Incidentbewijs en entiteiten
Microsoft Sentinel maakt gebruik van verschillende bronnen van beveiligingsgegevens om incidenten te maken. U moet deze bronnen begrijpen om het beste gebruik te kunnen maken van incidentbeheer in Microsoft Sentinel.
Incidentenbewijs
Incidentgegevens bestaan uit de beveiligingsinformatie en gerelateerde Microsoft Sentinel-assets waarmee bedreigingen in de Microsoft Sentinel-omgeving worden geïdentificeerd. Bewijs laat zien hoe Microsoft Sentinel een bedreiging heeft geïdentificeerd en koppelt een koppeling naar specifieke resources die uw kennis van incidentdetails kunnen vergroten.
Gebeurtenissen
Gebeurtenissen koppelen u terug aan een of meer specifieke gebeurtenissen uit de Log Analytics-werkruimte die is gekoppeld aan Microsoft Sentinel. Deze werkruimten bevatten op zich normaal gesproken duizenden gebeurtenissen die te talrijk zijn om handmatig te parseren.
Als een query die is gekoppeld aan een Microsoft Sentinel-analyseregel gebeurtenissen retourneert, worden de gebeurtenissen gekoppeld aan het gegenereerde incident voor mogelijke verdere beoordeling. U kunt deze gebeurtenissen gebruiken om inzicht te hebben in het bereik en de frequentie van het incident voordat u verder onderzoek doet.
Waarschuwingen
De meeste incidenten worden gegenereerd als gevolg van een waarschuwing op basis van een analytische regel. Voorbeelden van waarschuwingen zijn onder meer:
- Detectie van verdachte bestanden.
- Detectie van verdachte gebruikersactiviteiten.
- Pogingen om hogere bevoegdheden te verkrijgen.
Analyseregels genereren waarschuwingen op basis van Kusto-querytaal (KQL)-query's of directe verbinding met Microsoft Security-oplossingen, zoals Microsoft Defender voor Cloud of Microsoft Defender XDR. Als u waarschuwingsgroepering inschakelt, bevat Microsoft Sentinel gerelateerde waarschuwingsinformatie voor het incident.
Bladwijzers
Tijdens het onderzoeken van een incident kunt u gebeurtenissen vaststellen die u wilt bijhouden of markeren voor later onderzoek. U kunt de query's die in Log Analytics zijn uitgevoerd, bewaren door een of meer gebeurtenissen te kiezen en deze als bladwijzers aan te duiden. U kunt ook notities en tags opnemen om toekomstige processen voor het opsporen van bedreigingen beter te informeren. De bladwijzers zijn beschikbaar voor u en uw teamleden.
Entiteiten van incidenten
Een incidententiteit verwijst naar een netwerk- of gebruikersresource die betrokken is bij een gebeurtenis. U kunt entiteiten als ingangspunten gebruiken om alle waarschuwingen en correlaties te verkennen die aan die entiteit zijn gekoppeld.
Entiteitsrelaties zijn handig wanneer u incidenten onderzoekt. In plaats van de waarschuwingen op het gebied van identiteit, netwerk en gegevenstoegang afzonderlijk te analyseren, kunt u entiteiten gebruiken om waarschuwingen te bekijken die zijn gekoppeld aan een bepaalde gebruiker, host of een bepaald adres in uw omgeving.
Enkele entiteitstypen zijn:
- Account
- Host
- IP
- URL
- FileHash
Entiteiten kunnen u bijvoorbeeld helpen bij het identificeren van alle waarschuwingen die zijn gekoppeld aan een specifieke gebruiker bij Contoso, de hostcomputer van de gebruiker en andere hosts waarmee de gebruiker verbinding heeft gemaakt. U kunt bepalen welke IP-adressen aan die gebruiker zijn gekoppeld en welke gebeurtenissen en waarschuwingen deel kunnen uitmaken van dezelfde aanval.