Delen via

Informatie over bedreigingsinformatie in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel is een SIEM-oplossing (Security Information and Event Management) in de cloud met de mogelijkheid om snel bedreigingsinformatie op te halen uit talloze bronnen.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Inleiding tot bedreigingsinformatie

Cyber threat intelligence (CTI) is informatie die bestaande of potentiële bedreigingen voor systemen en gebruikers beschrijft. Deze intelligentie heeft veel vormen zoals geschreven rapporten die de motivaties, infrastructuur en technieken van een bepaalde bedreigingsacteur beschrijven. Het kan ook specifieke waarnemingen zijn van IP-adressen, domeinen, bestands-hashes en andere artefacten die zijn gekoppeld aan bekende cyberbedreigingen.

Organisaties gebruiken CTI om essentiële context te bieden aan ongebruikelijke activiteiten, zodat beveiligingspersoneel snel actie kan ondernemen om hun mensen, informatie en assets te beschermen. U kunt CTI op veel plaatsen bronen, zoals:

  • Opensource-gegevensfeeds.
  • Community's voor het delen van bedreigingsinformatie.
  • Feeds voor commerciële intelligentie.
  • Lokale intelligentie verzameld in de loop van beveiligingsonderzoeken binnen een organisatie.

Voor SIEM-oplossingen zoals Microsoft Sentinel zijn de meest voorkomende vormen van CTI bedreigingsindicatoren, ook wel bekend als indicatoren van inbreuk (IOC's) of indicatoren van aanvallen. Bedreigingsindicatoren zijn gegevens die waargenomen artefacten, zoals URL's, bestands-hashes of IP-adressen, koppelen aan bekende bedreigingsactiviteiten, zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd. Het wordt toegepast op beveiligingsproducten en automatisering op grote schaal om potentiële bedreigingen voor een organisatie te detecteren en te beschermen tegen hen.

Gebruik bedreigingsindicatoren in Microsoft Sentinel om schadelijke activiteiten te detecteren die in uw omgeving zijn waargenomen en om beveiligingsonderzoekers context te bieden om antwoordbeslissingen te informeren.

U kunt bedreigingsinformatie integreren in Microsoft Sentinel via de volgende activiteiten:

  • Importeer bedreigingsinformatie in Microsoft Sentinel door gegevensconnectors in te schakelen voor verschillende platforms en feeds voor bedreigingsinformatie.
  • Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken en in het deelvenster Bedreigingsinformatie van Microsoft Sentinel.
  • Bedreigingen detecteren en beveiligingswaarschuwingen en incidenten genereren met behulp van de ingebouwde analyseregelsjablonen op basis van uw geïmporteerde bedreigingsinformatie.
  • Visualiseer belangrijke informatie over uw geïmporteerde bedreigingsinformatie in Microsoft Sentinel met de werkmap Bedreigingsinformatie .

Microsoft verrijkt alle geïmporteerde bedreigingsinformatie-indicatoren met GeoLocation- en WhoIs-gegevens, die samen met andere indicatorinformatie worden weergegeven.

Bedreigingsinformatie biedt ook nuttige context in andere Microsoft Sentinel-ervaringen, zoals opsporing en notebooks. Zie Jupyter-notebooks in Microsoft Sentinel en zelfstudie voor meer informatie: Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Bedreigingsinformatie importeren met gegevensconnectors

Bedreigingsindicatoren worden geïmporteerd met behulp van gegevensconnectors, net zoals alle andere gebeurtenisgegevens in Microsoft Sentinel. Dit zijn de gegevensconnectors in Microsoft Sentinel die specifiek zijn opgegeven voor bedreigingsindicatoren:

  • Microsoft Defender-bedreigingsinformatie gegevensconnector: wordt gebruikt voor het opnemen van Bedreigingsindicatoren van Microsoft.
  • Premium Defender Threat Intelligence-gegevensconnector: wordt gebruikt voor het opnemen van de Premium Intelligence-feed van Defender Threat Intelligence.
  • Bedreigingsinformatie - TAXII: wordt gebruikt voor standaard STIX-/TAXII-feeds.
  • Api voor het uploaden van bedreigingsinformatie: wordt gebruikt voor geïntegreerde en gecureerde feeds voor bedreigingsinformatie met behulp van een REST API om verbinding te maken.
  • Tip-gegevensconnector (Threat Intelligence Platform): wordt gebruikt om feeds voor bedreigingsinformatie te verbinden met behulp van een REST API, maar deze bevindt zich op het pad voor afschaffing.

Gebruik een van deze gegevensconnectors in elke combinatie, afhankelijk van waar bedreigingsindicatoren voor uw organisatie worden gebruikt. Alle drie deze connectors zijn beschikbaar in de Content Hub als onderdeel van de oplossing Bedreigingsinformatie. Zie de Vermelding Bedreigingsinformatie van Azure Marketplace voor meer informatie over deze oplossing.

Bekijk ook deze catalogus met bedreigingsinformatie-integraties die beschikbaar zijn met Microsoft Sentinel.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de Defender Threat Intelligence-gegevensconnector

Breng openbare, opensource- en hoogwaardige IOC's die door Defender Threat Intelligence worden gegenereerd in uw Microsoft Sentinel-werkruimte met de Defender Threat Intelligence-gegevensconnectors. Gebruik met een eenvoudige configuratie met één klik de bedreigingsinformatie van de standaard- en premium Defender Threat Intelligence-gegevensconnectors om te bewaken, waarschuwen en jagen.

De vrij beschikbare Defender Threat Intelligence-regel voor bedreigingsanalyse geeft u een voorbeeld van wat de premium Defender Threat Intelligence-gegevensconnector biedt. Bij overeenkomende analyses worden echter alleen indicatoren opgenomen die overeenkomen met de regel in uw omgeving. De premium Defender Threat Intelligence-gegevensconnector brengt de premium bedreigingsinformatie en maakt analyses mogelijk voor meer gegevensbronnen met meer flexibiliteit en inzicht in die bedreigingsinformatie. Hier volgt een tabel waarin wordt weergegeven wat u kunt verwachten wanneer u een licentie krijgt en de premium Defender Threat Intelligence-gegevensconnector inschakelt.

Gratis Premium
Openbare IOC's
Opensource intelligence (OSINT)
Microsoft IOC's
Microsoft-verrijkte OSINT

Raadpleeg voor meer informatie de volgende artikelen:

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de API-gegevensconnector Bedreigingsinformatie uploadindicatoren

Veel organisaties gebruiken TIP-oplossingen (Threat Intelligence Platform) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met behulp van de API-gegevensconnector Threat Intelligence Upload Indicators kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Diagram waarin het importpad van de API voor uploadindicatoren wordt weergegeven.

Deze gegevensconnector maakt gebruik van een nieuwe API en biedt de volgende verbeteringen:

  • De bedreigingsindicatorvelden zijn gebaseerd op de gestandaardiseerde STIX-indeling.
  • Voor de Microsoft Entra-toepassing is alleen de rol Microsoft Sentinel-inzender vereist.
  • Het eindpunt van de API-aanvraag is gericht op werkruimteniveau. De vereiste Microsoft Entra-toepassingsmachtigingen staan gedetailleerde toewijzingen toe op werkruimteniveau.

Zie Connect your threat intelligence platform using the Upload Indicators API (Verbinding maken met uw bedreigingsinformatieplatform) voor meer informatie.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de gegevensconnector Threat Intelligence Platform

Net als bij de bestaande connector voor uploadindicatoren-API's gebruikt de Gegevensconnector Threat Intelligence Platform een API waarmee uw TIP of aangepaste oplossing indicatoren naar Microsoft Sentinel kan verzenden. Deze gegevensconnector bevindt zich nu echter op een pad voor afschaffing. U wordt aangeraden te profiteren van de optimalisaties die de API uploadindicatoren biedt.

De TIP-gegevensconnector werkt met de Microsoft Graph Security TiIndicators-API. U kunt deze ook gebruiken met elke aangepaste TIP die communiceert met de tiIndicators-API om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Defender XDR).

Schermopname van een importpad voor bedreigingsinformatie.

Zie Geïntegreerde platformproducten voor bedreigingsinformatie voor meer informatie over de TIP-oplossingen die zijn geïntegreerd met Microsoft Sentinel. Zie Uw bedreigingsinformatieplatform verbinden met Microsoft Sentinel voor meer informatie.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de Bedreigingsinformatie - TAXII-gegevensconnector

De meestgebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ophaalt uit oplossingen die ondersteuning bieden voor de huidige STIX/TAXII-versie (2.0 of 2.1), gebruikt u de bedreigingsinformatie - TAXII-gegevensconnector om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met de Threat Intelligence - TAXII-gegevensconnector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.

Schermopname van een TAXII-importpad

Als u bedreigingsindicatoren met STIX-indeling wilt importeren in Microsoft Sentinel vanaf een TAXII-server:

  1. Haal de ROOT- en verzamelings-id van de TAXII-server-API op.
  2. Schakel de Bedreigingsinformatie - TAXII-gegevensconnector in Microsoft Sentinel in.

Zie Microsoft Sentinel verbinden met STIX/TAXII-feeds voor bedreigingsinformatie voor meer informatie.

Uw bedreigingsindicatoren weergeven en beheren

Bekijk en beheer uw indicatoren op de pagina Bedreigingsinformatie . Sorteer, filter en zoek uw geïmporteerde bedreigingsindicatoren zonder zelfs een Log Analytics-query te schrijven.

Schermopname van een geavanceerde zoekinterface waarin bron- en patroonvoorwaarden zijn geselecteerd.

Twee van de meest voorkomende bedreigingsinformatietaken zijn het taggen van indicatoren en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken. Maak of bewerk de bedreigingsindicatoren rechtstreeks op de pagina Bedreigingsinformatie wanneer u slechts enkele snel hoeft te beheren.

Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groeperen om ze gemakkelijker te vinden. Normaal gesproken kunt u tags toepassen op een indicator met betrekking tot een bepaald incident of als de indicator bedreigingen van een bepaalde actor of bekende aanvalscampagne vertegenwoordigt. Nadat u hebt gezocht naar de indicatoren waarmee u wilt werken, kunt u ze afzonderlijk taggen. Indicatoren met meerdere selecties en tag ze allemaal tegelijk met een of meer tags. Omdat taggen vrij is, raden we u aan standaardnaamconventies te maken voor bedreigingsindicatortags.

Valideer uw indicatoren en bekijk uw geïmporteerde bedreigingsindicatoren uit de Log Analytics-werkruimte met Microsoft Sentinel. In ThreatIntelligenceIndicator de tabel onder het Microsoft Sentinel-schema worden al uw Bedreigingsindicatoren van Microsoft Sentinel opgeslagen. Deze tabel is de basis voor bedreigingsinformatiequery's die worden uitgevoerd door andere Microsoft Sentinel-functies, zoals analyses en werkmappen.

Hier volgt een voorbeeldweergave van een basisquery voor bedreigingsindicatoren.

Schermopname van de pagina Logboeken met een voorbeeldquery van de tabel ThreatIntelligenceIndicator.

Bedreigingsinformatie-indicatoren worden opgenomen in de ThreatIntelligenceIndicator tabel van uw Log Analytics-werkruimte als alleen-lezen. Wanneer een indicator wordt bijgewerkt, wordt er een nieuwe vermelding in de ThreatIntelligenceIndicator tabel gemaakt. Alleen de meest recente indicator wordt weergegeven op de pagina Bedreigingsinformatie . Microsoft Sentinel ontdubbelt indicatoren op basis van de IndicatorId en eigenschappen en SourceSystem kiest de indicator met de nieuwste TimeGenerated[UTC].

De IndicatorId eigenschap wordt gegenereerd met behulp van de STIX-indicator-id. Wanneer indicatoren worden geïmporteerd of gemaakt op basis van niet-STIX-bronnen, IndicatorId worden gegenereerd door de bron en het patroon van de indicator.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het weergeven en beheren van uw bedreigingsindicatoren.

Uw GeoLocation- en WhoIs-gegevensverrijkingen weergeven (openbare preview)

Microsoft verrijkt IP- en domeinindicatoren met extra GeoLocation en WhoIs gegevens om meer context te bieden voor onderzoeken waar de geselecteerde IOC wordt gevonden.

Bekijk GeoLocation en WhoIs gegevens in het deelvenster Bedreigingsinformatie voor deze typen bedreigingsindicatoren die in Microsoft Sentinel zijn geïmporteerd.

Gebruik GeoLocation bijvoorbeeld gegevens om informatie te vinden, zoals de organisatie of het land voor een IP-indicator. Gebruik WhoIs gegevens om gegevens te vinden, zoals registrar en het maken van gegevens van een domeinindicator.

Bedreigingen detecteren met bedreigingsindicatoranalyse

De belangrijkste use case voor bedreigingsindicatoren in SIEM-oplossingen, zoals Microsoft Sentinel, is het uitvoeren van analyseregels voor detectie van bedreigingen. Met deze op indicatoren gebaseerde regels worden onbewerkte gebeurtenissen uit uw gegevensbronnen vergeleken met uw bedreigingsindicatoren om beveiligingsrisico's in uw organisatie te detecteren. In Microsoft Sentinel Analytics maakt u analyseregels die volgens een planning worden uitgevoerd en beveiligingswaarschuwingen genereren. De regels worden aangestuurd door query's. Samen met configuraties bepalen ze hoe vaak de regel moet worden uitgevoerd, welk soort queryresultaten beveiligingswaarschuwingen en incidenten moeten genereren en, optioneel, wanneer een geautomatiseerd antwoord moet worden geactiveerd.

Hoewel u altijd nieuwe analyseregels kunt maken, biedt Microsoft Sentinel een set ingebouwde regelsjablonen, gemaakt door Beveiligingstechnici van Microsoft, om te profiteren van uw bedreigingsindicatoren. Deze sjablonen zijn gebaseerd op het type bedreigingsindicatoren (domein, e-mail, bestandshash, IP-adres of URL) en gegevensbron-gebeurtenissen die u wilt vergelijken. Elke sjabloon bevat de vereiste bronnen die nodig zijn om de regel te laten functioneren. Met deze informatie kunt u eenvoudig bepalen of de benodigde gebeurtenissen al zijn geïmporteerd in Microsoft Sentinel.

Wanneer deze ingebouwde regels worden geactiveerd, wordt standaard een waarschuwing gemaakt. In Microsoft Sentinel genereren de waarschuwingen die zijn gegenereerd op basis van analyseregels ook beveiligingsincidenten. Selecteer Incidenten in het menu Microsoft Sentinel onder Bedreigingsbeheer. Incidenten zijn wat uw beveiligingsteams triageeren en onderzoeken om de juiste reactieacties te bepalen. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

Zie Bedreigingsinformatie gebruiken om bedreigingen te detecteren voor meer informatie over het gebruik van bedreigingsindicatoren in uw analyseregels.

Microsoft biedt toegang tot bedreigingsinformatie via de Defender Threat Intelligence-analyseregel. Zie Overeenkomende analyses gebruiken om bedreigingen te detecteren voor meer informatie over het gebruik van deze regel, waarmee waarschuwingen en incidenten met hoge kwaliteit worden gegenereerd.

Schermopname van een incident met hoge kwaliteit dat wordt gegenereerd door overeenkomende analyses met meer contextinformatie van Defender Threat Intelligence.

Werkmappen bieden inzicht in uw bedreigingsinformatie

Werkmappen bieden krachtige interactieve dashboards waarmee u inzicht krijgt in alle aspecten van Microsoft Sentinel en bedreigingsinformatie is geen uitzondering. Gebruik de ingebouwde werkmap Bedreigingsinformatie om belangrijke informatie over uw bedreigingsinformatie te visualiseren. U kunt de werkmap eenvoudig aanpassen aan de behoeften van uw bedrijf. Maak nieuwe dashboards door veel gegevensbronnen te combineren, zodat u uw gegevens op unieke manieren kunt visualiseren.

Omdat Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen, zijn uitgebreide documentatie en nog veel meer sjablonen al beschikbaar. Zie Interactieve rapporten maken met Azure Monitor-werkmappen voor meer informatie.

Er is ook een uitgebreide resource voor Azure Monitor-werkmappen op GitHub, waar u meer sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het gebruik en aanpassen van de werkmap Bedreigingsinformatie.

Gerelateerde inhoud

In dit artikel hebt u geleerd over de mogelijkheden voor bedreigingsinformatie van Microsoft Sentinel, waaronder het deelvenster Bedreigingsinformatie . Zie de volgende artikelen voor praktische hulp bij het gebruik van de mogelijkheden voor bedreigingsinformatie van Microsoft Sentinel: