Entiteiten toevoegen aan bedreigingsinformatie in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal

Tijdens een onderzoek onderzoekt u entiteiten en hun context als een belangrijk onderdeel van het begrijpen van het bereik en de aard van een incident. Wanneer u een entiteit ontdekt als een schadelijke domeinnaam, URL, bestand of IP-adres in het incident, moet deze worden gelabeld en bijgehouden als een indicator van inbreuk (IOC) in uw bedreigingsinformatie.

U ontdekt bijvoorbeeld een IP-adres dat poortscans uitvoert in uw netwerk, of werkt als een opdracht- en beheerknooppunt, het verzenden en/of ontvangen van verzendingen van grote aantallen knooppunten in uw netwerk.

Met Microsoft Sentinel kunt u deze typen entiteiten rechtstreeks vanuit uw incidentonderzoek markeren en deze toevoegen aan uw bedreigingsinformatie. U kunt de toegevoegde indicatoren weergeven in logboeken en bedreigingsinformatie en deze gebruiken in uw Microsoft Sentinel-werkruimte.

Een entiteit toevoegen aan uw bedreigingsinformatie

De nieuwe pagina met incidentdetails biedt u een andere manier om entiteiten toe te voegen aan bedreigingsinformatie, naast de onderzoeksgrafiek. Beide manieren worden hieronder weergegeven.

Details van incident

1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

2. Selecteer een incident dat u wilt onderzoeken. Selecteer in het deelvenster Details van het incident de optie Volledige details weergeven om de pagina met details van het incident te openen.

   

3. Zoek de entiteit uit de widget Entiteiten die u wilt toevoegen als bedreigingsindicator. (U kunt de lijst filteren of een zoektekenreeks invoeren om deze te vinden.)

4. Selecteer de drie puntjes rechts van de entiteit en selecteer Toevoegen aan TI in het snelmenu.

   Alleen de volgende typen entiteiten kunnen worden toegevoegd als bedreigingsindicatoren:

   • Domeinnaam
   • IP-adres (IPv4 en IPv6)
   • URL
   • Bestand (hash)

   

Onderzoeksgrafiek

De onderzoeksgrafiek is een visueel, intuïtief hulpprogramma dat verbindingen en patronen presenteert en uw analisten in staat stelt om de juiste vragen te stellen en leads te volgen. U kunt deze gebruiken om entiteiten toe te voegen aan uw lijsten met bedreigingsinformatieindicatoren, zodat deze beschikbaar zijn in uw werkruimte.

1. Selecteer Incidenten in het navigatiemenu van Microsoft Sentinel.

2. Selecteer een incident dat u wilt onderzoeken. Selecteer in het deelvenster Details van het incident de knop Acties en kies Onderzoeken in het snelmenu. Hiermee wordt de onderzoeksgrafiek geopend.

   

3. Selecteer de entiteit in de grafiek die u als bedreigingsindicator wilt toevoegen. Aan de rechterkant wordt een zijpaneel geopend. Selecteer Toevoegen aan TI.

   Alleen de volgende typen entiteiten kunnen worden toegevoegd als bedreigingsindicatoren:

   • Domeinnaam
   • IP-adres (IPv4 en IPv6)
   • URL
   • Bestand (hash)

   

Afhankelijk van de twee interfaces die u kiest, eindigt u hier:

1. Het deelvenster Nieuwe indicatorzijde wordt geopend. De volgende velden worden automatisch ingevuld:

   • Type

     • Het type indicator dat wordt vertegenwoordigd door de entiteit die u toevoegt.
       Vervolgkeuzelijst met mogelijke waarden: ipv4-addr, ipv6-addr, URL, bestand, domeinnaam
     • Vereist; automatisch ingevuld op basis van het entiteitstype.

   • Value

     • De naam van dit veld verandert dynamisch in het geselecteerde indicatortype.
     • De waarde van de indicator zelf.
     • Vereist; automatisch ingevuld door de entiteitswaarde.

   • Tags

     • Tags met vrije tekst die u aan de indicator kunt toevoegen.
     • Optionele; automatisch ingevuld door de incident-id. U kunt anderen toevoegen.

   • Naam

     • Naam van de indicator: dit wordt weergegeven in uw lijst met indicatoren.
     • Optionele; automatisch ingevuld door de naam van het incident.

   • Gemaakt door

     • Maker van de indicator.
     • Optionele; automatisch ingevuld door de gebruiker die zich heeft aangemeld bij Microsoft Sentinel.

   Vul de resterende velden dienovereenkomstig in.

   • Bedreigingstype

     • Het bedreigingstype dat wordt vertegenwoordigd door de indicator.
     • Optionele; vrije tekst.

   • Beschrijving

     • Beschrijving van de indicator.
     • Optionele; vrije tekst.

   • Ingetrokken

     • Ingetrokken status van de indicator. Schakel het selectievakje in om de indicator in te trekken, schakel het selectievakje uit om deze actief te maken.
     • Optionele; Booleaanse.

   • Betrouwbaarheid

     • Score die het vertrouwen weergeeft in de juistheid van de gegevens, met procent.
     • Optionele; geheel getal, 1-100

   • Kill chain

     • Fasen in de Lockheed Martin Cyber Kill Chain waaraan de indicator overeenkomt.
     • Optionele; vrije tekst

   • Geldig vanaf

     • De tijd van waaruit deze indicator als geldig wordt beschouwd.
     • Vereist; datum/tijd

   • Geldig tot

     • Het tijdstip waarop deze indicator niet langer als geldig moet worden beschouwd.
     • Optionele; datum/tijd

   

2. Wanneer alle velden naar tevredenheid zijn ingevuld, selecteert u Toepassen. U ziet een bevestigingsbericht in de rechterbovenhoek dat uw indicator is gemaakt.

3. De entiteit wordt toegevoegd als een bedreigingsindicator in uw werkruimte. U vindt deze in de lijst met indicatoren op de pagina Bedreigingsinformatie en ook in de tabel ThreatIntelligenceIndicators in Logboeken.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u entiteiten toevoegt aan uw lijsten met bedreigingsindicatoren. Zie voor meer informatie:

• Incidenten onderzoeken met Microsoft Sentinel
• Informatie over bedreigingsinformatie in Microsoft Sentinel
• Werken met bedreigingsindicatoren in Microsoft Sentinel