Verzamelde gegevens visualiseren

In dit artikel leert u hoe u snel kunt bekijken en controleren wat er in uw omgeving gebeurt met behulp van Microsoft Sentinel. Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, krijgt u direct visualisatie en analyse van gegevens, zodat u weet wat er gebeurt in al uw verbonden gegevensbronnen. Microsoft Sentinel biedt u werkmappen die u de volledige kracht bieden van de hulpprogramma's die al beschikbaar zijn in Azure, evenals tabellen en grafieken die zijn ingebouwd om u te voorzien van analyses voor uw logboeken en query's. U kunt de ingebouwde werkmappen gebruiken of eenvoudig een nieuwe werkmap maken, helemaal zelf of op basis van een bestaande werkmappen.

Visualisatie van gegevens

Om te visualiseren en analyseren wat er gebeurt in uw omgeving, is het goed om eerst het overzichtsdashboard te bestuderen. U kunt zich zo een duidelijk beeld vormen van de beveiligingspostuur van uw organisatie. Om u te helpen ruis te verminderen en het aantal waarschuwingen te minimaliseren dat u moet controleren en onderzoeken, gebruikt Microsoft Sentinel een fusietechniek om waarschuwingen in incidenten te correleren. Incidenten zijn groepen gerelateerde waarschuwingen die samen een incident vormen dat kan worden onderzocht en opgelost en waarvoor een actie kan worden uitgevoerd.

Selecteer in de Azure Portal Microsoft Sentinel en selecteer vervolgens de werkruimte die u wilt bewaken.

Schermopname van de overzichtspagina van Microsoft Sentinel.

Als u de gegevens voor alle secties van het dashboard wilt vernieuwen, selecteert u Vernieuwen bovenaan het dashboard. Om de prestaties te verbeteren, worden de gegevens voor elke sectie van het dashboard vooraf berekend en ziet u de vernieuwingstijd bovenaan elke sectie.

Incidentgegevens weergeven

U ziet verschillende typen incidentgegevens onder Incidenten.

Schermopname van de sectie Incidenten op de overzichtspagina van Microsoft Sentinel.

  • Linksboven ziet u het aantal nieuwe, actieve en gesloten incidenten in de afgelopen 24 uur.
  • Rechtsboven ziet u incidenten die zijn ingedeeld op ernst en gesloten incidenten door de classificatie te sluiten.
  • Linksonder breekt een grafiek de status van het incident op door de aanmaaktijd, in intervallen van vier uur.
  • Rechtsonder ziet u de gemiddelde tijd om een incident te bevestigen en de gemiddelde tijd om te sluiten, met een koppeling naar de SOC-efficiëntiewerkmap.

Automatiseringsgegevens weergeven

U ziet verschillende typen automatiseringsgegevens onder Automatisering.

Schermopname van de sectie Automation op de overzichtspagina van Microsoft Sentinel.

  • Bovenaan ziet u een samenvatting van de activiteit automatiseringsregels: Incidenten die zijn gesloten door automatisering, het tijdstip waarop de automatisering is opgeslagen en de status van gerelateerde playbooks.
  • Onder de samenvatting bevat een grafiek een overzicht van het aantal acties dat door automatisering wordt uitgevoerd, per type actie.
  • Onderaan vindt u een telling van de actieve automatiseringsregels met een koppeling naar de automatiseringsblade.

Status van gegevensrecords, gegevensverzamelaars en bedreigingsinformatie weergeven

U ziet verschillende typen gegevens in gegevensrecords, gegevensverzamelaars en bedreigingsinformatie onder Gegevens.

Schermopname van de sectie Gegevens op de overzichtspagina Microsoft Sentinel.

  • Aan de linkerkant ziet u een grafiek met het aantal records dat Microsoft Sentinel in de afgelopen 24 uur heeft verzameld, vergeleken met de voorgaande 24 uur, en afwijkingen die in die periode zijn gedetecteerd.
  • Rechtsboven ziet u een samenvatting van de status van de gegevensconnector, gedeeld door beschadigde en actieve connectors. Connectors die niet in orde zijn, geven aan hoeveel connectors fouten hebben. Actieve connectors zijn connectors met gegevensstreaming naar Microsoft Sentinel, zoals gemeten door een query die is opgenomen in de connector.
  • Rechtsonder ziet u records voor bedreigingsinformatie in Microsoft Sentinel, op basis van de indicator van inbreuk.

Analysegegevens weergeven

U ziet gegevens voor analyseregels onder Analyse.

Schermopname van de sectie Analyse op de pagina Overzicht van Microsoft Sentinel.

U ziet het aantal analyseregels in Microsoft Sentinel op de status Ingeschakeld, Uitgeschakeld of Automatisch uitgeschakeld.

Ingebouwde werkmappen gebruiken

Ingebouwde werkmappen bieden geïntegreerde gegevens uit uw verbonden gegevensbronnen om u de kans te geven in te zoomen op de gebeurtenissen die in deze services zijn gegenereerd. De ingebouwde werkmappen hebben betrekking op Azure AD, gebeurtenissen voor Azure-activiteiten en on-premises, wat gegevens kunnen zijn van Windows-gebeurtenissen van servers, uit Microsoft-bronnen, uit bronnen van derden, waaronder logboeken van firewallverkeer, Office 365 en onveilige protocollen op basis van Windows-gebeurtenissen. De werkmappen zijn gebaseerd op Azure Monitor-werkmappen, zodat u bij het ontwerpen van uw eigen werkmap de beschikking hebt over verbeterde mogelijkheden voor aanpassing en flexibiliteit. Zie Werkmappen voor meer informatie.

  1. Selecteer onder Instellingen de optie Werkmappen. Onder Geïnstalleerd worden alle geïnstalleerde werkmappen weergegeven. Onder Alle ziet u de complete galerie met ingebouwde werkmappen die beschikbaar zijn voor installatie.
  2. Zoek naar een specifieke werkmap om de hele lijst te zien met beschrijvingen van de mappen.
  3. Ervan uitgaande dat u Azure AD gebruikt, raden we u aan ten minste de volgende werkmappen te installeren om aan de slag te gaan met Microsoft Sentinel:
    • Azure AD: Gebruik een van de volgende werkmappen, of beide:

      • Azure AD-aanmeldingen: hierin worden aanmeldingen in de loop van de tijd geanalyseerd om te zien of er afwijkingen zijn. Deze werkmap vermeldt mislukte aanmeldingen op toepassing, apparaat en locatie, zodat u in een oogopslag kunt zien of er iets vreemds aan de hand is. Let met name op meerdere mislukte aanmeldingen.
      • Azure AD-auditlogboeken: hierin worden beheeractiviteiten geanalyseerd, zoals wijzigingen van gebruikers (toevoegen, verwijderen, enz.), het maken van groepen en aanpassingen.
    • Voeg een werkmap toe voor uw firewall, zoals de werkmap Palo Alto. De werkmap analyseert het verkeer op uw firewall en biedt correlaties tussen uw firewallgegevens en bedreigingsgebeurtenissen, en accentueert verdachte gebeurtenissen binnen entiteiten. Werkmappen bieden informatie over trends in uw verkeer en u kunt inzoomen op resultaten en deze filteren.

      Palo Alto-dashboard

U kunt de werkmappen aanpassen door de bewerkingsknop voor de hoofdqueryquery te bewerken. U kunt op de knop Log Analytics klikken om naar Log Analytics te gaan om de query daar te bewerken. U kunt het beletselteken (...) selecteren en Tegelgegevens aanpassen selecteren, zodat u het hoofdtijdfilter kunt bewerken of de specifieke tegels uit de werkmap kunt verwijderen.

Ga voor meer informatie over het werken met query's naar Tutorial: Visual data in Log Analytics (Zelfstudie: Gegevens visualiseren in Log Analytics).

Een nieuwe tegel toevoegen

Als u een nieuwe tegel wilt toevoegen, kunt u deze toevoegen aan een bestaande werkmap, een werkmap die u maakt of een Microsoft ingebouwde Sentinel-werkmap.

  1. Maak in Log Analytics een tegel met behulp van de instructies in Tutorial: Visual data in Log Analytics (Zelfstudie: Gegevens visualiseren in Log Analytics).
  2. Nadat de tegel is gemaakt, selecteert u onder Vastmakende werkmap waarin u de tegel wilt weergeven.

Nieuwe werkmappen maken

U kunt een volledig nieuwe werkmap maken of een ingebouwde werkmap gebruiken als basis voor de nieuwe werkmap.

  1. Als u een volledig nieuwe werkmap wilt maken, selecteert u Werkmappen en vervolgens + Nieuwe werkmap.
  2. Selecteer het abonnement waarin u de werkmap wilt maken en geef de map een beschrijvende naam. Elke werkmap is net als alle andere elementen een Azure-resource, en u kunt er rollen (Azure RBAC) aan toewijzen om te bepalen wie toegang heeft.
  3. Als u wilt dat de werkmap kan worden gekozen om er visualisaties aan vast te maken, moet u de map delen. Klik hiervoor op Delen en vervolgens op Gebruikers beheren.
  4. Gebruik de opties Toegang controleren en Roltoewijzingen zoals u dat zou doen voor andere Azure-resources. Zie Azure-werkmappen delen met behulp van Azure RBAC voor meer informatie.

Voorbeelden van nieuwe werkmappen

Met de volgende voorbeeldquery kunt u trends vergelijken van verkeer voor verschillende weken. U kunt eenvoudig aanpassen voor welke apparaatleverancier en gegevensbron u de query wilt uitvoeren. In dit voorbeeld wordt SecurityEvent van Windows gebruikt. U kunt de query aanpassen voor uitvoering op AzureActivity of CommonSecurityLog op elke andere firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Mogelijk wilt u een query maken die gegevens uit meerdere bronnen combineert. U kunt een query maken om te controleren of Azure Active Directory-auditlogboeken informatie bevatten over nieuwe gebruikers die zojuist zijn gemaakt. Daarna kunt u de logboeken van Azure controleren om na te gaan of deze gebruikers binnen 24 uur nadat ze zijn toegevoegd, hun roltoewijzing hebben gewijzigd. Deze verdachte activiteit zou in dit dashboard worden weergegeven:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

U kunt verschillende werkmappen maken op basis van de rol van de persoon die de gegevens bekijkt en waarnaar ze op zoek zijn. U kunt bijvoorbeeld een werkmap maken voor uw netwerkbeheerder die de firewallgegevens bevat. U kunt ook werkmappen maken op basis van hoe vaak u deze wilt bekijken, of u nu bepaalde zaken dagelijks wilt controleren en andere items eenmaal per uur. Het laatste is bijvoorbeeld zinvol om adequaat te kunnen reageren bij verdachte Azure AD-aanmeldingen.

Nieuwe detecties maken

Genereer detecties voor de gegevensbronnen die u hebt verbonden met Microsoft Sentinel om bedreigingen in uw organisatie te onderzoeken.

Wanneer u een nieuwe detectie maakt, kunt u gebruikmaken van de ingebouwde detecties die zijn gemaakt door beveiligingsonderzoekers van Microsoft en die zijn afgestemd op de gegevensbronnen waarmee u bent verbonden.

Als u alle vooraf gedefinieerde detecties wilt weergeven, gaat u naar Analyse en vervolgens naar Regelsjablonen. Dit tabblad bevat alle ingebouwde regels Microsoft Sentinel.

Ingebouwde detecties gebruiken om bedreigingen te vinden met Microsoft Sentinel

Zie Ingebouwde analyses ophalen voor meer informatie over het uitvoeren van out-of-the-box detecties.

Volgende stappen

In deze quickstart hebt u geleerd hoe u aan de slag kunt gaan met Microsoft Sentinel. Ga verder met het artikel over het detecteren van bedreigingen.

Definieer aangepaste regels voor de detectie van bedreigingen om uw reacties op bedreigingen te automatiseren.