Delen via

Overeenkomende analyses gebruiken om bedreigingen te detecteren

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Profiteer van bedreigingsinformatie die door Microsoft wordt geproduceerd om waarschuwingen en incidenten met hoge kwaliteit te genereren met de Microsoft Defender-bedreigingsinformatie Analytics-regel. Deze ingebouwde regel in Microsoft Sentinel komt overeen met indicatoren met CEF-logboeken (Common Event Format), Windows DNS-gebeurtenissen met domein- en IPv4-bedreigingsindicatoren, syslog-gegevens en meer.

Belangrijk

Overeenkomende analyses zijn momenteel beschikbaar als preview-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.

Vereisten

U moet een of meer van de ondersteunde gegevensconnectors installeren om waarschuwingen en incidenten met hoge kwaliteit te produceren. Er is geen premium Microsoft Defender-bedreigingsinformatie licentie vereist. Installeer de juiste oplossingen van de Content Hub om deze gegevensbronnen te verbinden:

  • Common Event Format
  • DNS (preview)
  • Syslog
  • Office-activiteitenlogboeken
  • Activiteitenlogboeken van Azure
  • ASIM DNS-logboeken
  • ASIM-netwerksessies

Een schermopname van de gegevensbronverbindingen van de Microsoft Defender-bedreigingsinformatie Analytics-regel.

Afhankelijk van uw gegevensbron kunt u bijvoorbeeld de volgende oplossingen en gegevensconnectors gebruiken:

Oplossing Gegevensconnector
Common Event Format-oplossing voor Sentinel Common Event Format-connector voor Microsoft Sentinel
Windows Server DNS DNS-connector voor Microsoft Sentinel
Syslog-oplossing voor Sentinel Syslog-connector voor Microsoft Sentinel
Microsoft 365-oplossing voor Sentinel Office 365-connector voor Microsoft Sentinel
Azure Activity-oplossing voor Sentinel Azure Activity-connector voor Microsoft Sentinel

De overeenkomende analyseregel configureren

Overeenkomende analyses worden geconfigureerd wanneer u de Microsoft Defender-bedreigingsinformatie Analytics-regel inschakelt.

  1. Selecteer in de sectie Configuratie het menu Analyse .

  2. Selecteer het tabblad Regelsjablonen .

  3. Voer in het zoekvenster bedreigingsinformatie in.

  4. Selecteer de Microsoft Defender-bedreigingsinformatie Analytics-regelsjabloon.

  5. Selecteer Regel maken. De regeldetails zijn alleen-lezen en de standaardstatus van de regel is ingeschakeld.

  6. Selecteer Maken controleren>.

Schermopname van de Microsoft Defender-bedreigingsinformatie Analytics-regel ingeschakeld op het tabblad Actieve regels.

Gegevensbronnen en indicatoren

Microsoft Defender-bedreigingsinformatie Analytics overeenkomt met uw logboeken met domein-, IP- en URL-indicatoren op de volgende manieren:

  • CEF-logboeken die zijn opgenomen in de Log Analytics-tabel CommonSecurityLog komen overeen met URL- en domeinindicatoren als deze zijn ingevuld in het RequestURL veld en IPv4-indicatoren in het DestinationIP veld.
  • Windows DNS-logboeken, waarbij SubType == "LookupQuery" opgenomen in de DnsEvents tabel overeenkomt met domeinindicatoren die zijn ingevuld in het Name veld en IPv4-indicatoren in het IPAddresses veld.
  • Syslog-gebeurtenissen, waarbij Facility == "cron" opgenomen in de Syslog tabel overeenkomt met domein- en IPv4-indicatoren rechtstreeks vanuit het SyslogMessage veld.
  • Office-activiteitenlogboeken die in de OfficeActivity tabel zijn opgenomen, komen rechtstreeks uit het ClientIP veld overeen met IPv4-indicatoren.
  • Azure-activiteitenlogboeken die rechtstreeks vanuit het veld zijn opgenomen in de AzureActivity CallerIpAddress tabel komen overeen met IPv4-indicatoren.
  • ASIM DNS-logboeken die zijn opgenomen in de ASimDnsActivityLogs tabel komen overeen met domeinindicatoren als deze zijn ingevuld in het DnsQuery veld en IPv4-indicatoren in het DnsResponseName veld.
  • ASIM-netwerksessies die in de ASimNetworkSessionLogs tabel zijn opgenomen, komen overeen met IPv4-indicatoren als deze zijn ingevuld in een of meer van de volgende velden: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, . DvcIpAddr

Een incident sorteren dat wordt gegenereerd door overeenkomende analyses

Als de analyse van Microsoft een overeenkomst vindt, worden alle gegenereerde waarschuwingen gegroepeerd in incidenten.

Gebruik de volgende stappen om de incidenten te sorteren die zijn gegenereerd door de Microsoft Defender-bedreigingsinformatie Analytics-regel:

  1. In de Microsoft Sentinel-werkruimte waarin u de Microsoft Defender-bedreigingsinformatie Analytics-regel hebt ingeschakeld, selecteert u Incidenten en zoekt u naar Microsoft Defender-bedreigingsinformatie Analytics.

    Alle incidenten die in het raster worden gevonden, worden weergegeven.

  2. Selecteer Volledige details weergeven om entiteiten en andere details over het incident weer te geven, zoals specifieke waarschuwingen.

    Dit is een voorbeeld.

    Schermopname van het incident dat wordt gegenereerd door overeenkomende analyses met het detailvenster.

  3. Bekijk de ernst die is toegewezen aan de waarschuwingen en het incident. Afhankelijk van hoe de indicator overeenkomt, wordt een geschikte ernst toegewezen aan een waarschuwing van waaruit Informational High. Als de indicator bijvoorbeeld overeenkomt met firewalllogboeken waarvoor het verkeer is toegestaan, wordt er een waarschuwing met hoge ernst gegenereerd. Als dezelfde indicator overeenkomt met firewalllogboeken die het verkeer hebben geblokkeerd, is de gegenereerde waarschuwing laag of gemiddeld.

    Waarschuwingen worden vervolgens gegroepeerd per waarneembare basis van de indicator. Alle waarschuwingen die zijn gegenereerd in een periode van 24 uur die overeenkomen met het contoso.com domein, worden bijvoorbeeld gegroepeerd in één incident met een ernst die is toegewezen op basis van de hoogste ernst van de waarschuwing.

  4. Bekijk de indicatorinformatie. Wanneer er een overeenkomst wordt gevonden, wordt de indicator gepubliceerd naar de Log Analytics-tabel ThreatIntelligenceIndicators en wordt deze weergegeven op de pagina Bedreigingsinformatie . Voor indicatoren die zijn gepubliceerd op basis van deze regel, wordt de bron gedefinieerd als Microsoft Defender-bedreigingsinformatie Analytics.

Hier volgt een voorbeeld van de ThreatIntelligenceIndicators tabel.

Schermopname van de tabel ThreatIntelligenceIndicator met indicator met SourceSystem van Microsoft Threat Intelligence Analytics.

Hier volgt een voorbeeld van de pagina Bedreigingsinformatie .

Schermopname van het overzicht bedreigingsinformatie met indicator geselecteerd met de bron als Microsoft Threat Intelligence Analytics.

Meer context ophalen uit Microsoft Defender-bedreigingsinformatie

Naast waarschuwingen en incidenten met hoge kwaliteit bevatten sommige Microsoft Defender-bedreigingsinformatie indicatoren een koppeling naar een referentieartikel in de Microsoft Defender-bedreigingsinformatie communityportal.

Schermopname van een incident met een koppeling naar het Microsoft Defender-bedreigingsinformatie referentieartikel.

Zie Wat is Microsoft Defender-bedreigingsinformatie voor meer informatie.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u bedreigingsinformatie kunt verbinden die door Microsoft wordt geproduceerd om waarschuwingen en incidenten te genereren. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel: