Wat is Microsoft Sentinel Analytics?

  • 5 minuten

Met Microsoft Sentinel Analytics kunt u bedreigingen voor cyberbeveiliging detecteren, onderzoeken en oplossen. Het Contoso SOC-team kan Microsoft Sentinel Analytics gebruiken om analyseregels en query's in te stellen om problemen in uw omgeving te detecteren.

Wat is Microsoft Sentinel Analytics?

Microsoft Sentinel Analytics biedt verschillende functionaliteiten die u kunt gebruiken om beveiliging voor de gegevens en resources bij Contoso te implementeren.

U kunt historische gegevens analyseren die zijn verzameld van uw werkstations, servers, netwerkapparaten, firewalls, inbraakpreventie, sensoren enzovoort. Microsoft Sentinel Analytics analyseert gegevens uit verschillende bronnen om correlaties en afwijkingen te identificeren.

Door analyseregels te gebruiken, kunt u waarschuwingen activeren op basis van de aanvalstechnieken die worden gebruikt door bekende kwaadwillende actoren. U kunt deze regels instellen om ervoor te zorgen dat uw SOC tijdig wordt gewaarschuwd bij potentiële beveiligingsincidenten in uw omgeving.

Waarom zou ik analyseregels moeten gebruiken voor beveiligingsbewerkingen?

Hoewel sommige van de andere producten die Contoso heeft geïmplementeerd u kunnen helpen bij het identificeren van bedreigingen, speelt Microsoft Sentinel Analytics een belangrijke rol bij de algehele detectie van de beveiligingsrisico's door de signalen te correleren en te vergelijken die van invloed zijn op de aanwezigheid van een bedreiging voor cyberbeveiliging. Door de juiste analyseregel te gebruiken, krijgt u inzicht in waar een aanval vandaan komt, welke bronnen er zijn aangetast, welke gegevens er verloren zijn gegaan, en ziet u tevens een tijdlijn van het incident.

Veelvoorkomende gebruiksvoorbeelden voor beveiligingsanalyses zijn:

  • Identificatie van aangetast accounts

  • Analyse van gebruikersgedrag om mogelijk verdachte patronen te detecteren

  • Analyse van netwerkverkeer om trends in mogelijke aanvallen te ontdekken

  • Detectie van gegevensexfiltratie door aanvallers

  • Detectie van bedreigingen van binnenuit

  • Onderzoek van incidenten

  • Detectie van bedreigingen

Niet alle bedreigingen kunnen worden opgespoord met behulp van conventionele beveiligingsprogramma's, zoals firewalls of antimalwareoplossingen. Bepaalde bedreigingen worden soms pas na maanden gedetecteerd. Door gegevens te combineren die zijn verzameld door diverse hulpmiddelen en producten, kunt u de kracht van bedreigingsinformatie inzetten om bedreigingen van binnenuit te detecteren, analyseren en beperken.

U kunt analyseregels ook gebruiken om aangepaste waarschuwingen te maken die gebruikmaken van beveiligingsindicatoren. Met deze indicatoren kunnen in realtime mogelijke aanvallen worden geïdentificeerd als ze op het punt staan om te gebeuren.

Analyse helpt het SOC-team van Contoso om de efficiëntie van hun complexe onderzoek te verbeteren en bedreigingen sneller te detecteren.

De startpagina van Analytics verkennen

U kunt analyseregels maken vanaf de startpagina van Analytics. U kunt de pagina Analytics in Microsoft Sentinel openen vanuit het navigatiedeelvenster.

Screenshot of the Analytics rules and rule details page.

De startpagina van Analytics heeft drie hoofdonderdelen:

  • De koptekstbalk bevat informatie over het aantal regels dat momenteel in gebruik is.

  • De lijst met regels en sjablonen bevat alle regelsjablonen die Microsoft vooraf heeft geladen vanuit de GitHub-opslagplaats van Microsoft Sentinel.

  • Het detailvenster bevat aanvullende informatie over elke sjabloon en regel die voor detectie kan worden gebruikt.

De regelsjablonen filteren

Momenteel heeft Microsoft meer dan 150 sjabloonregels vooraf geladen vanuit de GitHub-opslagplaats van Microsoft Sentinel. Als u naar deze sjablonen wilt zoeken en de juiste regel wilt gebruiken, moet u filters toepassen. Het is bijvoorbeeld mogelijk dat u alleen sjabloonregels wilt bekijken die bedreigingen detecteren met een hoog ernstniveau of dat u alleen regels van specifieke gegevensbronnen wilt bekijken.

Als u filters wilt gebruiken, selecteert u deze in de koptekstbalk.

Screenshot of filtering the Analytics home page.

De startpagina van Analytics biedt de volgende filters:

  • Ernst. Gebruiken om de regels te filteren op ernstniveau.

  • Type regel. Er zijn momenteel vier typen regels: Gepland, Fusion, Microsoft Security, Machine Learning Behavior Analytics.

  • Tactieken. Gebruik dit om de regels te filteren op basis van 14 specifieke methodologieën in het ATT&CK-model.

  • Gegevensbronnen. Gebruiken om de regels te filteren op de gegevensbronconnector die de waarschuwing genereert.

Notitie

MITRE ATT&CK is een wereldwijd toegankelijke knowledge base van adversary tactieken en technieken op basis van waarnemingen in de praktijk. De ATT&CK-knowledge base wordt gebruikt als basis voor de ontwikkeling van specifieke bedreigingsmodellen en -methodologieën in de particuliere sector, in de overheid en in de cyberbeveiligingsproduct- en servicecommunity.