Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In de vorige implementatiestap hebt u Microsoft Sentinel, statusbewaking en de vereiste oplossingen ingeschakeld. In dit artikel leert u hoe u de verschillende typen Microsoft Sentinel beveiligingsinhoud configureert, waarmee u beveiligingsrisico's in uw systemen kunt detecteren, bewaken en erop kunt reageren. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.
Uw beveiligingsinhoud configureren
| Stap | Omschrijving |
|---|---|
| Gegevensconnectors instellen | Op basis van de gegevensbronnen die u hebt geselecteerd bij het plannen van uw implementatie en nadat u de relevante oplossingen hebt ingeschakeld, kunt u nu uw gegevensconnectors installeren of instellen. - Als u een bestaande connector gebruikt, zoekt u de connector in deze volledige lijst met gegevensconnectors. - Als u een aangepaste connector maakt, gebruikt u deze resources. - Als u een connector instelt voor het opnemen van CEF- of Syslog-logboeken, bekijkt u deze opties. |
| Analyseregels instellen | Nadat u Microsoft Sentinel hebt ingesteld om gegevens uit de hele organisatie te verzamelen, kunt u analyseregels gaan gebruiken om bedreigingen te detecteren. Selecteer de stappen die u nodig hebt om uw analyseregels in te stellen en te configureren: - Maak geplande regels op basis van sjablonen of helemaal opnieuw: maak analyseregels om bedreigingen en afwijkend gedrag in uw omgeving te detecteren. - Gegevensvelden toewijzen aan entiteiten: entiteitstoewijzingen toevoegen of wijzigen in een analyseregel. - Aangepaste details in waarschuwingen: aangepaste details toevoegen of wijzigen in een analyseregel. - Waarschuwingsdetails aanpassen: overschrijf de standaardeigenschappen van waarschuwingen met inhoud uit de onderliggende queryresultaten. - Analyseregels exporteren en importeren: exporteer uw analyseregels naar Azure Resource Manager (ARM)-sjabloonbestanden en importeer regels uit deze bestanden. Met de exportactie wordt een JSON-bestand gemaakt op de downloadlocatie van uw browser, dat u vervolgens kunt hernoemen, verplaatsen en anders kunt verwerken zoals elk ander bestand. - Nrt-detectieanalyseregels (near-real-time) maken: Maak near-time analytics-regels voor actuele detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query uit te voeren met intervallen van slechts één minuut van elkaar. - Werken met analyseregels voor anomaliedetectie: werk met ingebouwde anomaliesjablonen die gebruikmaken van duizenden gegevensbronnen en miljoenen gebeurtenissen, of wijzig drempelwaarden en parameters voor de afwijkingen in de gebruikersinterface. - Sjabloonversies voor uw geplande analyseregels beheren: houd de versies van uw analyseregelsjablonen bij en herstel actieve regels naar bestaande sjabloonversies of werk deze bij naar nieuwe. - Opnamevertraging in geplande analyseregels verwerken: ontdek hoe vertraging van opname van invloed kan zijn op uw geplande analyseregels en hoe u deze kunt oplossen om deze hiaten te dichten. |
| Automatiseringsregels instellen | Automatiseringsregels maken. Definieer de triggers en voorwaarden die bepalen wanneer uw automatiseringsregel wordt uitgevoerd, de verschillende acties die u de regel kunt laten uitvoeren en de resterende functies en functies. |
| Playbooks instellen | Een playbook is een verzameling herstelacties die u uitvoert vanuit Microsoft Sentinel als routine, om uw reactie op bedreigingen te automatiseren en te organiseren. Playbooks instellen: - Aanbevolen playbooks controleren - Playbooks maken op basis van sjablonen: een playbooksjabloon is een vooraf samengestelde, geteste en gebruiksklare werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor aanbevolen procedures bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's. - Bekijk deze stappen voor het maken van een playbook |
| Werkmappen instellen |
Werkmappen bieden een flexibel canvas voor gegevensanalyse en het maken van uitgebreide visuele rapporten binnen Microsoft Sentinel. Met werkmapsjablonen kunt u snel inzicht krijgen in uw gegevens zodra u verbinding maakt met een gegevensbron. Werkmappen instellen: - Veelgebruikte Microsoft Sentinel werkmappen controleren - Bestaande werkmapsjablonen gebruiken die beschikbaar zijn met verpakte oplossingen - Aangepaste werkmappen voor uw gegevens maken |
| Volglijsten instellen |
Met volglijsten kunt u gegevens uit een gegevensbron die u opgeeft correleren met de gebeurtenissen in uw Microsoft Sentinel omgeving. Volglijsten instellen: - Volglijsten maken - Query's of detectieregels bouwen met volglijsten: query's uitvoeren op gegevens in een tabel op basis van gegevens uit een volglijst door de volglijst te behandelen als een tabel voor joins en opzoekacties. Wanneer u een volglijst maakt, definieert u de Zoeksleutel. De zoeksleutel is de naam van een kolom in uw volglijst die u verwacht te gebruiken als join met andere gegevens of als een frequent zoekobject. |
Volgende stappen
In dit artikel hebt u geleerd hoe u de verschillende typen Microsoft Sentinel beveiligingsinhoud configureert.