Inleiding

  • 3 minuten

Microsoft Sentinel Analytics biedt een intelligente oplossing die u kunt gebruiken om potentiƫle bedreigingen en beveiligingsproblemen in uw organisaties te detecteren.

Stel dat u werkt als SOC-analist (Security Operations Center) in Contoso, Ltd. Contoso is een middelgrote financiƫle dienstverlener in Londen met een filiaal in New York. Contoso maakt gebruik van verschillende Microsoft-producten en -services om gegevensbeveiliging en bescherming tegen bedreigingen en de resources van het bedrijf te implementeren. Deze producten zijn:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID-beveiliging
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Defender voor Eindpunten
  • Microsoft Defender for Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso biedt bedreigingsbeveiliging voor de azure- en on-premises resources met behulp van de betaalde versie van Microsoft Defender voor Cloud. Daarnaast bewaakt en beschermt het bedrijf andere niet-Microsoft-assets. Beveiligingsanalisten bij Contoso gaan een enorme sorteerlast tegemoet. Ze hebben te maken met een grote hoeveelheid waarschuwingen van meerdere producten. Ze correleren waarschuwingen op de volgende manieren:

  • Handmatig vanaf verschillende projectdashboards
  • Door gebruik te maken van een traditionele correlatie-engine

Bovendien gaat de tijd die nodig is om de IT-infrastructuur in te stellen en te onderhouden, ten koste van de beveiligingstaken van het SOC-team.

De IT-directeur is van mening dat Microsoft Sentinel Analytics de beveiligingsanalisten helpt complexe onderzoeken sneller uit te voeren en hun Soc (Security Operations Center) te verbeteren. Als hoofdsysteemengineer en Azure-beheerder van Contoso bent u gevraagd om analyseregels in Microsoft Sentinel in te stellen, zodat het SecOps-team aanvallen op de resources van Contoso kan identificeren en analyseren.

In deze module begrijpt u het belang van het gebruik van Microsoft Sentinel Analytics, het maken en implementeren van analyseregels op basis van bestaande sjablonen, het maken en implementeren van nieuwe regels en query's met behulp van de wizard en het beheren van regels met wijzigingen.

Aan het einde van deze module kunt u analyseregels instellen in Microsoft Sentinel om het SecOps-team te helpen bij het identificeren en stoppen van cyberaanvallen.

Leerdoelen

  • Leg het belang van Microsoft Sentinel Analytics uit.
  • Uitleggen hoe de verschillende analyseregels werken.
  • Regels maken op basis van sjablonen.
  • Nieuwe analyseregels en query's maken met behulp van de wizard Analyseregel.
  • Regels met wijzigingen beheren.

Vereisten

  • Basiskennis van Azure services
  • Basiskennis van operationele concepten, zoals controle, logboekregistratie en waarschuwingen
  • Azure-abonnement
  • Microsoft Sentinel-exemplaar in uw Azure-abonnement

Notitie

Als u ervoor kiest om de oefening in deze module uit te voeren, moet u er rekening mee houden dat er mogelijk kosten in rekening worden gebracht op uw Azure-abonnement. Als u een schatting wilt maken van de kosten, raadpleegt u de prijzen van Microsoft Sentinel