Geavanceerde opsporing verkennen
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u maximaal 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. Dankzij de flexibele toegang tot gegevens kunt u niet-getrainde opsporing uitvoeren op zowel bekende als potentiële bedreigingen.
U kunt dezelfde query's voor het opsporen van bedreigingen gebruiken om aangepaste detectieregels te maken. Deze regels worden automatisch uitgevoerd om te controleren op en vervolgens te reageren op verdachte inbreukactiviteiten, onjuist geconfigureerde machines en andere bevindingen. De geavanceerde opsporingsfunctie ondersteunt query's die een bredere gegevensset controleren vanuit:
Microsoft Defender voor Eindpunten
Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Als u geavanceerde opsporing wilt gebruiken, schakelt u Microsoft Defender XDR in.
Gegevensversheid en updatefrequentie
Geavanceerde opsporingsgegevens kunnen worden gecategoriseerd in twee verschillende typen, die elk verschillend worden geconsolideerd.
Gebeurtenis- of activiteitsgegevens: vult tabellen in over waarschuwingen, beveiligingsevenementen, systeemevenementen en routine-evaluaties. Geavanceerde opsporing ontvangt deze gegevens bijna onmiddellijk nadat de sensoren die ze verzamelen, ze naar de bijbehorende cloudservices verzenden. U kunt bijvoorbeeld bijna onmiddellijk nadat deze beschikbaar zijn op Microsoft Defender voor Eindpunt en Microsoft Defender for Identity query's uitvoeren op gebeurtenisgegevens van gezonde sensoren op werkstations of domeincontrollers.
Entiteitsgegevens: vult tabellen met informatie over gebruikers en apparaten. Deze gegevens zijn afkomstig van zowel relatief statische gegevensbronnen als dynamische bronnen, zoals Active Directory-vermeldingen en gebeurtenislogboeken. Om nieuwe gegevens te bieden, worden tabellen elke 15 minuten bijgewerkt met nieuwe informatie, waarbij rijen worden toegevoegd die mogelijk niet volledig zijn ingevuld. Elke 24 uur worden gegevens samengevoegd om een record in te voegen die de meest recente, meest uitgebreide gegevensset over elke entiteit bevat.
Time zone
Tijdinformatie bij geavanceerde opsporing bevindt zich in de UTC-zone.
Gegevensschema
Het geavanceerde opsporingsschema bestaat uit meerdere tabellen die gebeurtenisinformatie of informatie bieden over apparaten, waarschuwingen, identiteiten en andere entiteitstypen. Als u effectief query's wilt maken die meerdere tabellen omvatten, moet u de tabellen en de kolommen in het geavanceerde opsporingsschema begrijpen.
Schemagegevens ophalen
Gebruik tijdens het maken van query's de ingebouwde schemaverwijzing om snel de volgende informatie over elke tabel in het schema op te halen:
Tabelbeschrijving: het type gegevens in de tabel en de bron van die gegevens.
Kolommen: alle kolommen in de tabel.
Actietypen: mogelijke waarden in de kolom ActionType die de gebeurtenistypen vertegenwoordigen die door de tabel worden ondersteund. Deze informatie wordt alleen verstrekt voor tabellen die gebeurtenisgegevens bevatten.
Voorbeeldquery: voorbeeldquery's waarin wordt aangegeven hoe de tabel kan worden gebruikt.
Toegang tot de schemareferentie
Als u snel toegang wilt krijgen tot de schemareferentie, selecteert u de actie Verwijzing weergeven naast de tabelnaam in de schemaweergave. U kunt ook Schema-verwijzing selecteren om naar een tabel te zoeken.
Meer informatie over de schematabellen
De volgende verwijzing bevat alle tabellen in het schema. Elke tabelnaam wordt gekoppeld aan een pagina met een beschrijving van de kolomnamen voor die tabel. Tabel- en kolomnamen worden ook vermeld in het Security Center als onderdeel van de schemaweergave op het geavanceerde opsporingsscherm.
| Tabelnaam | Beschrijving |
|---|---|
| Waarschuwingsdeelheid | Bestanden, IP-adressen, URL's, gebruikers of apparaten die zijn gekoppeld aan waarschuwingen |
| AlertInfo | Waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Cloud App Security en Microsoft Defender for Identity, waaronder ernstgegevens en bedreigingscategorisatie |
| CloudAppEvents | Gebeurtenissen met accounts en objecten in Office 365 en andere cloud-apps en -services |
| DeviceEvents | Meerdere gebeurtenistypen, waaronder gebeurtenissen die worden geactiveerd door beveiligingscontroles zoals Windows Defender Antivirus en misbruikbeveiliging |
| DeviceFileCertificateInfo | Certificaatgegevens van ondertekende bestanden die zijn verkregen uit certificaatverificatie-gebeurtenissen op eindpunten |
| DeviceFileEvents | Gebeurtenissen voor het maken, wijzigen en andere bestandssysteem |
| DeviceImageLoadEvents | DLL-laadbeurtenissen |
| DeviceInfo | Computergegevens, inclusief besturingssysteemgegevens |
| DeviceLogonEvents | Aanmeldingen en andere verificatiegebeurtenissen op apparaten |
| DeviceNetworkEvents | Netwerkverbinding en gerelateerde gebeurtenissen |
| DeviceNetworkInfo | Netwerkeigenschappen van apparaten, waaronder fysieke adapters, IP- en MAC-adressen, evenals verbonden netwerken en domeinen |
| DeviceProcessEvents | Proces maken en gerelateerde gebeurtenissen |
| DeviceRegistryEvents | Registervermeldingen maken en wijzigen |
| DeviceTvmSecureConfigurationAssessment | Evaluatiegebeurtenissen voor bedreigings- en beveiligingsproblemenbeheer, die de status van verschillende beveiligingsconfiguraties op apparaten aangeven |
| DeviceTvmSecureConfigurationAssessmentKB | Knowledge base van verschillende beveiligingsconfiguraties die worden gebruikt door Threat & Vulnerability Management om apparaten te beoordelen; bevat toewijzingen aan verschillende standaarden en benchmarks |
| DeviceTvmSoftwareInventory | Inventaris van software die op apparaten is geïnstalleerd, met inbegrip van de versie-informatie en de status van de end-of-support |
| DeviceTvmSoftwareVulnerabilities | Gevonden softwareproblemen op apparaten en de lijst met beschikbare beveiligingsupdates die betrekking hebben op elk beveiligingsprobleem |
| DeviceTvmSoftwareVulnerabilitiesKB | Knowledge Base van openbaar bekendgemaakte beveiligingsproblemen, waaronder of misbruikcode openbaar beschikbaar is |
| EmailAttachmentInfo | Informatie over bestanden die zijn toegevoegd aan e-mailberichten |
| EmailEvents | Microsoft 365-e-mailevenementen, waaronder e-mailbezorging en blokkeringsevenementen |
| EmailPostDeliveryEvents | Beveiligingsgebeurtenissen die na de bezorging plaatsvinden, nadat Microsoft 365 de e-mailberichten heeft bezorgd in het postvak van de geadresseerde |
| EmailUrlInfo | Informatie over URL's in e-mailberichten |
| IdentityDirectoryEvents | Gebeurtenissen met betrekking tot een on-premises domeincontroller waarop Active Directory (AD) wordt uitgevoerd. Deze tabel bevat een reeks identiteitsgebeurtenissen en systeemgebeurtenissen op de domeincontroller. |
| IdentityInfo | Accountgegevens uit verschillende bronnen, waaronder Microsoft Entra-id |
| IdentityLogonEvents | Verificatie-gebeurtenissen in Active Directory en Microsoft onlineservices |
| IdentityQueryEvents | Query's voor Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen |
Aangepaste detecties
Met aangepaste detecties kunt u proactief controleren op en reageren op verschillende gebeurtenissen en systeemstatussen, waaronder verdachte inbreukactiviteiten en onjuist geconfigureerde eindpunten. Dit wordt mogelijk gemaakt door aanpasbare detectieregels waarmee waarschuwingen en reactieacties automatisch worden geactiveerd.
Aangepaste detecties werken met geavanceerde opsporing, die een krachtige, flexibele querytaal biedt die een brede set gebeurtenis- en systeemgegevens van uw netwerk omvat. U kunt deze instellen op uitvoering met regelmatige tussenpozen, het genereren van waarschuwingen en het ondernemen van reactieacties wanneer er overeenkomsten zijn.
Aangepaste detecties bieden:
Waarschuwingen voor op regels gebaseerde detecties die zijn gebouwd op basis van geavanceerde opsporingsquery's
Acties voor automatische reacties die van toepassing zijn op bestanden en apparaten
Detectieregels maken
Detectieregels maken:
1. Bereid de query voor.
Ga in Microsoft Defender-beveiligingscentrum naar Geavanceerde opsporing en selecteer een bestaande query of maak een nieuwe query. Wanneer u een nieuwe query gebruikt, voert u de query uit om fouten te identificeren en mogelijke resultaten te begrijpen.
Belangrijk
Om te voorkomen dat de service te veel waarschuwingen retourneert, is elke regel beperkt tot het genereren van slechts 100 waarschuwingen wanneer deze wordt uitgevoerd. Voordat u een regel maakt, past u uw query aan om waarschuwingen voor normale dagelijkse activiteiten te voorkomen.
Als u een query wilt gebruiken voor een aangepaste detectieregel, moet de query de volgende kolommen retourneren:
Tijdstempel
DeviceId
ReportId
Eenvoudige query's, zoals query's die niet gebruikmaken van het project of de samenvattende operator om resultaten aan te passen of samen te vatten, retourneren doorgaans deze algemene kolommen.
Er zijn verschillende manieren om ervoor te zorgen dat complexere query's deze kolommen retourneren. Als u bijvoorbeeld liever wilt aggregeren en tellen op DeviceId, kunt u nog steeds Timestamp en ReportId retourneren door ze op te halen uit de meest recente gebeurtenis waarbij elk apparaat betrokken is.
De onderstaande voorbeeldquery telt het aantal unieke apparaten (DeviceId) met antivirusdetecties en gebruikt dit om alleen die apparaten met meer dan vijf detecties te vinden. Als u de meest recente tijdstempel en de bijbehorende ReportId wilt retourneren, gebruikt deze de operator summarize met de functie arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Maak een nieuwe regel en geef waarschuwingsgegevens op.
Selecteer met de query in de query-editor detectieregel maken en geef de volgende waarschuwingsgegevens op:
Detectienaam: naam van de detectieregel
Frequentie: interval voor het uitvoeren van de query en het uitvoeren van actie. Zie de aanvullende richtlijnen hieronder
Titel van waarschuwing: titel weergegeven met waarschuwingen die worden geactiveerd door de regel
Ernst: potentieel risico van het onderdeel of de activiteit die is geïdentificeerd door de regel.
Categorie: type bedreigingsonderdeel of -activiteit, indien van toepassing.
MITRE ATT&CK-technieken: een of meer aanvalstechnieken die worden geïdentificeerd door de regel, zoals beschreven in het MITRE ATT&CK-framework. Deze sectie is niet beschikbaar voor bepaalde waarschuwingscategorieën, zoals malware, ransomware, verdachte activiteiten en ongewenste software
Beschrijving: meer informatie over het onderdeel of de activiteit die is geïdentificeerd door de regel
Aanbevolen acties: aanvullende acties die reageren op een waarschuwing
3. Regelfrequentie
Wanneer deze is opgeslagen, wordt een nieuwe aangepaste detectieregel onmiddellijk uitgevoerd en wordt gecontroleerd op overeenkomsten van de afgelopen 30 dagen aan gegevens. De regel wordt vervolgens opnieuw uitgevoerd met vaste intervallen en lookbackduur op basis van de frequentie die u kiest:
Elke 24 uur: wordt elke 24 uur uitgevoerd, gegevens van de afgelopen 30 dagen gecontroleerd
Om de 12 uur wordt elke 12 uur uitgevoerd en worden de gegevens van de afgelopen 48 uur gecontroleerd
Elke 3 uur: wordt elke 3 uur uitgevoerd, gegevens van de afgelopen 12 uur gecontroleerd
Elk uur: wordt elk uur uitgevoerd, gegevens van de afgelopen 4 uur gecontroleerd
Doorlopend (NRT): wordt continu uitgevoerd, gegevens van gebeurtenissen gecontroleerd wanneer ze worden verzameld en verwerkt in bijna realtime (NRT)
Selecteer de frequentie die overeenkomt met de mate waarin u detecties wilt bewaken en overweeg de capaciteit van uw organisatie om te reageren op de waarschuwingen.
Notitie
Door een aangepaste detectie in te stellen voor uitvoering in continue frequentie (NRT), kunt u de mogelijkheid van uw organisatie verhogen om bedreigingen sneller te identificeren.
4. Kies de betrokken entiteiten.
Identificeer de kolommen in de queryresultaten waar u verwacht de belangrijkste beïnvloede of beïnvloede entiteit te vinden. Een query kan bijvoorbeeld zowel apparaat- als gebruikers-id's retourneren. Identificeren welke van deze kolommen de belangrijkste beïnvloede entiteit vertegenwoordigt, helpt de service relevante waarschuwingen te aggregeren, incidenten te correleren en acties voor doelreacties.
U kunt slechts één kolom selecteren voor elk entiteitstype. Kolommen die niet door uw query worden geretourneerd, kunnen niet worden geselecteerd.
5. Geef acties op.
Uw aangepaste detectieregel kan automatisch acties uitvoeren op bestanden of apparaten die door de query worden geretourneerd.
Acties op apparaten
Deze acties worden toegepast op apparaten in de kolom DeviceId van de queryresultaten:
Isoleer het apparaat: hiermee wordt volledige netwerkisolatie toegepast, waardoor het apparaat geen verbinding kan maken met een toepassing of service, met uitzondering van de Defender for Endpoint-service.
Onderzoekpakket verzamelen: verzamelt apparaatgegevens in een ZIP-bestand.
Antivirusscan uitvoeren: voert een volledige Microsoft Defender Antivirus-scan uit op het apparaat
Onderzoek initiëren: een geautomatiseerd onderzoek starten op het apparaat
Acties op bestanden
Deze acties worden toegepast op bestanden in de SHA1- of de kolom InitiatingProcessSHA1 van de queryresultaten:
Toestaan/blokkeren: voegt het bestand automatisch toe aan uw aangepaste indicatorlijst, zodat het altijd mag worden uitgevoerd of geblokkeerd. U kunt het bereik van deze actie zo instellen dat deze alleen wordt uitgevoerd op geselecteerde apparaatgroepen. Dit bereik is onafhankelijk van het bereik van de regel.
Quarantainebestand: verwijdert het bestand van de huidige locatie en plaatst een kopie in quarantaine
6. Stel het regelbereik in.
Stel het bereik in om op te geven welke apparaten onder de regel vallen:
Alle apparaten
Specifieke apparaatgroepen
Alleen gegevens van apparaten binnen het bereik worden opgevraagd. Er worden ook alleen acties uitgevoerd op deze apparaten.
7. Controleer en schakel de regel in.
Nadat u de regel hebt bekeken, selecteert u Maken om deze op te slaan. De aangepaste detectieregel wordt onmiddellijk uitgevoerd. Deze wordt opnieuw uitgevoerd op basis van de geconfigureerde frequentie om te controleren op overeenkomsten, waarschuwingen te genereren en reactieacties uit te voeren.