Azure Sentinel implementeren
Naast het beoordelen en oplossen van problemen met de beveiligingsconfiguratie van hun hybride omgeving, moet Contoso ook controleren op nieuwe problemen en bedreigingen en op de juiste manier reageren. Azure Sentinel is zowel een SIEM- als SOAR-oplossing die is ontworpen voor hybride omgevingen.
Notitie
SIEM-oplossingen bieden opslag en analyse van logboeken, gebeurtenissen en waarschuwingen die andere systemen genereren en u kunt deze oplossingen configureren om hun eigen waarschuwingen te genereren. SOAR-oplossingen ondersteunen het herstel van beveiligingsproblemen en de algehele automatisering van beveiligingsprocessen.
Wat is Sentinel?
Sentinel voldoet aan de behoeften van siem- en SOAR-oplossingen via:
- Gegevens verzamelen voor gebruikers, apparaten, apps en infrastructuur in de cloud en on-premises.
- Ai gebruiken om verdachte activiteiten te identificeren.
- Bedreigingen met minder fout-positieven detecteren.
- Snel en automatisch reageren op incidenten.
Vereisten voor Sentinel
Als u Sentinel wilt inschakelen, hebt u het volgende nodig:
Een Log Analytics-werkruimte.
Tip
Sentinel kan niet dezelfde Log Analytics-werkruimte gebruiken als Security Center.
Inzendermachtigingen of hoger in het abonnement en de werkgroep voor uw Sentinel-werkruimte.
De juiste machtigingen voor alle resources die u met Sentinel verbindt.
Gegevensverbindingen
Sentinel kan systeemeigen verbinding maken met Security Center, wat dekking biedt voor uw cloud- en on-premises servers. Daarnaast omvat ondersteuning voor Sentinel-gegevensverbindingen:
- Systeemeigen service-naar-service-verbindingen. Sentinel integreert systeemeigen met deze Azure- en niet-Azure-services:
- Activiteitenlogboeken van Azure
- Microsoft Entra-auditlogboeken
- Microsoft Entra ID-beveiliging
- Azure Advanced Threat Protection (Azure ATP)
- AWS CloudTrail
- Microsoft Cloud App Security
- DNS-servers
- Microsoft 365
- Defender ATP
- Microsoft Web Application Firewall
- Windows Defender Firewall
- Windows-beveiligingsgebeurtenissen
- Externe oplossingsverbindingen via API's. Sentinel kan verbinding maken met gegevensbronnen via API's voor de volgende oplossingen:
- Barracuda
- Barracuda CloudGen-firewall
- Citrix Analytics for Security
- F5 BIG-IP
- Forcepoint DLP
- squadra technologies secRMM
- Symantec ICDx
- Zimperium
- Externe oplossingsverbindingen via een agent. Sentinel kan via een agent verbinding maken met gegevensbronnen die ondersteuning bieden voor het Syslog-protocol. De Sentinel-agent kan rechtstreeks op apparaten of op een Linux-server worden geïnstalleerd die gebeurtenissen van andere apparaten kan ontvangen. Ondersteuning voor het maken van verbinding via een agent omvat de volgende apparaten en oplossingen:
- Firewalls, internetproxy's en eindpunten
- DLP-oplossingen (preventie van gegevensverlies)
- DNS-machines
- Linux-servers
- Andere cloudproviders
Bevoegdheden
Toegang in Sentinel wordt beheerd via RBAC-rollen (op rollen gebaseerd toegangsbeheer). Deze rollen bieden u de mogelijkheid om te beheren wat gebruikers kunnen observeren en doen in Sentinel:
- Globale rollen. De ingebouwde globale Rollen van Azure, Eigenaar, Inzender en Lezer, verlenen toegang tot alle Azure-resources, waaronder Sentinel en Log Analytics.
- Sentinel-specifieke rollen. De ingebouwde rollen die specifiek zijn voor Sentinel zijn:
- Azure Sentinel Reader. Deze rol kan gegevens, incidenten, dashboards en informatie over Sentinel-resources ophalen.
- Azure Sentinel Responder. Deze rol heeft alle mogelijkheden van de rol Lezer van Azure Sentinel en kan ook incidenten beheren.
- Azure Sentinel-inzender. Naast de mogelijkheden van de azure Sentinel Responder-rol kan deze rol dashboards, analyseregels en andere Sentinel-resources maken en bewerken.
- Andere rollen. Log Analytics-inzender en Log Analytics Reader zijn ingebouwde rollen die specifiek zijn voor Log Analytics. Deze rollen verlenen alleen machtigingen aan de Log Analytics-werkruimte . Als u niet beschikt over de globale rol Inzender of Eigenaar, hebt u de rol Inzender voor logische apps nodig om playbooks te maken en uit te voeren als reactie op waarschuwingen.
Azure Sentinel implementeren
Sentinel implementeren:
Zoek en selecteer Azure Sentinel in Azure Portal.
Selecteer op de blade Azure Sentinel-werkruimten Verbinding maken werkruimte en kies vervolgens de juiste werkruimte.
Selecteer Azure Sentinel toevoegen. De werkruimte wordt gewijzigd om Sentinel op te nemen.
Selecteer op de blade Azure Sentinel in Nieuws en handleidingen het tabblad Aan de slag.
Selecteer Verbinding maken om te beginnen met het verzamelen van gegevens.
Selecteer de juiste connector. Selecteer bijvoorbeeld Azure Security Center.
Selecteer de pagina Verbindingslijn openen.
Controleer de vereiste informatie en selecteer Verbinding maken wanneer u klaar bent.
Wat is SIEM?
SIEM-oplossingen slaan logboekgegevens op en analyseren die afkomstig zijn van externe bronnen. U verbindt gegevensbronnen uit Azure en externe bronnen in uw organisatie, inclusief on-premises resources. Azure Sentinel biedt vervolgens een standaarddashboard waarmee u deze gebeurtenissen kunt analyseren en visualiseren. In het dashboard worden gegevens weergegeven over het aantal gebeurtenissen dat u hebt ontvangen, het aantal waarschuwingen dat is gegenereerd op basis van die gegevens en de status van incidenten die zijn gemaakt op basis van deze waarschuwingen.
Sentinel maakt gebruik van ingebouwde en aangepaste detecties om u te waarschuwen voor mogelijke beveiligingsrisico's, bijvoorbeeld pogingen om toegang te krijgen tot de organisatie van Contoso van buiten hun infrastructuur of wanneer gegevens van Contoso naar een bekend schadelijk IP-adres worden verzonden. Hiermee kunt u ook incidenten maken op basis van deze waarschuwingen.
Sentinel biedt u ingebouwde en aangepaste werkmappen waarmee u binnenkomende gegevens kunt analyseren. Werkmappen zijn interactieve rapporten met logboekquery's, tekst, metrische gegevens en andere gegevens. Met regels voor het maken van microsoft-incidenten kunt u incidenten maken op basis van waarschuwingen die andere services, zoals Azure Security Center, genereren.
SIEM-functionaliteit implementeren in Sentinel:
- Azure Sentinel inschakelen.
- Maak een gegevensverbinding.
- Maak een aangepaste regel waarmee een waarschuwing wordt gegenereerd.
Wat is SOAR?
Met SOAR-oplossingen kunt u analyses beheren of organiseren van gegevens die u hebt verzameld over beveiligingsrisico's, uw reactie op deze bedreigingen coördineren en geautomatiseerde antwoorden maken. De SOAR-mogelijkheden van Azure Sentinel zijn nauw gekoppeld aan de SIEM-functionaliteit.
Gebruik de volgende aanbevolen procedures voor het implementeren van SOAR in Sentinel:
- Wanneer u analyseregels maakt waarmee waarschuwingen worden gegenereerd, configureert u deze ook om incidenten te maken.
- Gebruik de incidenten om het onderzoek- en reactieproces te beheren.
- Groepeer gerelateerde waarschuwingen in een incident.
Incidenten onderzoeken
In Sentinel kunt u controleren hoeveel incidenten open zijn, hoeveel er worden gewerkt en hoeveel er worden gesloten. U kunt zelfs gesloten incidenten opnieuw openen. U kunt de details van een incident ophalen, bijvoorbeeld wanneer het is opgetreden en de status ervan. U kunt ook notities toevoegen aan een incident en de status ervan wijzigen, zodat de voortgang gemakkelijker te begrijpen is. Incidenten kunnen worden toegewezen aan specifieke gebruikers.
Reageren op waarschuwingen met beveiligingsplaybooks
Met Sentinel kunt u beveiligingsplaybooks gebruiken om te reageren op waarschuwingen. Beveiligingsplaybooks zijn verzamelingen procedures op basis van Azure Logic Apps die worden uitgevoerd als reactie op een waarschuwing. U kunt deze beveiligingsplaybooks handmatig uitvoeren als reactie op uw onderzoek naar een incident of u kunt een waarschuwing configureren om automatisch een playbook uit te voeren.
Meer artikelen
Meer informatie vindt u in de volgende documenten: