Incidenten begrijpen

Voltooid

Technologiegerelateerde bedreigingen voor een organisatie worden incidenten genoemd. Incidentbeheer is het volledige proces van incidentonderzoek, van het maken van incidenten tot grondig onderzoek en oplossing. Microsoft Sentinel kan uw IT-team helpen bij het organiseren, onderzoeken en bijhouden van incidenten van het maken via een oplossing.

U kunt Microsoft Sentinel gebruiken om gedetailleerde incidentgegevens te bekijken, een incidenteigenaar toe te wijzen, de ernst van incidenten in te stellen en te behouden en de incidentstatus te beheren. Microsoft Sentinel biedt een volledige omgeving voor incidentbeheer voor het afhandelen van deze stappen.

Belangrijke concepten

Het is belangrijk om inzicht te hebben in de volgende belangrijke concepten van Microsoft Sentinel-incidentenbeheer:

• Gegevensconnectors. U kunt Microsoft Sentinel-gegevensconnectors gebruiken om gegevens op te nemen en te verzamelen van beveiligingsservices. Gegevensconnectors kunnen gebeurtenissen verzamelen van Linux- of Windows-computers waarop de Log Analytics-agent wordt uitgevoerd, van een Linux-syslog-server voor apparaten zoals firewalls of proxy's, of rechtstreeks vanuit Microsoft Azure-services. Deze gebeurtenissen worden doorgestuurd naar een Log Analytics-werkruimte die is gekoppeld aan Microsoft Sentinel.
• Gebeurtenissen. Microsoft Sentinel slaat gebeurtenissen op in een Log Analytics-werkruimte. Deze gebeurtenissen bevatten de details van beveiligingsgerelateerde activiteiten die u wilt controleren door Microsoft Sentinel.
• Analyseregels. Analyseregels detecteren belangrijke beveiligingsevenementen en genereren waarschuwingen. U kunt analyseregels maken met behulp van ingebouwde sjablonen of met behulp van aangepaste Kusto-querytaal -query's (KQL) voor Log Analytics-werkruimten in Microsoft Sentinel.
• Waarschuwingen. Met analytische regels worden waarschuwingen gegenereerd wanneer hiermee belangrijke beveiligingsgebeurtenissen worden gedetecteerd. U kunt waarschuwingen configureren om incidenten te genereren.
• Incidenten. Microsoft Sentinel maakt incidenten op basis van waarschuwingen voor analyseregels. Incidenten kunnen meerdere gerelateerde waarschuwingen bevatten. U gebruikt elk incident als uitgangspunt en traceermechanisme voor het onderzoeken van beveiligingsproblemen in uw omgeving.

Overzichtspagina van Microsoft Sentinel

Incidentbeheer in Microsoft Sentinel begint op de overzichtspagina , waar u de huidige Microsoft Sentinel-omgeving kunt bekijken. Op de overzichtspagina ziet u een lijst met de meest recente incidenten, samen met andere belangrijke Informatie over Microsoft Sentinel. U kunt deze pagina gebruiken om inzicht te hebben in de algemene beveiligingssituatie voordat u incidenten onderzoekt.

Test uw kennis

1.

Welk Microsoft Sentinel-onderdeel genereert waarschuwingen?

Incidenten.

Analyseregels.

Gegevensconnectors.

Gebeurtenissen.

2.

Wat is het belangrijkste doel van incidentbeheer in Microsoft Sentinel?

Om inzicht te hebben in de status van de beveiligingsstatus in Azure.

Alle Problemen met Azure bijhouden en beheren.

Beveiligingsproblemen in de omgeving van uw organisatie bijhouden en oplossen.

Beveiligingsrollen in uw omgeving beheren.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.

Doorgaan