Best practices voor Microsoft Sentinel

Deze verzameling best practices biedt richtlijnen voor het implementeren, beheren en gebruiken van Microsoft Sentinel, inclusief koppelingen naar andere artikelen voor meer informatie.

Belangrijk

Voordat u Microsoft Sentinel implementeert, moet u activiteiten en vereisten voorafgaand aan de implementatie controleren en voltooien.

Best practice-verwijzingen

De Microsoft Sentinel-documentatie bevat richtlijnen voor best practices verspreid over onze artikelen. Naast de inhoud in dit artikel, raadpleegt u het volgende voor meer informatie:

• Gebruikers met beheerdersrechten:

  • Activiteiten vóór de implementatie en vereisten voor het implementeren van Microsoft Sentinel
  • Best practices voor werkruimtearchitectuur van Microsoft Sentinel
  • De architectuur van uw Microsoft Sentinel-werkruimte ontwerpen
  • Voorbeeldontwerpen van Microsoft Sentinel-werkruimte
  • Best practices voor gegevensverzameling
  • Microsoft Sentinel-kosten en -facturering
  • Machtigingen in Microsoft Sentinel
  • Intellectueel eigendom van MSSP in Microsoft Sentinel beveiligen
  • Integratie van bedreigingsinformatie in Microsoft Sentinel
  • Inhoud en oplossingen van Microsoft Sentinel
  • Microsoft Sentinel-query's en -activiteiten controleren

• Analisten:

  • Aanbevolen playbooks
  • Omgaan met fout-positieven in Microsoft Sentinel
  • Bedreigingen opsporen met Microsoft Sentinel
  • Veelgebruikte Microsoft Sentinel-werkmappen
  • Bedreigingen out-of-the-box detecteren
  • Aangepaste regels maken voor het detecteren van bedreigingen
  • Jupyter Notebook gebruiken om beveiligingsbedreigingen op te sporen

Zie voor meer informatie ook onze video: SecOps ontwerpen voor succes: Best practices voor het implementeren van Microsoft Sentinel

Reguliere SOC-activiteiten die moeten worden uitgevoerd

Plan regelmatig de volgende Microsoft Sentinel-activiteiten om de aanbevolen beveiligingsprocedures te blijven volgen:

Dagelijkse taken

• Incidenten sorteren en onderzoeken. Bekijk de pagina Microsoft Sentinel-incidenten om te controleren op nieuwe incidenten die zijn gegenereerd door de momenteel geconfigureerde analyseregels en begin met het onderzoeken van nieuwe incidenten. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

• Opsporingsquery's en bladwijzers verkennen. Bekijk de resultaten voor alle ingebouwde query's en werk bestaande opsporingsquery's en bladwijzers bij. Genereer handmatig nieuwe incidenten of werk oude incidenten bij, indien van toepassing. Zie voor meer informatie:

  • Automatisch incidenten maken vanuit Microsoft-beveiligingswaarschuwingen
  • Bedreigingen opsporen met Microsoft Sentinel
  • Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel

• Analytische regels. Controleer en schakel nieuwe analyseregels in, indien van toepassing, met inbegrip van nieuwe of nieuwe regels van onlangs verbonden gegevensconnectors.

• Gegevensconnectors. Controleer de status, datum en tijd van het laatste logboek dat is ontvangen van elke gegevensconnector om er zeker van te zijn dat de gegevens stromen. Controleer op nieuwe connectors en controleer de opname om ervoor te zorgen dat de ingestelde limieten niet zijn overschreden. Zie Best practices voor gegevensverzameling en Verbinding maken met gegevensbronnen voor meer informatie.

• Log Analytics-agent. Controleer of servers en werkstations actief zijn verbonden met de werkruimte en los eventuele mislukte verbindingen op en herstel deze. Zie Overzicht van Log Analytics-agent voor meer informatie.

• Playbookfouten. Controleer de uitvoeringsstatus van playbook en los eventuele fouten op. Zie Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel voor meer informatie.

Wekelijkse taken

• Inhoudsbeoordeling van oplossingen of zelfstandige inhoud. Download inhoudsupdates voor uw geïnstalleerde oplossingen of zelfstandige inhoud van de Inhoudshub. Bekijk nieuwe oplossingen of zelfstandige inhoud die van waarde kan zijn voor uw omgeving, zoals analyseregels, werkmappen, opsporingsquery's of playbooks.

• Microsoft Sentinel-controle. Bekijk de Microsoft Sentinel-activiteit om te zien wie resources heeft bijgewerkt of verwijderd, zoals analyseregels, bladwijzers, enzovoort. Zie Microsoft Sentinel-query's en -activiteiten controleren voor meer informatie.

Maandelijkse taken

• Gebruikerstoegang controleren. Controleer de machtigingen voor uw gebruikers en controleer op inactieve gebruikers. Zie Machtigingen in Microsoft Sentinel voor meer informatie.

• Log Analytics-werkruimtebeoordeling. Controleer of het bewaarbeleid voor log analytics-werkruimtegegevens nog steeds overeenkomt met het beleid van uw organisatie. Zie Beleid voor gegevensretentie en Azure Data Explorer integreren voor langetermijnretentie van logboeken voor meer informatie.

Integreren met Microsoft-beveiligingsservices

Microsoft Sentinel wordt mogelijk gemaakt door de onderdelen die gegevens naar uw werkruimte verzenden en wordt sterker gemaakt door integraties met andere Microsoft-services. Logboeken die zijn opgenomen in producten zoals Microsoft Defender for Cloud Apps, Microsoft Defender voor Eindpunt en Microsoft Defender for Identity kunnen deze services detecties maken en deze detecties op hun beurt leveren aan Microsoft Sentinel. Logboeken kunnen ook rechtstreeks in Microsoft Sentinel worden opgenomen om een vollediger beeld te geven van gebeurtenissen en incidenten.

In de volgende afbeelding ziet u bijvoorbeeld hoe Microsoft Sentinel gegevens opneemt van andere Microsoft-services en multicloud- en partnerplatforms om dekking te bieden voor uw omgeving:

Naast het opnemen van waarschuwingen en logboeken van andere bronnen, moet Microsoft Sentinel ook het volgende doen:

• Maakt gebruik van de informatie die wordt opgenomen met machine learning , waardoor betere gebeurteniscorrelatie, aggregatie van waarschuwingen, anomaliedetectie en meer mogelijk is.
• Bouwt en presenteert interactieve visuals via werkmappen, met daarin trends, gerelateerde informatie en belangrijke gegevens die worden gebruikt voor zowel beheertaken als onderzoeken.
• Voert playbooks uit om te reageren op waarschuwingen, het verzamelen van informatie, het uitvoeren van acties op items en het verzenden van meldingen naar verschillende platforms.
• Integreert met partnerplatforms, zoals ServiceNow en Jira, om essentiële services te bieden voor SOC-teams.
• Neemt verrijkingsfeeds op van platforms voor bedreigingsinformatie en haalt deze op om waardevolle gegevens op te halen voor onderzoek.

Incidenten beheren en erop reageren

In de volgende afbeelding ziet u aanbevolen stappen in een incidentbeheer- en reactieproces.

De volgende secties bevatten beschrijvingen op hoog niveau voor het gebruik van Microsoft Sentinel-functies voor incidentbeheer en -respons gedurende het hele proces. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

De pagina Incidenten en de onderzoeksgrafiek gebruiken

Start een sorteerproces voor nieuwe incidenten op de pagina Microsoft Sentinel-incidenten in Microsoft Sentinel en de onderzoeksgrafiek.

Ontdek belangrijke entiteiten, zoals accounts, URL's, IP-adres, hostnamen, activiteiten, tijdlijn en meer. Gebruik deze gegevens om te begrijpen of u een fout-positief bij de hand hebt. In dat geval kunt u het incident rechtstreeks sluiten.

Gegenereerde incidenten worden weergegeven op de pagina Incidenten , die fungeert als centrale locatie voor triage en vroegtijdig onderzoek. Op de pagina Incidenten worden de titel, ernst en gerelateerde waarschuwingen, logboeken en eventuele interessante entiteiten weergegeven. Incidenten bieden ook een snelle sprong naar verzamelde logboeken en eventuele hulpprogramma's met betrekking tot het incident.

De pagina Incidenten werkt samen met de onderzoeksgrafiek, een interactief hulpprogramma waarmee gebruikers een waarschuwing kunnen verkennen en er diep in kunnen duiken om het volledige bereik van een aanval weer te geven. Gebruikers kunnen vervolgens een tijdlijn met gebeurtenissen maken en de omvang van een bedreigingsketen ontdekken.

Als u ontdekt dat het incident een terecht positief incident is, kunt u rechtstreeks vanaf de pagina Incidenten actie ondernemen om logboeken en entiteiten te onderzoeken en de bedreigingsketen te verkennen. Nadat u de bedreiging hebt geïdentificeerd en een actieplan hebt gemaakt, gebruikt u andere hulpprogramma's in Microsoft Sentinel en andere Microsoft-beveiligingsservices om door te gaan met het onderzoeken.

Incidenten afhandelen met werkmappen

Naast het visualiseren en weergeven van informatie en trends, zijn Microsoft Sentinel-werkmappen waardevolle onderzoekshulpmiddelen.

Gebruik bijvoorbeeld de werkmap Onderzoeks insights om specifieke incidenten te onderzoeken, samen met eventuele bijbehorende entiteiten en waarschuwingen. Met deze werkmap kunt u dieper ingaan op entiteiten door gerelateerde logboeken, acties en waarschuwingen weer te geven.

Incidenten afhandelen met opsporing van bedreigingen

Tijdens het onderzoeken en zoeken naar hoofdoorzaken, voert u ingebouwde query's voor het opsporen van bedreigingen uit en controleert u de resultaten op indicatoren van inbreuk.

Tijdens een onderzoek, of nadat u stappen hebt ondernomen om de bedreiging te herstellen en uit te roeien, gebruikt u livestream om in realtime te controleren of er zich nog steeds schadelijke gebeurtenissen bevinden of dat er nog steeds schadelijke gebeurtenissen zijn.

Incidenten verwerken met entiteitsgedrag

Met entiteitsgedrag in Microsoft Sentinel kunnen gebruikers acties en waarschuwingen voor specifieke entiteiten controleren en onderzoeken, zoals het onderzoeken van accounts en hostnamen. Zie voor meer informatie:

• UEBA (User and Entity Behavior Analytics) inschakelen in Microsoft Sentinel
• Incidenten onderzoeken met UEBA-gegevens
• Microsoft Sentinel UEBA-verrijkingsreferentie

Incidenten afhandelen met volglijsten en bedreigingsinformatie

Als u detecties op basis van bedreigingsinformatie wilt maximaliseren, moet u gegevensconnectors voor bedreigingsinformatie gebruiken om indicatoren van inbreuk op te nemen:

• Verbinding maken met gegevensbronnen die zijn vereist voor de waarschuwingen Fusion en TI-toewijzing
• Indicatoren opnemen van TAXII- en TIP-platforms

Gebruik indicatoren van inbreuk in analyseregels, bij het opsporen van bedreigingen, het onderzoeken van logboeken of het genereren van meer incidenten.

Gebruik een volglijst waarin gegevens uit opgenomen gegevens en externe bronnen, zoals verrijkingsgegevens, worden gecombineerd. Maak bijvoorbeeld lijsten met IP-adresbereiken die worden gebruikt door uw organisatie of onlangs beëindigde werknemers. Gebruik volglijsten met playbooks om verrijkingsgegevens te verzamelen, zoals het toevoegen van schadelijke IP-adressen aan volglijsten voor gebruik tijdens detectie, opsporing van bedreigingen en onderzoeken.

Gebruik tijdens een incident volglijsten om onderzoeksgegevens te bevatten en verwijder deze vervolgens wanneer uw onderzoek is voltooid om ervoor te zorgen dat gevoelige gegevens niet in beeld blijven.

Volgende stappen

Als u aan de slag wilt gaan met Microsoft Sentinel, raadpleegt u:

• Microsoft Sentinel aan boord
• Inzicht krijgen in waarschuwingen