Incidenten onderzoeken met Microsoft Sentinel

  • Artikel
  • 11 minuten om te lezen

Belangrijk

Genoteerde functies zijn momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Dit artikel helpt u bij het onderzoeken van incidenten met Microsoft Sentinel. Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, wilt u een melding ontvangen wanneer er iets verdachts gebeurt. Als u dit wilt doen, kunt u met Microsoft Sentinel geavanceerde analyseregels maken waarmee incidenten worden gegenereerd die u kunt toewijzen en onderzoeken.

In dit artikel wordt het volgende behandeld:

  • Incidenten onderzoeken
  • De onderzoeksgrafiek gebruiken
  • Op bedreigingen reageren

Een incident kan meerdere waarschuwingen bevatten. Het is een samenvoeging van alle relevante bewijzen voor een specifiek onderzoek. Er wordt een incident gemaakt op basis van analyseregels die u op de analytics-pagina hebt gemaakt. De eigenschappen met betrekking tot de waarschuwingen, zoals ernst en status, worden ingesteld op incidentniveau. Nadat u Microsoft Sentinel hebt laten weten welke soorten bedreigingen u zoekt en hoe u deze kunt vinden, kunt u gedetecteerde bedreigingen bewaken door incidenten te onderzoeken.

Vereisten

  • U kunt het incident alleen onderzoeken als u de velden voor entiteitstoewijzing hebt gebruikt bij het instellen van uw analyseregel. Voor de onderzoeksgrafiek is vereist dat uw oorspronkelijke incident entiteiten omvat.

  • Als u een gastgebruiker hebt die incidenten moet toewijzen, moet de gebruiker de rol Adreslijstlezer in uw Azure AD-tenant krijgen toegewezen. Normale (niet-gast) gebruikers hebben deze rol standaard toegewezen.

Incidenten onderzoeken

  1. Selecteer Incidenten. Op de pagina Incidenten kunt u zien hoeveel incidenten u hebt en of het nieuwe, actieve of gesloten incidenten zijn. Voor elk incident ziet u de tijd waarop het is opgetreden en de status van het incident. Bekijk de ernst om te bepalen welke incidenten het eerst moeten worden afgehandeld.

    Schermopname van de weergave van de ernst van incidenten.

  2. U kunt de incidenten naar behoefte filteren, bijvoorbeeld op status of ernst. Zie Zoeken naar incidenten voor meer informatie.

  3. Als u een onderzoek wilt starten, selecteert u een specifiek incident. Aan de rechterkant ziet u gedetailleerde informatie voor het incident, inclusief de ernst, samenvatting van het aantal betrokken entiteiten, de onbewerkte gebeurtenissen die dit incident hebben geactiveerd, de unieke id van het incident en eventuele toegewezen MITRE ATT&CK-tactieken of -technieken.

  4. Als u meer informatie over de waarschuwingen en entiteiten in het incident wilt bekijken, selecteert u Volledige details weergeven op de incidentpagina en bekijkt u de relevante tabbladen met een overzicht van de incidentinformatie.

    Schermopname van de weergave van waarschuwingsdetails.

    • Bekijk op het tabblad Tijdlijn de tijdlijn met waarschuwingen en bladwijzers in het incident, waarmee u de tijdlijn van de activiteiten van de aanvaller kunt reconstrueren.

    • Op het tabblad Vergelijkbare incidenten (preview) ziet u een verzameling van maximaal 20 andere incidenten die het meest lijken op het huidige incident. Hierdoor kunt u het incident in een grotere context bekijken en uw onderzoek omsturen. Meer informatie over vergelijkbare incidenten vindt u hieronder.

    • Controleer op het tabblad Waarschuwingen de waarschuwingen die zijn opgenomen in dit incident. U ziet alle relevante informatie over de waarschuwingen: de analyseregels die deze hebben geproduceerd, het aantal resultaten dat per waarschuwing wordt geretourneerd en de mogelijkheid om playbooks uit te voeren op de waarschuwingen. Als u nog verder wilt inzoomen op het incident, selecteert u het aantal gebeurtenissen. Hiermee opent u de query die de resultaten heeft gegenereerd en de gebeurtenissen die de waarschuwing hebben geactiveerd in Log Analytics.

    • Op het tabblad Bladwijzers ziet u bladwijzers die u of andere onderzoekers aan dit incident hebben gekoppeld. Meer informatie over bladwijzers.

    • Op het tabblad Entiteiten ziet u alle entiteiten die u hebt toegewezen als onderdeel van de definitie van de waarschuwingsregel. Dit zijn de objecten die een rol hebben gespeeld in het incident, ongeacht of het gebruikers, apparaten, adressen, bestanden of andere typen zijn.

    • Ten slotte kunt u op het tabblad Opmerkingen uw opmerkingen over het onderzoek toevoegen en eventuele opmerkingen van andere analisten en onderzoekers bekijken. Meer informatie over opmerkingen.

  5. Als u een incident actief onderzoekt, is het een goed idee om de status van het incident in te stellen op Actief totdat u het sluit.

  6. Incidenten kunnen worden toegewezen aan een specifieke gebruiker of aan een groep. Voor elk incident kunt u een eigenaar toewijzen door het veld Eigenaar in te stellen. Alle incidenten beginnen als niet-toegewezen. U kunt ook opmerkingen toevoegen, zodat andere analisten kunnen begrijpen wat u hebt onderzocht en wat uw zorgen rondom het incident zijn.

    Schermopname van het toewijzen van een incident aan de gebruiker.

    Onlangs geselecteerde gebruikers en groepen worden boven aan de vervolgkeuzelijst weergegeven.

  7. Selecteer Onderzoeken om de onderzoekskaart weer te geven.

De onderzoeksgrafiek gebruiken om dieper in te gaan

Met de onderzoeksgrafiek kunnen analisten de juiste vragen stellen voor elk onderzoek. De onderzoeksgrafiek helpt u inzicht te hebben in het bereik en de hoofdoorzaak van een mogelijke beveiligingsrisico te identificeren door relevante gegevens te correleren met een betrokken entiteit. U kunt dieper ingaan en elke entiteit onderzoeken die in de grafiek wordt gepresenteerd door deze te selecteren en te kiezen tussen verschillende uitbreidingsopties.

De onderzoeksgrafiek biedt u het volgende:

  • Visuele context van onbewerkte gegevens: in de livegrafiek worden entiteitsrelaties weergegeven die automatisch uit de onbewerkte gegevens zijn geëxtraheerd. Hierdoor kunt u eenvoudig verbindingen tussen verschillende gegevensbronnen bekijken.

  • Detectie van volledige onderzoeksbereiken: breid uw onderzoeksbereik uit met behulp van ingebouwde verkenningsquery's om het volledige bereik van een inbreuk weer te geven.

  • Ingebouwde onderzoeksstappen: Gebruik vooraf gedefinieerde verkenningsopties om ervoor te zorgen dat u de juiste vragen stelt bij een bedreiging.

De onderzoeksgrafiek gebruiken:

  1. Selecteer een incident en selecteer Onderzoeken. Hiermee gaat u naar de onderzoeksgrafiek. De grafiek biedt een illustratieve kaart van de entiteiten die rechtstreeks zijn verbonden met de waarschuwing en elke resource die verder is verbonden.

    Kaart weergeven.

    Belangrijk

    • U kunt het incident alleen onderzoeken als u de velden voor entiteitstoewijzing hebt gebruikt bij het instellen van uw analyseregel. Voor de onderzoeksgrafiek is vereist dat uw oorspronkelijke incident entiteiten omvat.

    • Microsoft Sentinel ondersteunt momenteel het onderzoeken van incidenten tot 30 dagen oud.

  2. Selecteer een entiteit om het deelvenster Entiteiten te openen, zodat u informatie over die entiteit kunt bekijken.

    Entiteiten weergeven in kaart

  3. Vouw uw onderzoek uit door de muisaanwijzer op elke entiteit te bewegen om een lijst weer te geven met vragen die zijn ontworpen door onze beveiligingsexperts en analisten per entiteitstype om uw onderzoek te verdiepen. We noemen deze opties verkenningsquery's.

    Meer details verkennen

    U kunt bijvoorbeeld gerelateerde waarschuwingen aanvragen. Als u een verkenningsquery selecteert, worden de resulterende rechten weer toegevoegd aan de grafiek. In dit voorbeeld heeft het selecteren van gerelateerde waarschuwingen de volgende waarschuwingen in de grafiek geretourneerd:

    Schermopname: gerelateerde waarschuwingen weergeven

    U ziet dat de gerelateerde waarschuwingen met stippellijnen zijn verbonden met de entiteit.

  4. Voor elke verkenningsquery kunt u de optie selecteren om de onbewerkte gebeurtenisresultaten en de query te openen die wordt gebruikt in Log Analytics door gebeurtenissen> te selecteren.

  5. Om het incident te begrijpen, krijgt u in de grafiek een parallelle tijdlijn.

    Schermopname: tijdlijn weergeven in kaart.

  6. Beweeg de muisaanwijzer over de tijdlijn om te zien welke dingen in de grafiek op welk moment hebben plaatsgevonden.

    Schermopname: tijdlijn in kaart gebruiken om waarschuwingen te onderzoeken.'

Uw onderzoek richten

Meer informatie over hoe u het bereik van uw onderzoek kunt uitbreiden of beperken door waarschuwingen toe te voegen aan uw incidenten of door waarschuwingen uit incidenten te verwijderen.

Vergelijkbare incidenten (preview)

Als beveiligingsanalist moet u bij het onderzoeken van een incident aandacht besteden aan de grotere context. U wilt bijvoorbeeld zien of andere incidenten zoals dit eerder zijn gebeurd of nu plaatsvinden.

  • Mogelijk wilt u gelijktijdige incidenten identificeren die deel kunnen uitmaken van dezelfde grotere aanvalsstrategie.

  • Mogelijk wilt u soortgelijke incidenten in het verleden identificeren om ze te gebruiken als referentiepunten voor uw huidige onderzoek.

  • Misschien wilt u de eigenaren van soortgelijke incidenten identificeren om de personen in uw SOC te vinden die meer context kunnen bieden of aan wie u het onderzoek kunt escaleren.

Het tabblad Vergelijkbare incidenten op de pagina met incidentdetails, nu in preview, bevat maximaal 20 andere incidenten die het meest lijken op de huidige. Overeenkomsten worden berekend door interne Microsoft Sentinel-algoritmen en de incidenten worden gesorteerd en weergegeven in aflopende volgorde van gelijkenis.

Schermopname van de weergave van vergelijkbare incidenten.

Vergelijkingsberekening

Er zijn drie criteria waarmee overeenkomsten worden bepaald:

  • Vergelijkbare entiteiten: Een incident wordt beschouwd als vergelijkbaar met een ander incident als ze beide dezelfde entiteiten bevatten. Hoe meer entiteiten twee incidenten gemeen hebben, hoe vergelijkbaarer ze worden beschouwd.

  • Vergelijkbare regel: Een incident wordt beschouwd als vergelijkbaar met een ander incident als ze beide zijn gemaakt door dezelfde analyseregel.

  • Vergelijkbare waarschuwingsdetails: Een incident wordt beschouwd als vergelijkbaar met een ander incident als ze dezelfde titel, productnaam en/of aangepaste gegevens delen.

De redenen waarom een incident wordt weergegeven in de lijst met soortgelijke incidenten, wordt weergegeven in de kolom Overeenkomstreden . Beweeg de muisaanwijzer over het infopictogram om de algemene items (entiteiten, regelnaam of details) weer te geven.

Schermopname van pop-upweergave van soortgelijke incidentdetails.

Overeenkomsttijdsframe

De gelijkenis van incidenten wordt berekend op basis van gegevens van de 14 dagen voorafgaand aan de laatste activiteit in het incident, die de eindtijd is van de meest recente waarschuwing in het incident.

De gelijkenis van incidenten wordt telkens opnieuw berekend wanneer u de pagina met incidentgegevens invoert, zodat de resultaten kunnen variëren tussen sessies als er nieuwe incidenten zijn gemaakt of bijgewerkt.

Opmerking over incidenten

Als beveiligingsanalist wilt u bij het onderzoeken van een incident de stappen die u uitvoert grondig documenteren, zowel om nauwkeurige rapportage aan het beheer te garanderen en naadloze samenwerking en samenwerking tussen collega's mogelijk te maken. Microsoft Sentinel biedt u een uitgebreide commentaaromgeving waarmee u dit kunt doen.

Een ander belangrijk ding dat u met opmerkingen kunt doen, is uw incidenten automatisch verrijken. Wanneer u een playbook uitvoert op een incident dat relevante informatie ophaalt uit externe bronnen (bijvoorbeeld het controleren van een bestand op malware bij VirusTotal), kunt u het playbook de reactie van de externe bron laten plaatsen , samen met andere informatie die u definieert - in de opmerkingen van het incident.

Opmerkingen zijn eenvoudig te gebruiken. U opent deze via het tabblad Opmerkingen op de pagina met incidentgegevens.

Schermopname van het weergeven en invoeren van opmerkingen.

Veelgestelde vragen

Er zijn verschillende overwegingen waarmee u rekening moet houden bij het gebruik van incidentopmerkingen. De volgende lijst met vragen verwijst naar deze overwegingen.

Welke soorten invoer worden ondersteund?

  • Sms: Opmerkingen in Microsoft Sentinel ondersteunen tekstinvoer in tekst zonder opmaak, eenvoudige HTML en Markdown. U kunt ook gekopieerde tekst, HTML en Markdown in het opmerkingenvenster plakken.

  • Beelden: U kunt koppelingen naar afbeeldingen invoegen in opmerkingen en de afbeeldingen worden inline weergegeven, maar de afbeeldingen moeten al worden gehost op een openbaar toegankelijke locatie, zoals Dropbox, OneDrive, Google Drive en dergelijke. Afbeeldingen kunnen niet rechtstreeks naar opmerkingen worden geüpload.

Is er een maximale grootte voor opmerkingen?

  • Per opmerking: Eén opmerking kan maximaal 30.000 tekens bevatten.

  • Per incident: Eén incident kan maximaal 100 opmerkingen bevatten.

    Notitie

    De groottelimiet van één incidentrecord in de tabel SecurityIncident in Log Analytics is 64 KB. Als deze limiet wordt overschreden, worden opmerkingen (beginnend met de vroegste) afgekapt, wat van invloed kan zijn op de opmerkingen die worden weergegeven in geavanceerde zoekresultaten .

    De werkelijke incidentrecords in de incidentendatabase worden niet beïnvloed.

Wie kan opmerkingen bewerken of verwijderen?

  • Bewerken: Alleen de auteur van een opmerking heeft toestemming om deze te bewerken.

  • Verwijderen: Alleen gebruikers met de rol Microsoft Sentinel-inzender zijn gemachtigd om opmerkingen te verwijderen. Zelfs de auteur van de opmerking moet deze rol hebben om deze te verwijderen.

Een incident sluiten

Zodra u een bepaald incident hebt opgelost (bijvoorbeeld wanneer uw onderzoek de conclusie heeft bereikt), moet u de status van het incident instellen op Gesloten. Wanneer u dit doet, wordt u gevraagd het incident te classificeren door de reden op te geven waarom u het sluit. Deze stap is verplicht. Klik op Classificatie selecteren en kies een van de volgende opties in de vervolgkeuzelijst:

  • Terecht-positief - verdachte activiteit
  • Goedaardig-positief - verdacht maar verwacht
  • Fout-positief - onjuiste waarschuwingslogica
  • Fout-positief - onjuiste gegevens
  • Onbepaald

Schermopname waarin de classificaties zijn gemarkeerd die beschikbaar zijn in de lijst Classificatie selecteren.

Zie Fout-positieven verwerken in Microsoft Sentinel voor meer informatie over fout-positieven en goedaardige positieven.

Nadat u de juiste classificatie hebt gekozen, voegt u een aantal beschrijvende tekst toe in het veld Opmerking . Dit is handig in het geval dat u terug moet verwijzen naar dit incident. Klik op Toepassen wanneer u klaar bent en het incident wordt gesloten.

{alt-text}

Zoeken naar incidenten

Als u snel een specifiek incident wilt vinden, voert u een zoekreeks in het zoekvak boven het incidentenraster in en drukt u op Enter om de lijst met incidenten dienovereenkomstig te wijzigen. Als uw incident niet is opgenomen in de resultaten, kunt u uw zoekopdracht verfijnen met behulp van geavanceerde zoekopties .

Als u de zoekparameters wilt wijzigen, selecteert u de knop Zoeken en selecteert u vervolgens de parameters waarop u de zoekopdracht wilt uitvoeren.

Bijvoorbeeld:

Schermopname van het zoekvak en de knop voor incidenten om basis- en/of geavanceerde zoekopties te selecteren.

Standaard worden zoekopdrachten voor incidenten alleen uitgevoerd op de waarden voor incident-id, titel, tags, eigenaar en productnaam . Schuif in het zoekvenster omlaag in de lijst om een of meer andere parameters te selecteren om te zoeken en selecteer Toepassen om de zoekparameters bij te werken. Selecteer Instellen als standaardinstelling de geselecteerde parameters opnieuw instellen op de standaardoptie.

Notitie

Zoekopdrachten in het veld Eigenaar ondersteunen zowel namen als e-mailadressen.

Als u geavanceerde zoekopties gebruikt, wordt het zoekgedrag als volgt gewijzigd:

Zoekgedrag Beschrijving
Knopkleur zoeken De kleur van de zoekknop verandert, afhankelijk van de typen parameters die momenteel in de zoekopdracht worden gebruikt.
  • Zolang alleen de standaardparameters zijn geselecteerd, is de knop grijs.
  • Zodra verschillende parameters zijn geselecteerd, zoals geavanceerde zoekparameters, wordt de knop blauw.
Automatisch vernieuwen Als u geavanceerde zoekparameters gebruikt, voorkomt u dat u de resultaten automatisch vernieuwt.
Entiteitsparameters Alle entiteitsparameters worden ondersteund voor geavanceerde zoekopdrachten. Bij het zoeken in een entiteitsparameter wordt de zoekopdracht uitgevoerd in alle entiteitsparameters.
Zoeken-tekenreeksen Zoeken naar een reeks woorden bevat alle woorden in de zoekquery. Zoekreeksen zijn hoofdlettergevoelig.
Ondersteuning voor meerdere werkruimten Geavanceerde zoekopdrachten worden niet ondersteund voor weergaven in meerdere werkruimten tegelijk.
Aantal weergegeven zoekresultaten Wanneer u geavanceerde zoekparameters gebruikt, worden slechts 50 resultaten tegelijk weergegeven.

Tip

Als u het incident dat u zoekt niet kunt vinden, verwijdert u zoekparameters om uw zoekopdracht uit te vouwen. Als uw zoekresultaten te veel items bevatten, voegt u meer filters toe om uw resultaten te verfijnen.

Volgende stappen

In dit artikel hebt u geleerd hoe u incidenten kunt onderzoeken met Behulp van Microsoft Sentinel. Zie voor meer informatie: