Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
SIEM-teams (Security Information and Event Management) en SOC-teams (Security Operations Center) worden meestal regelmatig overspoeld met beveiligingswaarschuwingen en -incidenten, op volumes die zo groot zijn dat beschikbaar personeel overbelast raakt. Dit resulteert maar al te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar is voor aanvallen die onopgemerkt blijven.
Microsoft Sentinel is niet alleen een SIEM-systeem, maar ook een platform voor beveiligingsindeling, automatisering en respons (SOAR). Een van de belangrijkste doelen is het automatiseren van terugkerende en voorspelbare verrijkings-, reactie- en hersteltaken die de verantwoordelijkheid zijn van uw beveiligingscentrum en personeel (SOC/SecOps), waardoor tijd en resources worden vrijgemaakt voor meer diepgaande onderzoek naar en opsporing van geavanceerde bedreigingen.
In dit artikel worden de SOAR-mogelijkheden van Microsoft Sentinel beschreven en wordt uitgelegd hoe het gebruik van automatiseringsregels en playbooks als reactie op beveiligingsrisico's de effectiviteit van uw SOC verhoogt en u tijd en resources bespaart.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Automatiseringsregels
Microsoft Sentinel maakt gebruik van automatiseringsregels om gebruikers toe te staan automatisering van incidentafhandeling vanaf een centrale locatie te beheren. Automatiseringsregels gebruiken om het volgende te doen:
- Geavanceerdere automatisering toewijzen aan incidenten en waarschuwingen met behulp van playbooks
- Incidenten automatisch taggen, toewijzen of sluiten zonder een playbook
- Antwoorden voor meerdere analyseregels tegelijk automatiseren
- Lijsten maken met taken die uw analisten moeten uitvoeren bij het trillen, onderzoeken en herstellen van incidenten
- De volgorde bepalen van de acties die worden uitgevoerd
U wordt aangeraden automatiseringsregels toe te passen wanneer incidenten worden gemaakt of bijgewerkt om de automatisering verder te stroomlijnen en complexe werkstromen voor uw incidentindelingsprocessen te vereenvoudigen.
Zie Reactie op bedreigingen automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie.
Playbooks
Een playbook is een verzameling reactie- en herstelacties en logica die kan worden uitgevoerd vanuit Microsoft Sentinel als een routine. Een playbook kan:
- Hulp bij het automatiseren en organiseren van uw reactie op bedreigingen
- Integreren met andere systemen, zowel intern als extern
- Worden geconfigureerd om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, of handmatig op aanvraag worden uitgevoerd, zoals in reactie op nieuwe waarschuwingen
In Microsoft Sentinel zijn playbooks gebaseerd op werkstromen die zijn ingebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle kracht en aanpasbaarheid van de integratie- en indelingsmogelijkheden van Logic Apps en gebruiksvriendelijke ontwerphulpprogramma's, en van de schaalbaarheid, betrouwbaarheid en serviceniveau van een Tier 1-Azure-service.
Zie Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel voor meer informatie.
Automatisering in de Microsoft Defender-portal
Let op de volgende details over hoe automatisering werkt voor Microsoft Sentinel in de Defender-portal. Als u een bestaande klant bent die overstapt van de Azure Portal naar de Defender-portal, ziet u mogelijk verschillen in de manier waarop automatisering in uw werkruimte werkt na de onboarding naar de Defender-portal.
| Functionaliteit | Beschrijving |
|---|---|
| Automatiseringsregels met waarschuwingstriggers | In de Defender-portal werken automatiseringsregels met waarschuwingstriggers alleen op Microsoft Sentinel waarschuwingen. Zie Trigger voor het maken van waarschuwingen voor meer informatie. |
| Automatiseringsregels met incidenttriggers | In zowel de Azure Portal als de Defender-portal wordt de eigenschap Voorwaarde incidentprovider verwijderd, omdat alle incidenten Microsoft XDR als incidentprovider hebben (de waarde in het veld ProviderName). Op dat moment worden alle bestaande automatiseringsregels uitgevoerd op zowel Microsoft Sentinel als Microsoft Defender XDR incidenten, met inbegrip van incidenten waarbij de voorwaarde incidentprovider is ingesteld op alleen Microsoft Sentinel of Microsoft 365 Defender. Automatiseringsregels die de naam van een specifieke analyseregel opgeven, worden echter alleen uitgevoerd op incidenten die waarschuwingen bevatten die zijn gemaakt door de opgegeven analyseregel. Dit betekent dat u de eigenschap Voorwaarde analytische regelnaam kunt definiëren voor een analyseregel die alleen bestaat in Microsoft Sentinel om te beperken dat uw regel alleen wordt uitgevoerd op incidenten in Microsoft Sentinel. Na onboarding naar de Defender-portal bevat de tabel SecurityIncident ook geen veld Beschrijving meer. Daarom: - Als u dit veld Beschrijving gebruikt als voorwaarde voor een automatiseringsregel met een trigger voor het maken van incidenten, werkt die automatiseringsregel niet na onboarding naar de Defender-portal. In dergelijke gevallen moet u ervoor zorgen dat u de configuratie op de juiste manier bijwerkt. Zie Voorwaarden voor incidenttriggers voor meer informatie. - Als u een integratie hebt geconfigureerd met een extern ticketingsysteem, zoals ServiceNow, ontbreekt de beschrijving van het incident. |
| Latentie in playbooktriggers | Het kan tot 5 minuten duren voordat Microsoft Defender incidenten worden weergegeven in Microsoft Sentinel. Als deze vertraging aanwezig is, wordt het activeren van playbook ook vertraagd. |
| Wijzigingen in bestaande incidentnamen | De Defender-portal maakt gebruik van een unieke engine om incidenten en waarschuwingen te correleren. Wanneer u uw werkruimte onboardt naar de Defender-portal, kunnen bestaande incidentnamen worden gewijzigd als de correlatie wordt toegepast. Om ervoor te zorgen dat uw automatiseringsregels altijd correct worden uitgevoerd, raden we u daarom aan incidenttitels als voorwaardecriteria in uw automatiseringsregels te vermijden en in plaats daarvan de naam te gebruiken van een analyseregel die waarschuwingen in het incident heeft gemaakt, en tags als er meer specificiteit is vereist. |
| Bijgewerkt per veld | Zie Incidentupdatetrigger voor meer informatie. |
| Automatiseringsregels rechtstreeks vanuit een incident maken | Het maken van automatiseringsregels rechtstreeks vanuit een incident wordt alleen ondersteund in de Azure Portal. Als u in de Defender-portal werkt, maakt u uw automatiseringsregels helemaal opnieuw vanaf de automation-pagina . |
| Regels voor het maken van Microsoft-incidenten | Regels voor het maken van Microsoft-incidenten worden niet ondersteund in de Defender-portal. Zie Microsoft Defender XDR incidenten en regels voor het maken van Microsoft-incidenten voor meer informatie. |
| Automatiseringsregels uitvoeren vanuit de Defender-portal | Het kan tot 10 minuten duren vanaf het moment dat een waarschuwing wordt geactiveerd en een incident wordt gemaakt of bijgewerkt in de Defender-portal tot het moment waarop een automatiseringsregel wordt uitgevoerd. Deze tijdsvertraging komt doordat het incident wordt gemaakt in de Defender-portal en vervolgens wordt doorgestuurd naar Microsoft Sentinel voor de automatiseringsregel. |
| Tabblad Actieve playbooks | Na onboarding naar de Defender-portal wordt op het tabblad Actieve playbooks standaard een vooraf gedefinieerd filter met het abonnement van de werkruimte weergegeven. Voeg in de Azure Portal gegevens toe voor andere abonnementen met behulp van het abonnementsfilter. Zie Microsoft Sentinel playbooks maken en aanpassen op basis van sjablonen voor meer informatie. |
| Playbooks handmatig uitvoeren op aanvraag | De volgende procedures worden momenteel niet ondersteund in de Defender-portal: |
| Voor het uitvoeren van playbooks op incidenten is Microsoft Sentinel synchronisatie vereist | Als u probeert een playbook uit te voeren op een incident vanuit de Defender-portal en het bericht 'Kan geen toegang krijgen tot gegevens met betrekking tot deze actie. Vernieuw het scherm over een paar minuten', betekent dit dat het incident nog niet is gesynchroniseerd met Microsoft Sentinel. Vernieuw de incidentpagina nadat het incident is gesynchroniseerd om het playbook succesvol uit te voeren. |
|
Incidenten: waarschuwingen toevoegen aan incidenten / Waarschuwingen van incidenten verwijderen |
Omdat het toevoegen van waarschuwingen aan of het verwijderen van waarschuwingen uit incidenten niet wordt ondersteund na het onboarden van uw werkruimte in de Defender-portal, worden deze acties ook niet ondersteund vanuit playbooks. Zie Begrijpen hoe waarschuwingen worden gecorreleerd en incidenten worden samengevoegd in de Defender-portal voor meer informatie. |
| Microsoft Defender XDR integratie in meerdere werkruimten | Als u XDR-gegevens hebt geïntegreerd met meer dan één werkruimte in één tenant, worden de gegevens nu alleen opgenomen in de primaire werkruimte in de Defender-portal. Breng automatiseringsregels over naar de relevante werkruimte om ze actief te houden. |
| Automatisering en de correlatie-engine | De correlatie-engine kan waarschuwingen van meerdere signalen combineren tot één incident, wat ertoe kan leiden dat automatisering gegevens ontvangt die u niet had verwacht. We raden u aan uw automatiseringsregels te controleren om er zeker van te zijn dat u de verwachte resultaten ziet. |