Inzicht in de mogelijkheden voor onderzoek en casebeheer van Microsoft Sentinel
Microsoft Sentinel biedt u een volledig, volledig beheerplatform voor cases voor het onderzoeken en beheren van beveiligingsincidenten. Incidenten zijn de naam van Microsoft Sentinel voor casebestanden die een volledige en voortdurend bijgewerkte chronologie van een beveiligingsrisico bevatten, of het nu gaat om afzonderlijke stukken bewijs (waarschuwingen), verdachten en partijen van belang (entiteiten), inzichten die zijn verzameld en samengesteld door beveiligingsexperts en AI/machine learning-modellen, of opmerkingen en logboeken van alle acties die in het kader van het onderzoek zijn uitgevoerd.
De incidentonderzoekservaring in Microsoft Sentinel begint met de pagina Incidenten : een nieuwe ervaring die is ontworpen om u alles te geven wat u nodig hebt voor uw onderzoek op één plaats. Het belangrijkste doel van deze nieuwe ervaring is het verhogen van de efficiëntie en effectiviteit van uw SOC, waardoor de gemiddelde tijd voor het oplossen van (MTTR) wordt verminderd.
In dit artikel wordt u begeleid bij de fasen van een typisch incidentonderzoek, waarin alle weergaven en hulpprogramma's worden weergegeven die u kunnen helpen.
De vervaldatum van uw SOC verhogen
Microsoft Sentinel biedt u de hulpprogramma's om uw SecOps-vervaldatumniveau (Security Operations) omhoog te helpen.
Processen standaardiseren
Incidenttaken zijn werkstroomlijsten van taken die analisten moeten volgen om een uniforme zorgstandaard te garanderen en om te voorkomen dat cruciale stappen worden gemist. SOC-managers en -technici kunnen deze takenlijsten ontwikkelen en deze automatisch toepassen op verschillende groepen incidenten, of over de hele linie. SOC-analisten hebben vervolgens toegang tot de toegewezen taken binnen elk incident, waardoor ze worden gemarkeerd wanneer ze zijn voltooid. Analisten kunnen ook handmatig taken toevoegen aan hun open incidenten, ofwel als zelfherinneringen of voor het voordeel van andere analisten die kunnen samenwerken aan het incident (bijvoorbeeld vanwege een verschuivingswijziging of escalatie).
Meer informatie over incidenttaken.
Incidentbeheer controleren
In het activiteitenlogboek voor incidenten worden acties bijgehouden die zijn uitgevoerd op een incident, ongeacht of deze zijn gestart door mensen of geautomatiseerde processen, en worden deze samen met alle opmerkingen over het incident weergegeven. U kunt hier ook uw eigen opmerkingen toevoegen. Het geeft u een volledig overzicht van alles wat er is gebeurd, waardoor grondigheid en verantwoordelijkheid worden gewaarborgd.
Effectief en efficiënt onderzoeken
Tijdlijn weergeven
Eerste dingen eerst: Als analist is de meest elementaire vraag die u wilt beantwoorden, waarom wordt dit incident naar mijn aandacht gebracht? Als u de detailpagina van een incident invoert, wordt deze vraag beantwoord: in het midden van het scherm ziet u de widget Tijdlijn incident. De tijdlijn is het dagboek van alle waarschuwingen die alle vastgelegde gebeurtenissen vertegenwoordigen die relevant zijn voor het onderzoek, in de volgorde waarin ze zijn opgetreden. De tijdlijn bevat ook bladwijzers, momentopnamen van bewijs dat is verzameld tijdens het opsporen en toevoegen aan het incident. Bekijk de volledige details van een item in deze lijst door het te selecteren. Veel van deze details, zoals de oorspronkelijke waarschuwing, de analyseregel die deze heeft gemaakt en bladwijzers, worden weergegeven als koppelingen die u kunt selecteren om nog dieper in te gaan en meer te leren.
Meer informatie over wat u kunt doen vanuit de tijdlijn van het incident.
Leren van vergelijkbare incidenten
Als alles wat u tot nu toe hebt gezien in uw incident er bekend uitziet, kan er een goede reden zijn. Microsoft Sentinel blijft een stap voor u door de incidenten weer te geven die het meest lijken op de open incidenten. De widget Soortgelijke incidenten toont u de meest relevante informatie over incidenten die vergelijkbaar zijn, inclusief de laatst bijgewerkte datum en tijd, laatste eigenaar, laatste status (inclusief, als ze zijn gesloten, de reden waarom ze zijn gesloten) en de reden voor de overeenkomst.
Dit kan uw onderzoek op verschillende manieren ten goede komen:
- Gelijktijdige incidenten opsporen die mogelijk deel uitmaken van een grotere aanvalsstrategie.
- Gebruik vergelijkbare incidenten als referentiepunten voor uw huidige onderzoek. Bekijk hoe deze zijn behandeld.
- Identificeer eigenaren van eerdere vergelijkbare incidenten om te profiteren van hun kennis.
De widget toont u de 20 meest vergelijkbare incidenten. Microsoft Sentinel bepaalt welke incidenten vergelijkbaar zijn op basis van algemene elementen, waaronder entiteiten, de bronanalyseregel en waarschuwingsdetails. Vanuit deze widget kunt u rechtstreeks naar de volledige detailpagina's van deze incidenten springen, terwijl de verbinding met het huidige incident intact blijft.
Meer informatie over wat u kunt doen met vergelijkbare incidenten.
Topinzichten onderzoeken
Vervolgens bent u nieuwsgierig naar de interessante informatie die Microsoft Sentinel al voor u heeft ontdekt. Het stelt automatisch de grote vragen over de entiteiten in uw incident en toont de belangrijkste antwoorden in de widget Top insights , zichtbaar aan de rechterkant van de pagina met incidentdetails. Deze widget toont een verzameling inzichten op basis van zowel machine learning-analyse als de curatie van topteams van beveiligingsexperts.
Dit zijn een speciaal geselecteerde subset van de inzichten die worden weergegeven op entiteitspagina's, maar in deze context worden inzichten voor alle entiteiten in het incident samen gepresenteerd, zodat u een vollediger beeld krijgt van wat er gebeurt. De volledige set inzichten wordt weergegeven op het tabblad Entiteiten, voor elke entiteit afzonderlijk. Zie hieronder.
De widget Belangrijkste inzichten beantwoordt vragen over de entiteit die betrekking heeft op het gedrag ervan, in vergelijking met de peers en zijn eigen geschiedenis, de aanwezigheid op watchlists of in bedreigingsinformatie, of een ander soort ongebruikelijke gebeurtenis met betrekking tot de entiteit.
De meeste van deze inzichten bevatten koppelingen naar meer informatie. Deze koppelingen openen het deelvenster Logboeken in context, waar u de bronquery voor dat inzicht samen met de resultaten ziet.
Entiteiten weergeven
Nu u wat context en enkele basisvragen hebt beantwoord, wilt u meer informatie krijgen over de belangrijkste spelers in dit verhaal. Gebruikersnamen, hostnamen, IP-adressen, bestandsnamen en andere typen entiteiten kunnen allemaal 'personen van belang' zijn in uw onderzoek. Microsoft Sentinel vindt ze allemaal voor u en geeft ze voor en centreren in de widget Entiteiten , naast de tijdlijn. Als u een entiteit in deze widget selecteert, wordt u naar de vermelding van die entiteit geleid op het tabblad Entiteiten op dezelfde incidentpagina.
Het tabblad Entiteiten bevat een lijst met alle entiteiten in het incident. Wanneer een entiteit in de lijst is geselecteerd, wordt er een zijpaneel geopend met een weergave op basis van de entiteitspagina. Het zijpaneel bevat drie kaarten:
Informatie bevat basisinformatie over de entiteit. Voor een gebruikersaccountentiteit kan dit bijvoorbeeld de gebruikersnaam, domeinnaam, beveiligings-id (SID), organisatiegegevens, beveiligingsgegevens en meer zijn.
Tijdlijn bevat een lijst met waarschuwingen die deze entiteit en activiteiten bevatten die de entiteit heeft uitgevoerd, zoals verzameld uit logboeken waarin de entiteit wordt weergegeven.
Inzichten bevatten antwoorden op vragen over de entiteit die betrekking heeft op het gedrag ervan in vergelijking met de peers en zijn eigen geschiedenis, de aanwezigheid op watchlists of in bedreigingsinformatie, of een ander soort ongebruikelijke gebeurtenis met betrekking tot deze entiteit. Deze antwoorden zijn de resultaten van query's die zijn gedefinieerd door Beveiligingsonderzoekers van Microsoft die waardevolle en contextuele beveiligingsinformatie bieden op basis van gegevens uit een verzameling bronnen.
Vanaf november 2023 bevat het deelvenster Inzichten de volgende generatie inzichten, beschikbaar in PREVIEW, in de vorm van verrijkingswidgets, naast de bestaande inzichten. Als u wilt profiteren van deze nieuwe widgets, moet u de widgetervaring inschakelen.
Afhankelijk van het entiteitstype kunt u een aantal verdere acties uitvoeren vanuit dit zijpaneel:
- Draai naar de volledige entiteitspagina van de entiteit om nog meer details te krijgen over een langere periode of start het grafische onderzoekshulpprogramma dat is gecentreerd op die entiteit.
- Voer een playbook uit om specifieke reactie- of herstelacties uit te voeren op de entiteit (in preview).
- Classificeer de entiteit als een indicator van inbreuk (IOC) en voeg deze toe aan uw lijst met bedreigingsinformatie.
Elk van deze acties wordt momenteel ondersteund voor bepaalde entiteitstypen en niet voor anderen. In de volgende tabel ziet u welke acties worden ondersteund voor welke entiteitstypen:
| Beschikbare acties ▶ Entiteitstypen ^ |
Volledige details weergeven (op entiteitspagina) |
Toevoegen aan TI * | Playbook uitvoeren * (Preview) |
|---|---|---|---|
| Gebruikersaccount | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| IP-adres | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Domeinnaam | ✔ | ✔ | |
| Bestand (hash) | ✔ | ✔ | |
| Azure-resource | ✔ | ||
| IoT-apparaat | ✔ |
* Voor entiteiten waarvoor de acties Toevoegen aan TI of Run-playbook beschikbaar zijn, kunt u deze acties rechtstreeks vanuit de widget Entiteiten uitvoeren op het tabblad Overzicht, zodat u de incidentpagina nooit verlaat.
Logboeken verkennen
Nu wilt u de details bekijken om te weten wat er precies is gebeurd? Vanaf vrijwel alle hierboven genoemde plaatsen kunt u inzoomen op de afzonderlijke waarschuwingen, entiteiten, inzichten en andere items in het incident, waarbij u de oorspronkelijke query en de bijbehorende resultaten bekijkt. Deze resultaten worden weergegeven in het scherm Logboeken (Log Analytics) die hier wordt weergegeven als een paneeluitbreiding van de pagina met incidentdetails, zodat u de context van het onderzoek niet verlaat.
Uw records op volgorde bewaren
Ten slotte wilt u, in het belang van transparantie, verantwoordelijkheid en continuïteit, alle acties vastleggen die zijn uitgevoerd op het incident, ongeacht of deze zijn uitgevoerd door geautomatiseerde processen of door personen. In het activiteitenlogboek voor incidenten ziet u al deze activiteiten. U kunt ook opmerkingen zien die zijn gemaakt en uw eigen opmerkingen toevoegen. Het activiteitenlogboek wordt voortdurend automatisch vernieuwd, zelfs wanneer het geopend is, zodat u wijzigingen in het activiteitenlogboek in realtime kunt zien.
Volgende stappen
In dit document hebt u geleerd hoe het incidentonderzoek in Microsoft Sentinel u helpt bij het uitvoeren van een onderzoek in één context. Zie de volgende artikelen voor meer informatie over het beheren en onderzoeken van incidenten:
- Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel
- Entiteiten onderzoeken met entiteitspagina's in Microsoft Sentinel.
- Automatiseer incidentafhandeling in Microsoft Sentinel met automatiseringsregels.
- Geavanceerde bedreigingen identificeren met UEBA (User and Entity Behavior Analytics) in Microsoft Sentinel
- Beveiligingsrisico's opsporen.