Wat is Microsoft Sentinel?

Microsoft Sentinel is een schaalbare, cloudeigen oplossing die het volgende biedt:

  • Security Information and Event Management (SIEM)
  • Beveiligingsindeling, automatisering en respons (SOAR)

Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Microsoft Sentinel is een overzicht van de hele onderneming die de stress van steeds geavanceerdere aanvallen, toenemende aantallen waarschuwingen en lange oplossingstijdsframes verlichten.

Notitie

Microsoft Sentinel neemt de procedures voor manipulatie- en onveranderbaarheid van Azure Monitor over. Hoewel Azure Monitor een gegevensplatform is dat alleen wordt toegevoegd, bevat het voorzieningen voor het verwijderen van gegevens voor nalevingsdoeleinden.

  • Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.

  • Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyses van Microsoft en ongeëvenaarde bedreigingsinformatie.

  • Onderzoek bedreigingen met kunstmatige intelligentie en spoor verdachte activiteiten op schaal op met gebruik van de cyberbeveiliging waar Microsoft al jaren aan werkt.

  • Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene taken.

Microsoft Sentinel bevat standaard bewezen Azure-services, zoals Log Analytics en Logic Apps. Microsoft Sentinel verrijkt uw onderzoek en detectie met AI. Het biedt Microsoft bedreigingsinformatiestroom en stelt u in staat uw eigen bedreigingsinformatie te gebruiken.

Notitie

Deze service ondersteunt Azure Lighthouse, waarmee serviceproviders zich kunnen aanmelden bij een eigen tenant om abonnementen en resourcegroepen te beheren die klanten hebben gedelegeerd.

Gegevens verzamelen met behulp van gegevensconnectors

Als u Microsoft Sentinel wilt gebruiken, moet u eerst verbinding maken met uw gegevensbronnen.

Microsoft Sentinel wordt geleverd met veel connectors voor Microsoft oplossingen die standaard beschikbaar zijn en realtime integratie bieden. Enkele van deze connectors zijn:

  • Microsoft bronnen zoals Microsoft 365 Defender, Microsoft Defender for Cloud, Office 365, Microsoft Defender for IoT en meer.
  • Azure-servicebronnen zoals Azure Active Directory, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes-service en meer.

Microsoft Sentinel heeft ingebouwde connectors voor de bredere beveiligings- en toepassingsecosystemen voor niet-Microsoft oplossingen. U kunt ook algemene gebeurtenisindeling, Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.

Zie Uw gegevensconnector zoeken voor meer informatie.

Schermopname van de pagina gegevensconnectors in Microsoft Sentinel met een lijst met beschikbare connectors.

Interactieve rapporten maken met behulp van werkmappen

Nadat u de onboarding naar Microsoft Sentinel hebt uitgevoerd, controleert u uw gegevens met behulp van de integratie met Azure Monitor-werkmappen.

Werkmappen worden in Microsoft Sentinel anders weergegeven dan in Azure Monitor. Maar het kan handig zijn om te zien hoe u een werkmap maakt in Azure Monitor. met Microsoft Sentinel kunt u aangepaste werkmappen voor uw gegevens maken. Microsoft Sentinel wordt ook geleverd met ingebouwde werkmapsjablonen, zodat u snel inzicht kunt krijgen in uw gegevens zodra u verbinding maakt met een gegevensbron.

Schermopname van de pagina Werkmappen in Microsoft Sentinel met een lijst met beschikbare werkmappen.

Werkmappen zijn bedoeld voor SOC-technici en analisten van alle lagen om gegevens te visualiseren.

Werkmappen kunnen het beste worden gebruikt voor weergaven op hoog niveau van Microsoft Sentinel-gegevens en vereisen geen coderingskennis. U kunt werkmappen echter niet integreren met externe gegevens.

Waarschuwingen correleren met incidenten met behulp van analyseregels

Om u te helpen ruis te verminderen en het aantal waarschuwingen te minimaliseren dat u moet controleren en onderzoeken, gebruikt Microsoft Sentinel analyses om waarschuwingen te correleren met incidenten. Incidenten zijn groepen gerelateerde waarschuwingen die samen een mogelijke bedreiging aangeven die u kunt onderzoeken en oplossen. Gebruik de ingebouwde correlatieregels zoals ze worden geleverd of gebruik ze als beginpunt om uw eigen correlatieregels te maken. Microsoft Sentinel biedt ook machine learning-regels om uw netwerkgedrag in kaart te brengen en vervolgens te zoeken naar afwijkingen in uw resources. Deze analyses leggen een link door waarschuwingen met een lage betrouwbaarheid over verschillende entiteiten te combineren tot mogelijke beveiligingsincidenten met een hoge betrouwbaarheid.

Schermopname van de pagina incidenten in Microsoft Sentinel met een lijst met openstaande incidenten.

Algemene taken automatiseren en organiseren met behulp van playbooks

Automatiseer uw algemene taken en vereenvoudig de beveiligingsindeling met playbooks die zijn geïntegreerd met Azure-services en uw bestaande hulpprogramma's.

Microsoft de automatiserings- en indelingsoplossing van Sentinel biedt een zeer uitbreidbare architectuur die schaalbare automatisering mogelijk maakt naarmate er nieuwe technologieën en bedreigingen ontstaan. Als u playbooks wilt maken met Azure Logic Apps, kunt u kiezen uit een steeds groter wordende galerie met ingebouwde playbooks. Dit zijn onder andere meer dan 200 connectors voor services zoals Azure-functies. Met de connectors kunt u aangepaste logica in code toepassen, zoals:

  • ServiceNow
  • Jira
  • Zendesk
  • HTTP-aanvragen
  • Microsoft Teams
  • Slack
  • Windows Defender ATP
  • Defender voor Cloud-apps

Als u bijvoorbeeld het ServiceNow-ticketsysteem gebruikt, gebruikt u Azure Logic Apps om uw werkstromen te automatiseren en een ticket te openen in ServiceNow telkens wanneer een bepaalde waarschuwing of incident wordt gegenereerd.

Schermopname van een voorbeeld van een geautomatiseerde werkstroom in Azure Logic Apps waarin een incident verschillende acties kan activeren.

Playbooks zijn bedoeld voor SOC-technici en analisten van alle lagen, om taken te automatiseren en te vereenvoudigen, waaronder gegevensopname, verrijking, onderzoek en herstel.

Playbooks werken het beste met enkele, herhaalbare taken en vereisen geen codeerkennis. Playbooks zijn niet geschikt voor ad-hoc of complexe taakketens of voor het documenteren en delen van bewijs.

Het bereik en de hoofdoorzaak van beveiligingsrisico's onderzoeken

Microsoft hulpprogramma's voor diepgaand onderzoek van Sentinel helpen u het bereik te begrijpen en de hoofdoorzaak van een potentiële beveiligingsrisico te vinden. U kunt een entiteit in de interactieve grafiek kiezen om interessante vragen te stellen voor een specifieke entiteit en inzoomen op deze entiteit en de bijbehorende verbindingen om de hoofdoorzaak van de bedreiging te achterhalen.

Schermopname van een incidentonderzoek met een entiteit en verbonden entiteiten in een interactieve grafiek.

Beveiligingsrisico's opsporen met behulp van ingebouwde query's

Gebruik Microsoft krachtige zoek- en queryhulpprogramma's van Sentinel, gebaseerd op het MITRE-framework, waarmee u proactief kunt zoeken naar beveiligingsrisico's in de gegevensbronnen van uw organisatie, voordat er een waarschuwing wordt geactiveerd. Maak aangepaste detectieregels op basis van uw opsporingsquery. Geef deze inzichten vervolgens weer als waarschuwingen voor uw beantwoorders van beveiligingsincidenten.

Maak tijdens het opsporen bladwijzers om later terug te keren naar interessante gebeurtenissen. Gebruik een bladwijzer om een gebeurtenis met anderen te delen. Of groepeer gebeurtenissen met andere gerelateerde gebeurtenissen om een overtuigend incident te maken voor onderzoek.

Schermopname van de opsporingspagina in Microsoft Sentinel met een lijst met beschikbare query's.

Uw opsporing van bedreigingen verbeteren met notebooks

Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning-werkruimten, inclusief volledige bibliotheken voor machine learning, visualisatie en gegevensanalyse.

Gebruik notebooks in Microsoft Sentinel om het bereik uit te breiden van wat u kunt doen met Microsoft Sentinel-gegevens. Bijvoorbeeld:

  • Voer analyses uit die niet zijn ingebouwd in Microsoft Sentinel, zoals bepaalde python-functies voor machine learning.
  • Maak gegevensvisualisaties die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren.
  • Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.

Schermopname van een Sentinel-notebook in een Azure Machine Learning-werkruimte.

Notebooks zijn bedoeld voor bedreigingsjagers of laag 2-3-analisten, incidentonderzoekers, gegevenswetenschappers en beveiligingsonderzoekers. Ze vereisen een hogere leercurve en codeerkennis. Ze hebben beperkte ondersteuning voor automatisering.

Notebooks in Microsoft Sentinel bieden:

  • Query's voor zowel Microsoft Sentinel als externe gegevens
  • Functies voor gegevensverrijking, onderzoek, visualisatie, opsporing, machine learning en big data-analyse

Notebooks zijn het meest geschikt voor:

  • Complexere ketens van herhaalbare taken
  • Ad-hoc procedurele controles
  • Machine learning en aangepaste analyse

Notebooks ondersteunen uitgebreide Python-bibliotheken voor het bewerken en visualiseren van gegevens. Ze zijn handig om analyse-bewijs te documenteren en te delen.

Beveiligingsinhoud downloaden van de community

De Microsoft Sentinel-community is een krachtige resource voor het detecteren en automatiseren van bedreigingen. Onze Microsoft beveiligingsanalisten maken en voegen nieuwe werkmappen, playbooks, opsporingsquery's en meer toe. Ze plaatsen deze inhoudsitems in de community zodat u deze in uw omgeving kunt gebruiken. Download voorbeeldinhoud uit de GitHub-opslagplaats van de privécommunity om aangepaste werkmappen, opsporingsquery's, notebooks en playbooks te maken voor Microsoft Sentinel.

Schermopname van de GitHub-opslagplaats voor Microsoft Sentinel met downloadbare inhoud zoals opsporingsquery's, parsers en playbooks.

Volgende stappen