Implementatieopties overwegen

  • 6 minuten

Als u de proof-of-concept-omgeving wilt implementeren, moet u eerst de mogelijkheden en implementatieoverwegingen van Microsoft Sentinel begrijpen.

Microsoft Sentinel gebruiken om gegevens op te halen en incidenten te bewaken

Microsoft Sentinel detecteert gegevensincidenten uit verbonden bronnen en waarschuwt u wanneer er actie nodig is. U kunt Microsoft Sentinel-overzichten, dashboards en aangepaste query's gebruiken om inzicht te krijgen in onbewerkte gegevens en mogelijk schadelijke gebeurtenissen.

Implementeer connectors van Microsoft Sentinel naar services om gegevens op te halen uit verschillende gegevensbronnen die het beheer van de organisatie wil bewaken. Nadat Microsoft Sentinel de logboekgegevens van de services heeft opgehaald, wordt correlatie tussen gegevensbronnen uitgevoerd. U kunt deze gegevens beheren met behulp van de Azure Monitor Log Analytics-werkruimte.

Microsoft Sentinel maakt gebruik van machine learning en AI om het volgende uit te voeren:

  • Detectie van bedreigingen
  • Detectie van waarschuwingen
  • Snelle reacties op een incident

Microsoft Sentinel onboarden

Als u Microsoft Sentinel wilt onboarden, moet u deze inschakelen en vervolgens uw gegevensbronnen verbinden.

Microsoft Sentinel wordt geleverd met oplossingen en zelfstandige inhoud met out-of-the-box-gegevensconnectors voor Microsoft en producten. Er zijn connectors voor:

  • Microsoft Defender for Cloud
  • Microsoft 365-bronnen, waaronder Office 365
  • Microsoft Entra ID
  • Microsoft Defender for Cloud Apps
  • Partneroplossingen
  • Amazon Web Services

Daarnaast zijn er out-of-the-box-connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook Common Event Format (CEF), Syslog of een REST API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel. In de volgende afbeelding ziet u deze connectiviteitsmogelijkheden.

Diagram showing multiple data connections to Microsoft Sentinel.

Belangrijke factoren voor de implementatie van Microsoft Sentinel

De hoofdsysteemtechnicus van de organisatie heeft onderzoek verricht en heeft de volgende belangrijke punten vastgesteld:

  • Microsoft Sentinel heeft toegang nodig tot een Log Analytics-werkruimte. Het proces is het maken van een Log Analytics-werkruimte en het inschakelen van Microsoft Sentinel boven op die werkruimte.
  • Microsoft Sentinel is een betaalde service.
  • Gegevensretentie voor een aangepaste werkruimte is gebaseerd op de prijscategorie van de werkruimte. Als de Log Analytics-werkruimte wordt gebruikt met Microsoft Sentinel, zijn de eerste 90 dagen retentie gratis.
  • Om Microsoft Sentinel in te schakelen, hebt u inzendersmachtigingen nodig voor het abonnement waarin de Microsoft Sentinel-werkruimte zich bevindt.
  • Als u out-of-the-box-oplossing en zelfstandige inhoud wilt installeren en beheren, zoals gegevensconnectors, analyseregels en meer, hebt u de machtigingen sjabloonspecificatiebijdrager nodig voor de resourcegroep waartoe de werkruimte behoort.
  • Als u Microsoft Sentinel wilt gebruiken, hebt u inzender- of lezermachtigingen nodig voor de resourcegroep waartoe de werkruimte behoort.

Microsoft Sentinel wordt uitgevoerd op werkruimten in de meeste regio's waar Log Analytics algemeen beschikbaar is. Het kan enige tijd duren voordat de Microsoft Sentinel-service is geïmplementeerd in regio's waarin Log Analytics nieuw beschikbaar is. Bepaalde gegevens die door Microsoft Sentinel worden gegenereerd, kunnen klantgegevens bevatten die afkomstig zijn uit deze werkruimten. Denk hierbij bijvoorbeeld aan incidenten, bladwijzers en waarschuwingsregels. Deze gegevens worden in Europa opgeslagen voor Europese werkruimten, in Australië voor Australische werkruimten of in US - oost voor werkruimten in andere regio’s.

Microsoft Sentinel implementeren

Volg deze stappen om Microsoft Sentinel in te schakelen:

  1. Meld u aan bij de Azure-portal.

  2. Selecteer het abonnement waarin Microsoft Sentinel moet worden gemaakt. Dit account moet beschikken over het volgende:

    1. Inzendermachtigingen voor het abonnement waarin de Microsoft Sentinel-werkruimte wordt gemaakt.

    2. Inzender- of lezermachtigingen voor de resourcegroep waartoe de Microsoft Sentinel-werkruimte behoort.

  3. Zoek en selecteer Microsoft Sentinel en selecteer vervolgens Toevoegen. Het bericht Geen Microsoft Sentinel-werkruimte om het deelvenster weer te geven wordt weergegeven.

  4. Selecteer Microsoft Sentinel maken. De pagina Microsoft Sentinel toevoegen aan een werkruimte wordt weergegeven.

  5. Selecteer Een nieuwe werkruimte maken. Het deelvenster Log Analytics-werkruimte maken wordt weergegeven.

  6. Gebruik op het tabblad Basisbeginselen de vervolgkeuzelijsten om de volgende waarden te selecteren:

    Instelling Weergegeven als
    Projectgegevens
    Abonnement Het abonnement met Sentinel als betaalde service
    Resourcegroep De resourcegroep met inzender- of lezermachtigingen
    Exemplaardetails
    Naam Een unieke naam die u wilt gebruiken voor de Log Analytics-werkruimte
    Regio Selecteer in de vervolgkeuzelijst de geografische locatie die van toepassing is op het Sentinel-serviceabonnement

  7. Selecteer Volgende: Prijscategorie

  8. Selecteer de prijscategorie.

  9. Selecteer Beoordelen en maken, wacht tot Azure de instellingen voor uw Log Analytics-werkruimte valideert en selecteer vervolgens Maken.

  10. Het kan enige tijd duren voordat uw werkruimte is gemaakt. Wanneer de werkruimte is geïmplementeerd in uw resourcegroep, ontvangt u een melding en wordt de naam van uw werkruimte weergegeven in de lijst Met werkruimten. Selecteer het meldingspictogram in de rechterbovenhoek van de Azure-werkbalk en selecteer vervolgens Vastmaken aan dashboard.

  11. Selecteer in het deelvenster Vastmaken aan dashboard de optie Nieuwe maken, geef een naam op voor uw dashboard en selecteer vervolgens Toevoegen onderaan het deelvenster. Het Microsoft Sentinel-dashboard voor uw werkruimte wordt weergegeven.

  12. Selecteer Overzicht in het linkermenu.

Gegevensfeeds bewaken

De hoofdsysteemtechnicus van de organisatie heeft ontdekt dat u, nadat u beveiligingsbronnen hebt verbonden, gegevensfeeds kunt bewaken.

Laten we eens kijken naar de basisstructuur van deze Sentinel-werkruimte. Sentinel is een cloudeigen SIEM-engine (Security Information And Event Management) met vooraf gedefinieerde grafieken, grafieken en automatiseringsprogramma's. De indeling biedt een bovenste rij met een overzicht van bewaakte gebeurtenissen, waarschuwingen en incidenten en een vervolgkeuzelijst om het rapportagebereik dynamisch te wijzigen. Hieronder ziet u drie panelen met vooraf gedefinieerde grafische grafieken voor gebeurtenissen en incidenten. Het linkermenu, zoals beschreven in de onderstaande tabel, bevat een uitgebreid assortiment ingebouwde hulpprogramma's voor het aanpassen en configureren van gegevensverbindingen.

Menu-item Beschrijving
Algemeen
Overzicht De samengestelde grafische weergave van gebeurtenissen en incidenten die u hebt geconfigureerd.
Logboeken Vooraf gedefinieerde query's die u kunt uitvoeren voor alle aspecten van uw Azure-werkruimte, van toepassingen tot virtuele machines tot virtuele netwerken.
Nieuws en richtlijnen Wat is er nieuw, handleiding aan de slag en informatie over gratis proefversies.
Zoeken Zoek naar gebeurtenissen in al uw logboeken. Filter gebeurtenissen die overeenkomen met uw criteria.
Beveiligingsbeheer
Incidenten Praktische toegang om alle of een geselecteerde groep waarschuwingen en incidenten weer te geven die u hebt geconfigureerd.
Werkmappen Bewaak gegevens met behulp van Microsoft Sentinel-werkmappen.
Zoeken Gebruik de krachtige opsporingsfuncties voor zoeken en query's die zijn gebaseerd op het MITRE ATT&CK-framework. Gebruik deze hulpprogramma's om beveiligingsrisico's proactief te zoeken in de gegevensbronnen van uw organisatie.
Notebooks Selecteer uit tientallen door de community geleverde zelfstudies en sjablonen in alle categorieën SIEM en maak uw eigen bibliotheek.
Gedrag van entiteit Gebeurtenissen weergeven op basis van account, host of IP-adres
Informatie over bedreigingen Gebruik de hulpprogramma's voor grondig onderzoek om inzicht te krijgen in het bereik en om de hoofdoorzaak van potentiële beveiligingsrisico's te vinden.
MITRE ATT&CK Visualiseer de aard en dekking van de beveiligingsstatus van uw organisatie op basis van de openbaar toegankelijke knowledge base van tactieken en technieken die vaak door aanvallers worden gebruikt.
Inhoudsbeheer
Inhoudshub Out-of-the-box-oplossingen en zelfstandige inhoud installeren en beheren.
Opslagplaatsen Aangepaste inhoud voor Microsoft Sentinel implementeren en beheren als code.
Community Ontvang communitynieuws en koppelingen naar de Microsoft Sentinel-blog en -forums.
Configuratie
Gegevensconnectors Stel verbindingen met uw beveiligingsbronnen in met behulp van een groot aantal apparaten en platforms. Selecteer bijvoorbeeld Azure-activiteit om in realtime het Azure-activiteitenlogboek weer te geven.
Analyses Microsoft Sentinel maakt gebruik van analyses om waarschuwingen te correleren met incidenten. Met Analytics kunt u de ruis verminderen en het aantal waarschuwingen beperken dat u wilt controleren en onderzoeken.
Watchlist Maak aangepaste volglijsten om waarschuwingen te filteren of onderdrukken om gerichte incidentrapportage in Sentinel te bieden.
Automatisering Automatiseer veelvoorkomende taken en vereenvoudig de beveiligingsindeling met playbooks die te gebruiken zijn met Azure-services. Deze kunnen samenwerken met bestaande hulpprogramma's.
Instellingen Zoek prijsgegevens, functie-instellingen en werkruimte-instellingen.

In de volgende schermopname ziet u het deelvenster Microsoft Sentinel - Overzicht . Microsoft Sentinel kan realtime grafieken en grafieken weergeven om u inzicht te geven in gebeurtenissen, waarschuwingen en incidenten voor beveiligingsbewerkingen.

Screenshot of Microsoft Sentinel showing events and alerts over time, recent incidents, potential malicious events, and the total number of events, alerts, and incidents.