Microsoft Sentinel-inhoud configureren
In de vorige implementatiestap hebt u Microsoft Sentinel, statuscontrole en de vereiste oplossingen ingeschakeld. In dit artikel leert u hoe u de verschillende typen beveiligingsinhoud van Microsoft Sentinel configureert, waarmee u beveiligingsrisico's in uw systemen kunt detecteren, bewaken en erop kunt reageren. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Uw beveiligingsinhoud configureren
| Stap | Beschrijving |
|---|---|
| Gegevensconnectors instellen | Op basis van de gegevensbronnen die u hebt geselecteerd tijdens het plannen van uw implementatie en nadat u de relevante oplossingen hebt ingeschakeld, kunt u nu uw gegevensconnectors installeren of instellen. - Als u een bestaande connector gebruikt, zoekt u de connector in deze volledige lijst met gegevensconnectors. - Als u een aangepaste connector maakt, gebruikt u deze resources. - Als u een connector instelt voor het opnemen van CEF- of Syslog-logboeken, bekijkt u deze opties. |
| Analyseregels instellen | Nadat u Microsoft Sentinel hebt ingesteld voor het verzamelen van gegevens van alle organisaties, kunt u beginnen met het gebruik van analyseregels om bedreigingen te detecteren. Selecteer de stappen die u nodig hebt om uw analyseregels in te stellen en te configureren: - Maak geplande regels op basis van sjablonen of helemaal zelf: maak analyseregels om bedreigingen en afwijkend gedrag in uw omgeving te detecteren. - Gegevensvelden toewijzen aan entiteiten: entiteitstoewijzingen toevoegen of wijzigen in een analyseregel. - Aangepaste details van Surface in waarschuwingen: aangepaste details toevoegen aan of wijzigen in een analyseregel. - Waarschuwingsdetails aanpassen: overschrijf de standaardeigenschappen van waarschuwingen met inhoud uit de onderliggende queryresultaten. - Analyseregels exporteren en importeren: Exporteer uw analyseregels naar ARM-sjabloonbestanden (Azure Resource Manager) en importeer regels uit deze bestanden. Met de exportactie maakt u een JSON-bestand op de downloadlocatie van uw browser, die u vervolgens kunt hernoemen, verplaatsen en anderszins kunt verwerken zoals elk ander bestand. - Regels voor detectieanalyse in bijna realtime (NRT) maken: Maak regels voor bijna-tijdanalyse voor detectie van bedreigingen van maximaal tot de minuut. Dit type regel is ontworpen om zeer responsief te zijn door de query met intervallen van slechts één minuut uit te voeren. - Werken met analyseregels voor anomaliedetectie: Werk met ingebouwde anomaliesjablonen die gebruikmaken van duizenden gegevensbronnen en miljoenen gebeurtenissen, of wijzig drempelwaarden en parameters voor de afwijkingen in de gebruikersinterface. - Sjabloonversies voor uw geplande analyseregels beheren: houd de versies van uw analyseregelsjablonen bij en herstel actieve regels naar bestaande sjabloonversies of werk ze bij naar nieuwe. - Verwerken van opnamevertraging in geplande analyseregels: meer informatie over hoe opnamevertraging van invloed kan zijn op uw geplande analyseregels en hoe u deze kunt oplossen om deze hiaten te dekken. |
| Automatiseringsregels instellen | Automatiseringsregels maken. Definieer de triggers en voorwaarden die bepalen wanneer uw automatiseringsregel wordt uitgevoerd, de verschillende acties die u kunt uitvoeren met de regel en de resterende functies en functionaliteiten. |
| Playbooks instellen | Een playbook is een verzameling herstelacties die u uitvoert vanuit Microsoft Sentinel als routine, om uw reactie op bedreigingen te automatiseren en te organiseren. Playbooks instellen: - Aanbevolen playbooks bekijken - Playbooks maken op basis van sjablonen: een playbooksjabloon is een vooraf samengestelde, geteste en kant-en-klare werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's. - Bekijk deze stappen voor het maken van een playbook |
| Werkmappen instellen | Werkmappen bieden een flexibel canvas voor gegevensanalyse en het maken van uitgebreide visuele rapporten in Microsoft Sentinel. Met werkmapsjablonen kunt u snel inzicht krijgen in uw gegevens zodra u een gegevensbron verbindt. Werkmappen instellen: - Veelgebruikte Microsoft Sentinel-werkmappen controleren - Bestaande werkmapsjablonen gebruiken die beschikbaar zijn met verpakte oplossingen - Aangepaste werkmappen voor uw gegevens maken |
| Volglijsten instellen | Met volglijsten kunt u gegevens correleren uit een gegevensbron die u verstrekt met de gebeurtenissen in uw Microsoft Sentinel-omgeving. Volglijsten instellen: - Volglijsten maken - Query's of detectieregels maken met volglijsten: query's uitvoeren op gegevens in een tabel op basis van gegevens uit een volglijst door de volglijst te behandelen als een tabel voor joins en zoekacties. Wanneer u een volglijst maakt, definieert u de SearchKey. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent object van zoekopdrachten. |
Volgende stappen
In dit artikel hebt u geleerd hoe u de verschillende typen beveiligingsinhoud van Microsoft Sentinel configureert.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor