Stap 3. Gegevensbronnen opnemen en incidentdetectie configureren in Microsoft Sentinel
Nadat u klaar bent met het ontwerpen en implementeren van uw Microsoft Sentinel-werkruimte(s), gaat u verder met het opnemen van gegevensbronnen en het configureren van incidentdetectie.
Oplossingen in Microsoft Sentinel bieden een geconsolideerde manier om Microsoft Sentinel-inhoud te verkrijgen, zoals gegevensconnectors, werkmappen, analyses en automatisering, in uw werkruimte met één implementatiestap.
Gegevensconnectors zijn geconfigureerd om gegevensopname in de werkruimte in te schakelen. Nadat belangrijke gegevenspunten zijn opgenomen in Microsoft Sentinel, moeten UEBA-regels (User and Entity Behavior Analytics) en analytische regels ook zijn ingeschakeld om afwijkende en schadelijke activiteiten vast te leggen. Analyseregels bepalen hoe waarschuwingen en incidenten worden gegenereerd in uw Microsoft Sentinel-exemplaar. Door analyseregels aan te passen aan uw omgevings- en organisatiebehoeften via entiteitstoewijzing, kunt u incidenten met hoge kwaliteit produceren en de vermoeidheid van waarschuwingen verminderen.
Als u uw werkruimte hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, zijn de procedures in deze stap beschikbaar in zowel azure- als Defender-portals.
Voordat u begint
Bevestig de installatiemethode, de vereiste rollen en licenties voor het inschakelen van gegevensconnectors. Zie Uw Microsoft Sentinel-gegevensconnector zoeken voor meer informatie.
De volgende tabel bevat een overzicht van de vereisten voor het opnemen van belangrijke Microsoft Sentinel-gegevensconnectors voor Azure en Microsoft-services:
| Resourcetype | Installatiemethode | Rol/machtigingen/licentie vereist |
|---|---|---|
| Microsoft Entra ID | Systeemeigen gegevensconnector | Beveiligingsbeheerder Aanmeldingslogboeken vereisen microsoft Entra ID P1- of P2-licentie Voor andere logboeken is geen P1 of P2 vereist |
| Microsoft Entra ID Protection | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft Entra ID P2 |
| Azure-activiteit | Azure Policy | Rol van eigenaar vereist voor abonnementen |
| Microsoft Defender XDR | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft 365 E5, Microsoft 365 A5 of een andere in aanmerking komende Licentie voor Microsoft Defender XDR |
| Microsoft Defender voor Cloud | Systeemeigen gegevensconnector | Beveiligingslezer Als u bidirectionele synchronisatie wilt inschakelen, is de rol Inzender/Beveiligingsbeheerder vereist voor het abonnement. |
| Microsoft Defender for Identity | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft Defender for Identity |
| Microsoft Defender voor Office 365 | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft Defender voor Office 365 abonnement 2 |
| Microsoft 365 | Systeemeigen gegevensconnector | Beveiligingsbeheerder |
| Microsoft Defender voor IoT | Inzender voor abonnement met IoT-hubs | |
| Microsoft Defender voor Cloud-apps | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft Defender voor Cloud-apps |
| Microsoft Defender voor Eindpunt | Systeemeigen gegevensconnector | Beveiligingsbeheerder Licentie: Microsoft Defender voor Eindpunt |
| gebeurtenissen Windows-beveiliging via de Azure Monitor-agent (AMA) |
Systeemeigen gegevensconnector met agent | Lezen/schrijven in Log Analytics-werkruimte |
| Syslog | Systeemeigen gegevensconnector met agent | Log Analytics-werkruimte lezen/schrijven |
Stap 1: Oplossingen installeren en gegevensconnectors inschakelen
Gebruik de volgende aanbevelingen om aan de slag te gaan met het installeren van oplossingen en het configureren van gegevensconnectors. Zie voor meer informatie:
- Microsoft Sentinel-inhoudshubcatalogus
- Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren
Gratis gegevensbronnen instellen
Begin met het instellen van gratis gegevensbronnen voor opname, waaronder:
Azure-activiteitenlogboeken: het opnemen van Azure-activiteitenlogboeken is van cruciaal belang bij het inschakelen van Microsoft Sentinel voor een weergave met één venster in de hele omgeving.
Office 365-auditlogboeken, waaronder alle SharePoint-activiteiten, Exchange-beheerdersactiviteit en Teams.
Beveiligingswaarschuwingen, waaronder waarschuwingen van Microsoft Defender voor Cloud, Microsoft Defender XDR, Microsoft Defender voor Office 365, Microsoft Defender for Identity en Microsoft Defender voor Eindpunt.
Als u uw werkruimte nog niet hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen en in Azure Portal werkt, zorgt het opnemen van beveiligingswaarschuwingen in Microsoft Sentinel ervoor dat Azure Portal het centrale deelvenster van incidentbeheer in de hele omgeving is. In dergelijke gevallen wordt onderzoek naar incidenten gestart in Microsoft Sentinel en moet het verder gaan in de Microsoft Defender-portal of Defender voor Cloud, indien een diepgaande analyse vereist is.
Zie Microsoft Defender XDR-incidenten en regels voor het maken van microsoft-incidenten voor meer informatie.
Microsoft Defender voor Cloud Apps-waarschuwingen.
Zie Microsoft Sentinel-prijzen en gratis gegevensbronnen voor meer informatie.
Betaalde gegevensbronnen instellen
Als u een bredere bewakings- en waarschuwingsdekking wilt bieden, richt u zich op het toevoegen van de Microsoft Entra-id en Microsoft Defender XDR-gegevensconnectors . Er worden kosten in rekening gebracht voor het opnemen van gegevens uit deze bronnen.
Zorg ervoor dat u Microsoft Defender XDR-logboeken naar Microsoft Sentinel verzendt als een van de volgende vereisten is vereist:
- Onboarding naar het geïntegreerde platform voor beveiligingsbewerkingen, dat één portal biedt voor incidentbeheer in Microsoft Defender.
- Microsoft Sentinel-fusiewaarschuwingen, die gegevensbronnen van meerdere producten correleren om aanvallen met meerdere fasen in de omgeving te detecteren.
- Langere retentie dan wat wordt aangeboden in Microsoft Defender XDR.
- Automatisering wordt niet gedekt door de ingebouwde herstelbewerkingen die worden aangeboden door Microsoft Defender voor Eindpunt.
Zie voor meer informatie:
- Microsoft 365 Defender integreren
- Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel
- Microsoft Entra-gegevens verbinden met Microsoft Sentinel
Gegevensbronnen instellen per omgeving
In deze sectie worden gegevensbronnen beschreven die u mogelijk wilt gebruiken, afhankelijk van de services en implementatiemethoden die in uw omgeving worden gebruikt.
| Scenario | Gegevensbronnen |
|---|---|
| Azure-services | Als een van de volgende services wordt geïmplementeerd in Azure, gebruikt u de volgende connectors om de diagnostische logboeken van deze resources te verzenden naar Microsoft Sentinel: - Azure Firewall - Azure Application Gateway - Sleutelkluis - Azure Kubernetes Service - Azure SQL - Netwerkbeveiligingsgroepen - Azure-Arc-servers U wordt aangeraden Azure Policy in te stellen om te vereisen dat de logboeken worden doorgestuurd naar de onderliggende Log Analytics-werkruimte. Zie Diagnostische instellingen op schaal maken met behulp van Azure Policy voor meer informatie. |
| Virtuele machines | Gebruik de volgende gegevensconnectors voor virtuele machines die on-premises of in andere clouds worden gehost waarvoor hun logboeken zijn verzameld: - gebeurtenissen Windows-beveiliging met behulp van AMA - Gebeurtenissen via Defender voor Eindpunt (voor server) - Syslog |
| Virtuele netwerkapparaten/on-premises bronnen | Gebruik de volgende gegevensconnectors voor virtuele netwerkapparaten of andere on-premises bronnen die CEF-logboeken (Common Event Format) of SYSLOG-logboeken genereren: - Syslog via AMA - Common Event Format (CEF) via AMA Zie Syslog- en CEF-berichten opnemen naar Microsoft Sentinel met de Azure Monitor-agent voor meer informatie. |
Wanneer u klaar bent, zoekt u in de Microsoft Sentinel Content Hub naar andere apparaten en SaaS-apps (Software as a Service) waarvoor logboeken naar Microsoft Sentinel moeten worden verzonden.
Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Stap 2: Analyse van gedrag van gebruikersentiteiten inschakelen
Nadat u gegevensconnectors hebt ingesteld in Microsoft Sentinel, moet u de analyse van gebruikersentiteitsgedrag inschakelen om verdacht gedrag te identificeren dat kan leiden tot phishing-aanvallen en uiteindelijk aanvallen zoals ransomware. Vaak is anomaliedetectie via UEBA de beste methode voor het detecteren van Zero-day-aanvallen vroeg.
Met behulp van UEBA kan Microsoft Sentinel gedragsprofielen bouwen van de entiteiten van uw organisatie in de tijd en peergroep om afwijkende activiteiten te identificeren. Deze extra hulpprogramma's in een expeditie om te bepalen of er inbreuk is gemaakt op een activum. Aangezien het peergroepkoppeling identificeert, kan dit ook helpen bij het bepalen van de straalstraal van dit compromis.
Zie Bedreigingen identificeren met analyse van entiteitsgedrag voor meer informatie
Stap 3: Analytische regels inschakelen
De hersenen van Microsoft Sentinel zijn afkomstig van de analyseregels. Dit zijn regels die u zo instelt dat Microsoft Sentinel u waarschuwt voor gebeurtenissen met een set voorwaarden die u belangrijk vindt. De kant-en-klare beslissingen die Microsoft Sentinel neemt, zijn gebaseerd op gedragsanalyse van gebruikersentiteiten (UEBA) en op correlaties van gegevens in meerdere gegevensbronnen.
Wanneer u analytische regels voor Microsoft Sentinel inschakelt, geeft u prioriteit aan het inschakelen van verbonden gegevensbronnen, organisatierisico's en MITRE-tactiek.
Dubbele incidenten voorkomen
Als u de Microsoft Defender XDR-connector hebt ingeschakeld, wordt automatisch een bidirectionele synchronisatie tussen 365 Defender-incidenten en Microsoft Sentinel tot stand gebracht.
Om dubbele incidenten voor dezelfde waarschuwingen te voorkomen, raden we u aan alle regels voor het maken van microsoft-incidenten voor geïntegreerde Microsoft Defender XDR-producten, waaronder Defender for Endpoint, Defender for Identity, Defender voor Office 365, Defender voor Cloud Apps en Microsoft Entra ID Protection, uit te schakelen.
Zie Microsoft Defender XDR-incidenten en regels voor het maken van microsoft-incidenten voor meer informatie.
Fusion-waarschuwingen gebruiken
Standaard stelt Microsoft Sentinel de analyseregel voor geavanceerde multistage aanvalsdetectie in staat om aanvallen met meerdere fasen automatisch te identificeren.
Met afwijkend gedrag en verdachte activiteiten die zijn waargenomen in de cyber-kill chain, genereert Microsoft Sentinel incidenten waarmee u de inbreukincidenten met twee of meer waarschuwingsactiviteiten erin kunt zien met een hoge mate van vertrouwen.
Fusion-waarschuwingstechnologie correleert brede punten van gegevenssignalen met uitgebreide machine learning-analyse (ML) om bekende, onbekende en opkomende bedreigingen te bepalen. Met fusiondetectie kunnen bijvoorbeeld de sjablonen voor anomalieregels en de geplande query's die zijn gemaakt voor het ransomware-scenario , worden gebruikt en gekoppeld aan waarschuwingen van Microsoft Security Suite-services, zoals:
- Microsoft Entra ID-beveiliging
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender voor Eindpunten
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Anomalieregels gebruiken
Anomalieregels van Microsoft Sentinel zijn standaard beschikbaar en zijn standaard ingeschakeld. Anomalieregels zijn gebaseerd op machine learning-modellen en UEBA die trainen op de gegevens in uw werkruimte om afwijkend gedrag te markeren voor gebruikers, hosts en andere.
Vaak leidt een phishing-aanval tot een uitvoeringsstap, zoals het bewerken/beheren van lokale of cloudaccounts of het uitvoeren van schadelijke scripts. Anomalieregels zoeken precies naar deze typen activiteiten, zoals:
- Afwijkende accounttoegang verwijderen
- Afwijkend account maken
- Afwijkend account verwijderen
- Afwijkende accountmanipulatie
- Afwijkende uitvoering van code (UEBA)
- Afwijkende gegevensvernietiging
- Afwijkende defensieve mechanismewijziging
- Afwijkende mislukte aanmelding
- Afwijkend wachtwoord opnieuw instellen
- Afwijkende bevoegdheden verleend
- Afwijkende aanmelding
Controleer de anomalieregels en de drempelwaarde voor afwijkingsscore voor elke waarde. Als u bijvoorbeeld fout-positieven ziet, kunt u overwegen om de regel te dupliceren en de drempelwaarde te wijzigen door de stappen te volgen die worden beschreven in anomalieregels afstemmen.
De microsoft Threat Intelligence-analyseregel gebruiken
Nadat u fusie- en anomalieregels hebt bekeken en gewijzigd, schakelt u de out-of-the-box Microsoft Threat Intelligence-analyseregel in. Controleer of deze regel overeenkomt met uw logboekgegevens met door Microsoft gegenereerde bedreigingsinformatie. Microsoft heeft een enorme opslagplaats met gegevens over bedreigingsinformatie en deze analyseregel maakt gebruik van een subset ervan om waarschuwingen en incidenten met hoge kwaliteit te genereren voor SOC-teams (security operations centers) om te triage.
Een MITRE Att&ck-crosswalk uitvoeren
Als analyseregels voor fusie, anomalie en bedreigingsinformatie zijn ingeschakeld, voert u een MITRE Att&ck-crosswalk uit om te bepalen welke resterende analyseregels u kunnen inschakelen en voltooien met het implementeren van een volwassen XDR-proces (uitgebreide detectie en reactie). Hierdoor kunt u gedurende de levenscyclus van een aanval detecteren en erop reageren.
De MITRE Att&ck-onderzoeksafdeling heeft de MITRE-methode gemaakt en deze wordt geleverd als onderdeel van Microsoft Sentinel om uw implementatie te vereenvoudigen. Zorg ervoor dat u analytische regels hebt die de lengte en breedte van de aanvalsvectoren uitrekken.
Bekijk de MITRE-technieken die worden gedekt door uw bestaande actieve analyseregels.
Selecteer 'Analyseregelsjablonen' en 'Anomalieregels' in de vervolgkeuzelijst Gesimuleerd . Hier ziet u waar u de tactiek en/of techniek van kwaadwillende mensen hebt behandeld en waar er analytische regels beschikbaar zijn die u moet overwegen om uw dekking te verbeteren.
Als u bijvoorbeeld mogelijke phishingaanvallen wilt detecteren, controleert u de analyseregelsjablonen voor de phishingtechniek en geeft u prioriteit aan het inschakelen van de regels die specifiek een query uitvoeren op de gegevensbronnen die u hebt toegevoegd aan Microsoft Sentinel.
Over het algemeen zijn er vijf fasen voor een door mensen beheerde Ransomware-aanval en phishing valt onder Eerste toegang, zoals wordt weergegeven in de volgende afbeeldingen:
Doorloop de resterende stappen om de hele kill chain te behandelen met de juiste analyseregels:
- Initial Access
- Referentiediefstal
- Zijwaartse beweging
- Persistentie
- Verdedigingsontduiking
- Exfiltratie (dit is waar ransomware zelf wordt gedetecteerd)
Aanbevolen training
Trainingsinhoud heeft momenteel geen betrekking op het geïntegreerde platform voor beveiligingsbewerkingen.
Gegevens verbinden met Microsoft Sentinel met behulp van gegevensconnectors
| Training | Gegevens verbinden met Microsoft Sentinel met behulp van gegevensconnectors |
|---|---|
|
De primaire methode voor het verbinden van logboekgegevens is het gebruik van de door Microsoft Sentinel geleverde gegevensconnectors. Deze module biedt een overzicht van de beschikbare gegevensconnectors. |
Logboeken verbinden met Microsoft Sentinel
| Training | Logboeken verbinden met Microsoft Sentinel |
|---|---|
|
Verbind gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds met Microsoft Sentinel. |
Bedreigingen identificeren met Gedragsanalyse
| Training | Bedreigingen identificeren met Gedragsanalyse |
|---|---|
|
De primaire methode voor het verbinden van logboekgegevens is het gebruik van de door Microsoft Sentinel geleverde gegevensconnectors. Deze module biedt een overzicht van de beschikbare gegevensconnectors. |
Volgende stappen
Ga verder met stap 4 om te reageren op een incident.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor