert u Bedreigingsinformatie voor Microsoft Sentinel>>.

  2. Selecteer in het raster de indicator waarvoor u meer informatie wilt weergeven. De informatie van de indicator bevat betrouwbaarheidsniveaus, tags en bedreigingstypen.

Microsoft Sentinel geeft alleen de meest recente versie van indicatoren weer in deze weergave. Zie Bedreigingsinformatie begrijpen voor meer informatie over hoe indicatoren worden bijgewerkt.

IP- en domeinnaamindicatoren worden verrijkt met extra GeoLocation gegevens en WhoIs extra gegevens. Deze gegevens bieden meer context voor onderzoeken waar de geselecteerde indicator wordt gevonden.

Dit is een voorbeeld.

Schermopname van de pagina Bedreigingsinformatie met een indicator met GeoLocation- en WhoIs-gegevens.

Belangrijk

GeoLocation en WhoIs verrijking is momenteel beschikbaar als preview-versie. De aanvullende voorwaarden van Azure Preview bevatten meer juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Uw indicatoren zoeken en weergeven in logboeken

In deze procedure wordt beschreven hoe u uw geïmporteerde bedreigingsindicatoren kunt weergeven in het gebied Microsoft Sentinel-logboeken, samen met andere Microsoft Sentinel-gebeurtenisgegevens, ongeacht de bronfeed of de connector die u hebt gebruikt.

Geïmporteerde bedreigingsindicatoren worden vermeld in de tabel Microsoft Sentinel ThreatIntelligenceIndicator . Deze tabel is de basis voor query's voor bedreigingsinformatie die elders in Microsoft Sentinel worden uitgevoerd, zoals in Analytics of Workbooks.

Uw bedreigingsinformatie-indicatoren weergeven in logboeken:

  1. Voor Microsoft Sentinel in Azure Portal selecteert u Logboeken onder Algemeen.

    Voor Microsoft Sentinel in de Defender-portal selecteert u Onderzoek en antwoord>opsporing>geavanceerde opsporing.

  2. De ThreatIntelligenceIndicator tabel bevindt zich onder de groep Microsoft Sentinel .

  3. Selecteer het pictogram Voorbeeldgegevens (het oog) naast de tabelnaam. Selecteer Weergeven in queryeditor om een query uit te voeren waarin records uit deze tabel worden weergegeven.

    Uw resultaten moeten er ongeveer uitzien als de voorbeeld-bedreigingsindicator die hier wordt weergegeven.

    Schermopname van de voorbeeldtabel ThreatIntelligenceIndicator met de details uitgevouwen.

Indicatoren maken en taggen

Gebruik de pagina Bedreigingsinformatie om bedreigingsindicatoren rechtstreeks in de Microsoft Sentinel-interface te maken en twee algemene beheertaken voor bedreigingsinformatie uit te voeren: indicatorlabels en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken.

Een nieuwe indicator maken

  1. Voor Microsoft Sentinel in Azure Portal selecteert u bedreigingsinformatie onder Bedreigingsbeheer.

    Voor Microsoft Sentinel in de Defender-portal selecteert u Bedreigingsinformatie voor Microsoft Sentinel>>.

  2. Selecteer Op de menubalk boven aan de pagina de optie Nieuwe toevoegen.

    Schermopname van het toevoegen van een nieuwe bedreigingsindicator.

  3. Kies het indicatortype en vul het formulier in in het deelvenster Nieuwe indicator . De vereiste velden zijn gemarkeerd met een sterretje (*).

  4. Selecteer Toepassen. De indicator wordt toegevoegd aan de lijst met indicatoren en wordt ook verzonden naar de ThreatIntelligenceIndicator tabel in Logboeken.

Bedreigingsindicatoren taggen en bewerken

Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groeperen om ze gemakkelijker te vinden. Normaal gesproken kunt u tags toepassen op een indicator met betrekking tot een bepaald incident of als de indicator bedreigingen van een bepaalde actor of bekende aanvalscampagne vertegenwoordigt. Nadat u hebt gezocht naar de indicatoren waarmee u wilt werken, tagt u deze afzonderlijk. Indicatoren met meerdere selecties en tag ze allemaal tegelijk met een of meer tags. Omdat taggen vrij is, raden we u aan standaardnaamconventies te maken voor bedreigingsindicatortags.

Schermopname van het toepassen van tags op bedreigingsindicatoren.

Met Microsoft Sentinel kunt u ook indicatoren bewerken, ongeacht of ze rechtstreeks in Microsoft Sentinel zijn gemaakt of afkomstig zijn van partnerbronnen, zoals TIP- en TAXII-servers. Voor indicatoren die zijn gemaakt in Microsoft Sentinel, kunnen alle velden worden bewerkt. Voor indicatoren die afkomstig zijn van partnerbronnen, kunnen alleen specifieke velden worden bewerkt, waaronder tags, vervaldatum, betrouwbaarheid en ingetrokken. In beide gevallen wordt alleen de nieuwste versie van de indicator weergegeven op de pagina Bedreigingsinformatie . Zie Bedreigingsinformatie begrijpen voor meer informatie over hoe indicatoren worden bijgewerkt.

Krijg inzicht in uw bedreigingsinformatie met werkmappen

Gebruik een speciaal gebouwde Microsoft Sentinel-werkmap om belangrijke informatie over uw bedreigingsinformatie in Microsoft Sentinel te visualiseren en de werkmap aan te passen op basis van uw zakelijke behoeften.

U kunt als volgt de werkmap voor bedreigingsinformatie vinden die is opgegeven in Microsoft Sentinel en een voorbeeld van hoe u wijzigingen aanbrengt in de werkmap om deze aan te passen.

  1. Ga vanuit Azure Portal naar Microsoft Sentinel.

  2. Kies de werkruimte waarnaar u bedreigingsindicatoren hebt geïmporteerd met behulp van een gegevensconnector voor bedreigingsinformatie.

  3. Selecteer Werkmappen in de sectie Bedreigingsbeheer van het menu Microsoft Sentinel.

  4. Zoek de werkmap met de titel Bedreigingsinformatie. Controleer of u gegevens in de ThreatIntelligenceIndicator tabel hebt.

    Schermopname van het controleren of u gegevens hebt.

  5. Selecteer Opslaan en kies een Azure-locatie waarin u de werkmap wilt opslaan. Deze stap is vereist als u de werkmap op een willekeurige manier wilt wijzigen en uw wijzigingen wilt opslaan.

  6. Selecteer nu Opgeslagen werkmap weergeven om de werkmap te openen voor weergave en bewerking.

  7. U ziet nu de standaardgrafieken die door de sjabloon worden geleverd. Als u een grafiek wilt wijzigen, selecteert u Bewerken boven aan de pagina om de bewerkingsmodus voor de werkmap te starten.

  8. Voeg een nieuwe grafiek met bedreigingsindicatoren toe op bedreigingstype. Schuif naar de onderkant van de pagina en selecteer Query toevoegen.

  9. Voeg de volgende tekst toe aan het tekstvak Log Analytics-werkruimtequery :

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. Selecteer Staafdiagram in het vervolgkeuzemenu Visualisatie.

  11. Selecteer Klaar met bewerken en bekijk de nieuwe grafiek voor uw werkmap.

    Schermopname van een staafdiagram voor de werkmap.

Werkmappen bieden krachtige interactieve dashboards waarmee u inzicht krijgt in alle aspecten van Microsoft Sentinel. U kunt veel taken uitvoeren met werkmappen en de opgegeven sjablonen zijn een goed uitgangspunt. Pas de sjablonen aan of maak nieuwe dashboards door veel gegevensbronnen te combineren, zodat u uw gegevens op unieke manieren kunt visualiseren.

Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen, dus uitgebreide documentatie en nog veel meer sjablonen zijn beschikbaar. Zie Interactieve rapporten maken met Azure Monitor-werkmappen voor meer informatie.

Er is ook een uitgebreide resource voor Azure Monitor-werkmappen op GitHub, waar u meer sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u kunt werken met bedreigingsinformatie-indicatoren in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel: