Delen via

Detectie van bedreigingen in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nadat u Microsoft Sentinel hebt ingesteld om gegevens van al uw organisatie te verzamelen, moet u voortdurend alle gegevens doorzoeken om beveiligingsrisico's voor uw omgeving te detecteren. Om deze taak uit te voeren, biedt Microsoft Sentinel regels voor bedreigingsdetectie die regelmatig worden uitgevoerd, waarbij de verzamelde gegevens worden opgespoord en geanalyseerd om bedreigingen te detecteren. Deze regels hebben een aantal verschillende smaken en worden gezamenlijk analyseregels genoemd.

Met deze regels worden waarschuwingen gegenereerd wanneer ze vinden wat ze zoeken. Waarschuwingen bevatten informatie over de gedetecteerde gebeurtenissen, zoals de betrokken entiteiten (gebruikers, apparaten, adressen en andere items). Waarschuwingen worden samengevoegd en gecorreleerd in incidenten( casebestanden) die u kunt toewijzen en onderzoeken om de volledige omvang van de gedetecteerde bedreiging te leren en dienovereenkomstig te reageren. U kunt ook vooraf bepaalde, geautomatiseerde antwoorden bouwen in de eigen configuratie van de regels.

U kunt deze regels helemaal zelf maken met behulp van de ingebouwde wizard analyseregels. Microsoft moedigt u echter sterk aan om gebruik te maken van de enorme reeks analyseregelsjablonen die voor u beschikbaar zijn via de vele oplossingen voor Microsoft Sentinel die in de inhoudshub worden aangeboden. Deze sjablonen zijn vooraf gebouwde regelprototypes, ontworpen door teams van beveiligingsexperts en analisten op basis van hun kennis van bekende bedreigingen, veelvoorkomende aanvalsvectoren en escalatieketens van verdachte activiteiten. U activeert regels van deze sjablonen om automatisch in uw omgeving te zoeken naar activiteiten die er verdacht uitzien. Veel van de sjablonen kunnen worden aangepast om te zoeken naar specifieke typen gebeurtenissen, of ze te filteren op basis van uw behoeften.

Dit artikel helpt u te begrijpen hoe Microsoft Sentinel bedreigingen detecteert en wat er vervolgens gebeurt.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Typen analyseregels

U kunt de analyseregels en -sjablonen bekijken die u kunt gebruiken op de pagina Analyse van het menu Configuratie in Microsoft Sentinel. De momenteel actieve regels zijn zichtbaar op het ene tabblad en sjablonen om nieuwe regels op een ander tabblad te maken. Op een derde tabblad worden Afwijkingen weergegeven, een speciaal regeltype dat verderop in dit artikel wordt beschreven.

Als u meer regelsjablonen wilt vinden dan momenteel wordt weergegeven, gaat u naar de Inhoudshub in Microsoft Sentinel om de gerelateerde productoplossingen of zelfstandige inhoud te installeren. Sjablonen voor analyseregels zijn beschikbaar voor vrijwel elke productoplossing in de inhoudshub.

De volgende typen analyseregels en regelsjablonen zijn beschikbaar in Microsoft Sentinel:

Naast de voorgaande regeltypen zijn er enkele andere gespecialiseerde sjabloontypen die elk één exemplaar van een regel kunnen maken, met beperkte configuratieopties:

Geplande regels

Geplande regels zijn verreweg het meest voorkomende type analyseregel gebaseerd op Kusto-query's die zijn geconfigureerd om regelmatig te worden uitgevoerd en onbewerkte gegevens te onderzoeken uit een gedefinieerde 'lookback'-periode. Als het aantal resultaten dat is vastgelegd door de query de drempelwaarde doorgeeft die in de regel is geconfigureerd, genereert de regel een waarschuwing.

De query's in geplande regelsjablonen zijn geschreven door beveiligings- en gegevenswetenschapsexperts van Microsoft of van de leverancier van de oplossing die de sjabloon levert. Query's kunnen complexe statistische bewerkingen uitvoeren op hun doelgegevens, waarbij basislijnen en uitbijters in groepen gebeurtenissen worden weergegeven.

De querylogica wordt weergegeven in de regelconfiguratie. U kunt de querylogica en de plannings- en lookback-instellingen gebruiken zoals gedefinieerd in de sjabloon of deze aanpassen om nieuwe regels te maken. U kunt ook helemaal nieuwe regels maken.

Meer informatie over geplande analyseregels in Microsoft Sentinel.

Regels voor bijna realtime (NRT)

NRT-regels vormen een beperkte subset van geplande regels. Ze zijn zo ontworpen dat ze elke minuut worden uitgevoerd om u zo snel mogelijk informatie te geven.

Ze werken meestal zoals geplande regels en worden op dezelfde manier geconfigureerd, met enkele beperkingen.

Meer informatie over snelle detectie van bedreigingen met bijna realtime analyseregels (NRT) in Microsoft Sentinel.

Anomalieregels

Anomalieregels gebruiken machine learning om specifieke soorten gedrag gedurende een bepaalde periode te observeren om een basislijn te bepalen. Elke regel heeft zijn eigen unieke parameters en drempelwaarden die geschikt zijn voor het gedrag dat wordt geanalyseerd. Nadat de observatieperiode is voltooid, wordt de basislijn ingesteld. Wanneer de regel gedrag bekijkt dat groter is dan de grenzen die zijn ingesteld in de basislijn, worden deze exemplaren gemarkeerd als afwijkend.

Hoewel de configuraties van out-of-the-box-regels niet kunnen worden gewijzigd of verfijnd, kunt u een regel dupliceren en vervolgens het duplicaat wijzigen en verfijnen. In dergelijke gevallen voert u het duplicaat uit in de flighting-modus en het origineel gelijktijdig in de productiemodus . Vergelijk vervolgens de resultaten en schakel het duplicaat over naar Productie als en wanneer de afstemming naar wens is.

Afwijkingen geven niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag zelf aan. Daarom genereren anomalieregels hun eigen waarschuwingen niet. In plaats daarvan registreren ze de resultaten van hun analyse, de gedetecteerde afwijkingen, in de tabel Afwijkingen . U kunt een query uitvoeren op deze tabel om context te bieden waarmee uw detecties, onderzoeken en opsporing van bedreigingen worden verbeterd.

Zie Aanpasbare afwijkingen gebruiken voor het detecteren van bedreigingen in Microsoft Sentinel en werken met analyseregels voor anomaliedetectie in Microsoft Sentinel voor meer informatie.

Microsoft-beveiligingsregels

Geplande en NRT-regels maken automatisch incidenten voor de waarschuwingen die ze genereren, maar waarschuwingen die worden gegenereerd in externe services en opgenomen in Microsoft Sentinel maken geen eigen incidenten. Microsoft-beveiligingsregels maken automatisch Microsoft Sentinel-incidenten op basis van de waarschuwingen die in andere Microsoft-beveiligingsoplossingen worden gegenereerd, in realtime. U kunt Microsoft-beveiligingssjablonen gebruiken om nieuwe regels met vergelijkbare logica te maken.

Belangrijk

Microsoft-beveiligingsregels zijn niet beschikbaar als u het volgende hebt:

In deze scenario's maakt Microsoft Defender XDR de incidenten.

Dergelijke regels die u vooraf hebt gedefinieerd, worden automatisch uitgeschakeld.

Zie Automatisch incidenten maken op basis van Microsoft-beveiligingswaarschuwingen voor meer informatie over regels voor het maken van beveiligingsincidenten van Microsoft.

Informatie over bedreigingen

Profiteer van bedreigingsinformatie die door Microsoft wordt geproduceerd om waarschuwingen en incidenten met hoge kwaliteit te genereren met de Microsoft Threat Intelligence Analytics-regel . Deze unieke regel kan niet worden aangepast, maar wanneer deze functie is ingeschakeld, komt deze automatisch overeen met CEF-logboeken (Common Event Format), Syslog-gegevens of Windows DNS-gebeurtenissen met domein-, IP- en URL-bedreigingsindicatoren van Microsoft Threat Intelligence. Bepaalde indicatoren bevatten meer contextinformatie via MDTI (Microsoft Defender-bedreigingsinformatie).

Zie Overeenkomende analyses gebruiken om bedreigingen te detecteren voor meer informatie over het inschakelen van deze regel.
Zie Wat is Microsoft Defender-bedreigingsinformatie voor meer informatie over MDTI.

Geavanceerde detectie van aanvallen met meerdere fasen (Fusion)

Microsoft Sentinel maakt gebruik van de Fusion-correlatie-engine, met de schaalbare machine learning-algoritmen, om geavanceerde aanvallen met meerdere fasen te detecteren door veel waarschuwingen en gebeurtenissen met een lage kwaliteit en gebeurtenissen in meerdere producten te correleren in hoogwaardige en bruikbare incidenten. De regel geavanceerde detectie van aanvallen met meerdere fasen is standaard ingeschakeld. Omdat de logica verborgen is en daarom niet kan worden aangepast, kan er slechts één regel met deze sjabloon zijn.

De Fusion-engine kan ook waarschuwingen correleren die worden geproduceerd door geplande analyseregels met waarschuwingen van andere systemen, waardoor incidenten met hoge kwaliteit worden geproduceerd.

Belangrijk

Het regeltype Geavanceerde aanvalsdetectie is niet beschikbaar als u het volgende hebt:

In deze scenario's maakt Microsoft Defender XDR de incidenten.

Daarnaast zijn sommige fusiondetectiesjablonen momenteel beschikbaar in PREVIEW (zie Geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel om te zien welke sjablonen er zijn). Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Analyse van machine learning-gedrag (ML)

Profiteer van de eigen machine learning-algoritmen van Microsoft om waarschuwingen en incidenten met hoge kwaliteit te genereren met de regels voor ML Behavior Analytics . Deze unieke regels (momenteel in preview) kunnen niet worden aangepast, maar wanneer deze optie is ingeschakeld, detecteert u specifieke afwijkende SSH- en RDP-aanmeldingsgedrag op basis van IP- en geolocatie- en gebruikersgeschiedenisgegevens.

Toegangsmachtigingen voor analyseregels

Wanneer u een analyseregel maakt, wordt er een toegangsmachtigingstoken toegepast op de regel en samen opgeslagen. Dit token zorgt ervoor dat de regel toegang heeft tot de werkruimte die de gegevens bevat die door de regel worden opgevraagd en dat deze toegang wordt gehandhaafd, zelfs als de maker van de regel geen toegang meer heeft tot die werkruimte.

Er is echter één uitzondering op deze toegang: wanneer er een regel wordt gemaakt voor toegang tot werkruimten in andere abonnementen of tenants, zoals wat er gebeurt in het geval van een MSSP, neemt Microsoft Sentinel extra beveiligingsmaatregelen om onbevoegde toegang tot klantgegevens te voorkomen. Voor dit soort regels worden de referenties van de gebruiker die de regel heeft gemaakt, toegepast op de regel in plaats van een onafhankelijk toegangstoken, zodat wanneer de gebruiker geen toegang meer heeft tot het andere abonnement of de andere tenant, de regel niet meer werkt.

Als u Microsoft Sentinel uitvoert in een scenario voor meerdere abonnementen of meerdere tenants, werkt een van uw analisten of technici geen toegang meer tot een bepaalde werkruimte, dan werken alle regels die door die gebruiker zijn gemaakt, niet meer. In deze situatie krijgt u een statuscontrolebericht met betrekking tot 'onvoldoende toegang tot resource' en wordt de regel automatisch uitgeschakeld nadat het een bepaald aantal keren is mislukt .

Regels exporteren naar een ARM-sjabloon

U kunt uw regel eenvoudig exporteren naar een ARM-sjabloon (Azure Resource Manager) als u uw regels als code wilt beheren en implementeren. U kunt ook regels importeren uit sjabloonbestanden om ze in de gebruikersinterface weer te geven en te bewerken.

Volgende stappen