Bedreigingsindicatoren voor bedreigingsinformatie in Microsoft Sentinel

Azure Active Directory
Logic Apps
Monitor
Microsoft Sentinel

In dit artikel wordt beschreven hoe een SIEM-oplossing (Security Information and Event Management) in de cloud, zoals Microsoft Sentinel , bedreigingsindicatoren kan gebruiken om bestaande of potentiële cyberbedreigingen te detecteren, context te bieden en te informeren.

Architectuur

Diagram met microsoft Sentinel-gegevensstroom.

Een Visio-bestand van deze architectuur downloaden.

Werkstroom

U kunt Microsoft Sentinel gebruiken om:

Gegevensconnectors voor bedreigingsindicatoren

Microsoft Sentinel importeert bedreigingsindicatoren, net als alle andere gebeurtenisgegevens, met behulp van gegevensconnectors. De twee Microsoft Sentinel-gegevensconnectors voor bedreigingsindicatoren zijn Bedreigingsinformatie: TAXII en Threat Intelligence Platforms. U kunt beide of beide gegevensconnectors gebruiken, afhankelijk van waar uw organisatie de bedreigingsindicatorgegevens ophaalt. Schakel de gegevensconnectors in elke werkruimte in die u de gegevens wilt ontvangen.

Bedreigingsinformatie - TAXII-gegevensconnector

De meest gebruikte industriestandaard voor CTI-transmissie is de STIX-gegevensindeling en het TAXII-protocol. Organisaties die bedreigingsindicatoren ophalen uit de huidige STIX/TAXII versie 2.x-oplossingen, kunnen de Threat Intelligence - TAXII-gegevensconnector gebruiken om hun bedreigingsindicatoren te importeren in Microsoft Sentinel. De ingebouwde Microsoft Sentinel TAXII-client importeert bedreigingsinformatie van TAXII 2.x-servers.

Zie Bedreigingsindicatorindicatoren importeren met de TAXII-gegevensconnector voor gedetailleerde instructies voor het importeren van STIX-/TAXII-bedreigingsindicatoren in Microsoft Sentinel.

Gegevensconnector Bedreigingsinformatieplatforms

Veel organisaties gebruiken TIP-oplossingen zoals MISP, Anomali ThreatStream, ThreatConnect of Palo Alto Networks MineMeld om feeds van bedreigingsindicatoren van verschillende bronnen te aggregeren. Organisaties gebruiken de TIP om de gegevens te cureren en vervolgens te kiezen welke bedreigingsindicatoren moeten worden toegepast op verschillende beveiligingsoplossingen, zoals netwerkapparaten, geavanceerde oplossingen voor bedreigingsbeveiliging of SIEM's zoals Microsoft Sentinel. Met de gegevensconnector Threat Intelligence Platforms kunnen organisaties hun geïntegreerde TIP-oplossing gebruiken met Microsoft Sentinel.

De gegevensconnector Threat Intelligence Platforms maakt gebruik van de Microsoft Graph Security TiIndicators-API. Elke organisatie met een aangepaste TIP kan deze gegevensconnector gebruiken om de tiIndicators-API te gebruiken en indicatoren te verzenden naar Microsoft Sentinel en naar andere Microsoft-beveiligingsoplossingen zoals Defender ATP.

Zie Bedreigingsindicatoren importeren met de platformgegevensconnector voor gedetailleerde instructies voor het importeren van TIP-gegevens in Microsoft Sentinel.

Bedreigingsindicatorlogboeken

Nadat u bedreigingsindicatoren in Microsoft Sentinel hebt geïmporteerd met behulp van de gegevensconnectors Bedreigingsinformatie – TAXII of Threat Intelligence Platforms , kunt u de geïmporteerde gegevens bekijken in de tabel ThreatIntelligenceIndicator in Logboeken, waar alle Microsoft Sentinel-gebeurtenisgegevens worden opgeslagen. Microsoft Sentinel-functies, zoals Analytics en Workbooks , gebruiken deze tabel ook.

De bedreigingsindicatoren weergeven:

  1. Zoek en selecteer Microsoft Sentinel in de Azure Portal.

    Microsoft Sentinel selecteren

  2. Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd.

  3. Selecteer Logboeken in het linkernavigatievenster.

  4. Zoek en selecteer op het tabblad Tabellen de tabel ThreatIntelligenceIndicator .

  5. Selecteer het pictogram Voorbeeldgegevensvoorbeeld naast de tabelnaam om tabelgegevens weer te geven.

  6. Selecteer Weergeven in queryeditor en selecteer vervolgens de vervolgkeuzepijl links van een van de resultaten om informatie te zien, zoals in het volgende voorbeeld:

    Voorbeeld van bedreigingsindicatorresultaat

Microsoft Sentinel Analytics

Het belangrijkste gebruik voor bedreigingsindicatoren in SIEM-oplossingen is om analyses uit te voeren die overeenkomen met gebeurtenissen met bedreigingsindicatoren om beveiligingswaarschuwingen, incidenten en geautomatiseerde reacties te produceren. Microsoft Sentinel Analytics maakt analyseregels die volgens planning worden geactiveerd om waarschuwingen te genereren. U drukt regelparameters uit als query's en configureert hoe vaak de regel wordt uitgevoerd, welke queryresultaten beveiligingswaarschuwingen en incidenten genereren en eventuele geautomatiseerde reacties op de waarschuwingen.

U kunt nieuwe analyseregels helemaal zelf maken of vanuit een set ingebouwde Microsoft Sentinel-regelsjablonen die u als zodanig kunt gebruiken of wijzigen om aan uw behoeften te voldoen. De sjablonen voor analyseregels die overeenkomen met bedreigingsindicatoren met gebeurtenisgegevens, zijn allemaal voorzien van de titel Ti-kaart en werken allemaal op dezelfde manier. De verschillen zijn welk type bedreigingsindicatoren u wilt gebruiken: domein, e-mail, bestands-hash, IP-adres of URL en op welke gebeurtenistypen moeten worden vergeleken. Elke sjabloon bevat de vereiste gegevensbronnen voor de regel om te functioneren, zodat u in één oogopslag kunt zien of u de benodigde gebeurtenissen hebt geïmporteerd in Microsoft Sentinel.

Zie Een analyseregel maken op basis van een sjabloon voor gedetailleerde instructies voor het maken van een analyseregel.

In Microsoft Sentinel bevinden ingeschakelde analyseregels zich op het tabblad Actieve regels van de sectie Analyse . U kunt actieve regels bewerken, inschakelen, uitschakelen, dupliceren of verwijderen.

Gegenereerde beveiligingswaarschuwingen bevinden zich in de tabel SecurityAlert in de sectie Logboeken van Microsoft Sentinel. De beveiligingswaarschuwingen genereren ook beveiligingsincidenten, die zich in de sectie Incidenten bevinden. Beveiligingsteams kunnen de incidenten classificeren en onderzoeken om de juiste antwoorden te bepalen. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

U kunt ook automatisering aanwijzen om te activeren wanneer de regels beveiligingswaarschuwingen genereren. Automation in Microsoft Sentinel maakt gebruik van Playbooks, mogelijk gemaakt door Azure Logic Apps. Zie Zelfstudie: Automatische bedreigingsreacties instellen in Microsoft Sentinel voor meer informatie.

Microsoft Sentinel Threat Intelligence-werkmap

Werkmappen bieden krachtige interactieve dashboards waarmee u inzicht krijgt in alle aspecten van Microsoft Sentinel. U kunt een Microsoft Sentinel-werkmap gebruiken om belangrijke CTI-gegevens te visualiseren. De opgegeven sjablonen bieden een uitgangspunt en u kunt eenvoudig de sjablonen aanpassen voor uw bedrijfsbehoeften, nieuwe dashboards maken die veel verschillende gegevensbronnen combineren en uw gegevens op unieke manieren visualiseren. Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen, dus uitgebreide documentatie en sjablonen zijn beschikbaar.

Zie De werkmap Bedreigingsinformatie van Microsoft Sentinel weergeven en bewerken voor gedetailleerde instructies over het weergeven en bewerken van de Werkmap bedreigingsinformatie.

Alternatieven

  • Bedreigingsindicatoren bieden nuttige context in andere Microsoft Sentinel-ervaringen, zoals Opsporing en Notebooks. Zie Jupyter Notebooks in Sentinel voor meer informatie over het gebruik van CTI in Notebooks.

  • Elke organisatie met een aangepaste TIP kan de Microsoft Graph Security TiIndicators-API gebruiken om bedreigingsindicatoren te verzenden naar andere Microsoft-beveiligingsoplossingen, zoals Defender ATP.

  • Microsoft Sentinel biedt veel andere ingebouwde gegevensconnectors voor Microsoft-oplossingen zoals Microsoft Threat Protection, Microsoft 365-bronnen en Microsoft Defender for Cloud Apps. Er zijn ook ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook de algemene gebeurtenisindeling, Syslog of REST API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel. Zie Verbinding maken met gegevensbronnen voor meer informatie.

Scenariodetails

CTI (Cyber Threat Intelligence) kan afkomstig zijn van veel bronnen, zoals opensource-gegevensfeeds, community's voor het delen van bedreigingsinformatie, betaalde intelligentiefeeds en beveiligingsonderzoeken binnen organisaties. CTI kan variëren van geschreven rapporten over de motivaties, infrastructuur en technieken van een bedreigingsacteur tot specifieke waarnemingen van IP-adressen, domeinen en bestandshashes. CTI biedt essentiële context voor ongebruikelijke activiteiten, zodat beveiligingspersoneel snel kan handelen om mensen en activa te beschermen.

De meest gebruikte CTI in SIEM-oplossingen zoals Microsoft Sentinel is bedreigingsindicatorgegevens, ook wel Indicators of Compromise (IoCs) genoemd. Bedreigingsindicatoren koppelen URL's, bestandshashes, IP-adressen en andere gegevens aan bekende bedreigingsactiviteiten, zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd, omdat beveiligingsproducten en automatisering deze op grote schaal kunnen gebruiken om potentiële bedreigingen te beschermen en te detecteren. Microsoft Sentinel kan helpen bij het detecteren, reageren op en bieden van CTI-context voor schadelijke cyberactiviteit.

Potentiële gebruikscases

  • Maak verbinding met opensource-bedreigingsindicatorgegevens van openbare servers om bedreigingsactiviteit te identificeren, analyseren en erop te reageren.
  • Gebruik bestaande bedreigingsinformatieplatforms of aangepaste oplossingen met de Microsoft Graph tiIndicators-API om verbinding te maken met en de toegang tot bedreigingsindicatorgegevens te beheren.
  • CTI-context en -rapportage bieden voor beveiligingsonderzoekers en belanghebbenden.

Overwegingen

  • De microsoft Sentinel Threat Intelligence-gegevensconnectors zijn momenteel beschikbaar als openbare preview. Bepaalde functies worden mogelijk niet ondersteund of hebben mogelijk beperkte mogelijkheden.

  • Microsoft Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen Inzender, Lezer en Responder toe te wijzen aan gebruikers, groepen en Azure-services. Deze kunnen communiceren met Azure-rollen (Eigenaar, Inzender, Lezer) en Log Analytics-rollen (Log Analytics-lezer, Log Analytics-inzender). U kunt aangepaste rollen maken en geavanceerde Azure RBAC gebruiken voor de gegevens die u opslaat in Microsoft Sentinel. Zie Machtigingen in Microsoft Sentinel voor meer informatie.

  • Microsoft Sentinel is de eerste 31 dagen gratis voor elke Azure Monitor Log Analytics-werkruimte. Daarna kunt u modellen voor betalen per gebruik of capaciteitsreservering gebruiken voor de gegevens die u opneemt en opslaat. Zie prijzen voor Microsoft Sentinel voor meer informatie.

Dit scenario implementeren

De volgende secties bevatten gedetailleerde stappen voor het volgende:

Bedreigingsindicatoren importeren met de TAXII-gegevensconnector

Waarschuwing

De volgende instructies gebruiken Limo, de gratis STIX/TAXII-feed van Anomali. Deze feed heeft het einde van de levensduur bereikt en wordt niet meer bijgewerkt. De volgende instructies kunnen niet worden voltooid zoals geschreven. U kunt deze feed subsititueren met een andere API-compatibile-feed waartoe u toegang hebt.

TAXII 2.x-servers adverteren API Roots, die URL's zijn die bedreigingsinformatieverzamelingen hosten. Als u de API-basis - en verzamelings-id van de TAXII-server al kent waarmee u wilt werken, kunt u doorgaan en alleen de TAXII-connector in Microsoft Sentinel inschakelen.

Als u de API-hoofdmap niet hebt, kunt u deze meestal ophalen op de documentatiepagina van de bedreigingsinformatieprovider, maar soms is de enige informatie die beschikbaar is de URL van het detectie-eindpunt. U vindt de API-hoofdmap met behulp van het detectie-eindpunt. In het volgende voorbeeld wordt het detectie-eindpunt van de Anomali Limo ThreatStream TAXII 2.0-server gebruikt.

  1. Navigeer en meld u vanuit een browser aan bij het detectie-eindpunt van threatStream TAXII 2.0, https://limo.anomali.com/taxiimet behulp van de gasten het wachtwoord van de gebruikersnaam. Nadat u zich hebt aangemeld, ziet u de volgende informatie:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Als u door verzamelingen wilt bladeren, voert u de API-hoofdmap in die u uit de vorige stap in uw browser hebt gekregen: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. U ziet informatie zoals:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

U hebt nu de informatie die u nodig hebt om Microsoft Sentinel te verbinden met een of meer TAXII-serververzamelingen van Anomali Limo. Bijvoorbeeld:

API-hoofdmap Verzamelings-id
Phish Tank 107
Cybercriminaliteit 41

De Threat Intelligence - TAXII-gegevensconnector inschakelen in Microsoft Sentinel:

  1. Zoek en selecteer Microsoft Sentinel in de Azure Portal.

  2. Selecteer de werkruimte waarin u bedreigingsindicatoren wilt importeren uit de TAXII-service.

  3. Selecteer Gegevensconnectors in de linkernavigatiebalk, zoek en selecteer Bedreigingsinformatie - TAXII (preview) en selecteer connectorpagina openen.

  4. Voer op de pagina Configuratie een beschrijvende naam (voor server) in, zoals de titel van de verzameling, de API-hoofd-URL en de verzamelings-id die u wilt importeren, en indien nodig gebruikersnaam en wachtwoord en selecteer Vervolgens Toevoegen.

    TAXII-configuratiepagina

U ziet uw verbinding onder Lijst met geconfigureerde TAXII 2.0-servers. Herhaal de configuratie voor elke verzameling die u wilt verbinden vanaf dezelfde of verschillende TAXII-servers.

Bedreigingsindicatoren importeren met de platformgegevensconnector

De tiIndicators-API heeft de id van de toepassing (client),directory-id (tenant) en het clientgeheim van uw TIP of aangepaste oplossing nodig om bedreigingsindicatoren te verbinden en te verzenden naar Microsoft Sentinel. U krijgt deze informatie door de TIP- of oplossings-app te registreren in Azure Active Directory (Azure AD) en deze machtigingen te verlenen.

Registreer eerst de app in Azure AD:

  1. Zoek en selecteer App-registraties in de Azure Portal en selecteer vervolgens Nieuwe registratie.

  2. Voer op de pagina Een toepassing registreren een naam in voor de registratie van uw TIP- of aangepaste oplossings-app, selecteer alleen Accounts in deze organisatiemap en selecteer Vervolgens Registreren.

    App-registratie

  3. Nadat de registratie is voltooid, kopieert en slaat u de id-waarden van de toepassings-id (client) en directory-id (tenant) op op de pagina Overzicht van uw geregistreerde app.

Verdeel vervolgens machtigingen voor de TIP of aangepaste oplossing om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden. Een Azure AD globale beheerder moet ook toestemming verlenen aan de app voor uw organisatie.

  1. Selecteer API-machtigingen in de linkernavigatiebalk van uw geregistreerde TIP of aangepaste oplossings-app en selecteer vervolgens Een machtiging toevoegen.

  2. Selecteer op de pagina API-machtigingen aanvragen de optie Microsoft Graph en selecteer vervolgens Toepassingsmachtigingen.

  3. Zoek en selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer vervolgens Machtigingen toevoegen.

    App-machtigingen

  4. Selecteer Beheerderstoestemming verlenen voor <uw tenant> op de pagina API-machtigingen van de app om toestemming te verlenen voor uw organisatie. Als u niet de rol Globale beheerder voor uw account hebt, is deze knop uitgeschakeld. Vraag een globale beheerder van uw organisatie om deze stap uit te voeren. Zodra toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.

    App-toestemming verlenen

  5. Nadat machtigingen en toestemming zijn verleend, selecteert u Certificatengeheimen & in de linkernavigatie van uw app en selecteert u Nieuw clientgeheim.

  6. Selecteer Toevoegen om een geheime API-sleutel voor uw app op te halen.

    Clientgeheim ophalen

    Zorg ervoor dat u het clientgeheim nu kopieert en opslaat, omdat u het geheim niet kunt ophalen zodra u van deze pagina bent verwijderd.

Voer in uw geïntegreerde TIP of aangepaste oplossing de toepassings-id (client-id, map-id (tenant) en waarden voor clientgeheimen in die u hebt opgeslagen. Stel Microsoft Sentinel in als het doel en stel een actie in voor elke indicator. Waarschuwing is de meest relevante actie voor de meeste microsoft Sentinel-toepassingen. De Microsoft Graph tiIndicators-API verzendt nu bedreigingsindicatoren naar Microsoft Sentinel, die beschikbaar zijn voor alle Microsoft Sentinel-werkruimten in uw organisatie.

Schakel ten slotte de gegevensconnector Microsoft Sentinel Threat Intelligence Platforms in om de bedreigingsindicatoren te importeren die uw TIP of aangepaste oplossing verzendt via de Microsoft Graph tiIndicators-API :

  1. Zoek en selecteer Microsoft Sentinel in de Azure Portal.
  2. Selecteer de werkruimte waarin u de bedreigingsindicatoren wilt importeren uit uw TIP of aangepaste oplossing.
  3. Selecteer Gegevensconnectors in de linkernavigatiebalk, zoek en selecteer Bedreigingsinformatieplatforms (preview) en selecteer connectorpagina openen.
  4. Omdat u de registratie- en configuratiestappen al hebt voltooid, selecteert u Verbinding maken.

Binnen een paar minuten moeten uw TIP- of aangepaste bedreigingsindicatoren voor oplossingen beginnen te stromen naar de Microsoft Sentinel-werkruimte.

Een analyseregel maken op basis van een sjabloon

In dit voorbeeld wordt gebruikgemaakt van de regelsjabloon met de naam TI-toewijzings-IP-entiteit met AzureActivity, waarmee alle bedreigingsindicatoren van het IP-adres van het IP-adres van uw Azure-activiteit worden vergeleken met alle ip-adresgebeurtenissen van uw Azure-activiteit. Elke overeenkomst genereert een beveiligingswaarschuwing en een bijbehorend incident voor onderzoek door uw beveiligingsteam.

In het voorbeeld wordt ervan uitgegaan dat u een of beide bedreigingsinformatiegegevensconnectors hebt gebruikt om bedreigingsindicatoren te importeren en de Azure Activity-gegevensconnector om gebeurtenissen op Azure-abonnementsniveau te importeren. U hebt beide gegevenstypen nodig om deze analyseregel te kunnen gebruiken.

  1. Zoek en selecteer Microsoft Sentinel in de Azure Portal.

  2. Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met een van de gegevensconnector voor bedreigingsinformatie.

  3. Selecteer Analytics in het linkernavigatievenster.

  4. Zoek en selecteer op het tabblad Regelsjablonen de TI-toewijzingsentiteit ti (preview) aan AzureActivity en selecteer vervolgens Regel maken.

  5. Controleer in de eerste wizard Analytische regel - Nieuwe regel maken op sjabloonpagina of de regelstatus is ingesteld op Ingeschakeld en wijzig desgewenst de naam of beschrijving van de regel. Selecteer Volgende: Regellogica instellen.

    Analyseregel maken

    De pagina Regellogica bevat de query voor de regel, entiteiten die moeten worden toegewezen, regelplanning en het aantal queryresultaten dat een beveiligingswaarschuwing genereert. De sjablooninstellingen worden één keer per uur uitgevoerd, identificeert alle IP-adres-IoC's die overeenkomen met alle IP-adressen van Azure-gebeurtenissen en genereert beveiligingswaarschuwingen voor alle overeenkomsten. U kunt deze instellingen behouden of een van deze instellingen wijzigen om aan uw behoeften te voldoen. Wanneer u klaar bent, selecteert u Volgende: Incidentinstellingen (preview).

  6. Controleer onder Incidentinstellingen (preview) of Incidenten maken op basis van waarschuwingen die door deze analyseregel worden geactiveerd , is ingesteld op Ingeschakeld en selecteer Volgende: Geautomatiseerd antwoord.

    Met deze stap kunt u automatisering configureren om te activeren wanneer de regel een beveiligingswaarschuwing genereert. Automation in Microsoft Sentinel maakt gebruik van Playbooks, mogelijk gemaakt door Azure Logic Apps. Zie Zelfstudie: Automatische bedreigingsreacties instellen in Microsoft Sentinel voor meer informatie. Voor dit voorbeeld selecteert u Volgende: Controleren en nadat u de instellingen hebt gecontroleerd, selecteert u Maken.

Uw regel wordt onmiddellijk geactiveerd wanneer deze wordt gemaakt en wordt vervolgens geactiveerd volgens de normale planning.

De werkmap Bedreigingsinformatie weergeven en bewerken

  1. Zoek en selecteer Microsoft Sentinel in de Azure Portal.

  2. Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met een van de gegevensconnector voor bedreigingsinformatie.

  3. Selecteer Werkmappen in het linkernavigatievenster.

  4. Zoek en selecteer de werkmap met de titel Bedreigingsinformatie.

  5. Zorg ervoor dat u de benodigde gegevens en verbindingen hebt, zoals wordt weergegeven en selecteer Opslaan.

    Werkmap bedreigingsinformatie

    Selecteer een locatie in het pop-upvenster en selecteer vervolgens OK. Met deze stap wordt de werkmap opgeslagen, zodat u deze kunt wijzigen en uw wijzigingen kunt opslaan.

  6. Selecteer Opgeslagen werkmap weergeven om de werkmap te openen en bekijk de standaardgrafieken die de sjabloon biedt.

Als u de werkmap wilt bewerken, selecteert u Bewerken in de werkbalk boven aan de pagina. U kunt Bewerken naast een grafiek selecteren om de query en instellingen voor die grafiek te bewerken.

Ga als volgt te werk om een nieuwe grafiek toe te voegen waarin bedreigingsindicatoren op bedreigingstype worden weergegeven:

  1. Selecteer Bewerken boven aan de pagina, schuif naar de onderkant van de pagina en selecteer Toevoegen en selecteer Query toevoegen.

  2. Voer onder Log Analytics-werkruimtelogboekenquery de volgende query in:

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Selecteer Staafdiagram in de vervolgkeuzelijst Visualisatie en selecteer Klaar met bewerken.

  4. Selecteer Boven aan de pagina de optie Klaar met bewerken en selecteer vervolgens het pictogram Opslaan om de nieuwe grafiek en werkmap op te slaan.

    Nieuwe werkmapgrafiek

Volgende stappen

Bezoek Microsoft Sentinel op GitHub om bijdragen van zowel de community als door Microsoft te bekijken. Hier vindt u nieuwe ideeën, sjablonen en gesprekken over alle functiegebieden van Microsoft Sentinel.

Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen, zodat uitgebreide documentatie en sjablonen beschikbaar zijn. Een goede plek om te beginnen is interactieve rapporten maken met Azure Monitor-werkmappen. Er is een uitgebreide community van Gebruikers van Azure Monitor-werkmappen op GitHub, waar u extra sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.

Zie de volgende artikelen voor meer informatie over de aanbevolen technologieën: