Mogelijkheden voor detectie en beperking van bedreigingen beschrijven in Microsoft Sentinel

  • 7 minuten

Effectief beheer van de netwerkbeveiligingsperimeter van een organisatie vereist de juiste combinatie van hulpprogramma's en systemen. Microsoft Sentinel is een schaalbare, cloudeigen SIEM/SOAR-oplossing die intelligente beveiligingsanalyses en bedreigingsinformatie biedt in de hele onderneming. Het biedt één oplossing voor detectie, onderzoek, reactie en proactieve opsporing van cyberbedreigingen, met een vogelperspectief in uw onderneming.

Diagram met de vier aspecten van Microsoft Sentinel: verzamelen, detecteren, onderzoeken en reageren.

In dit diagram ziet u de end-to-end-functionaliteit van Microsoft Sentinel.

  • Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.
  • Detecteer eerder gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van analyses en ongeëvenaarde bedreigingsinformatie.
  • Onderzoek bedreigingen met kunstmatige intelligentie (AI) en jaag verdachte activiteiten op schaal op, en tik op tientallen jaren cyberbeveiliging bij Microsoft.
  • Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene beveiligingstaken.

Microsoft Sentinel helpt end-to-end beveiligingsbewerkingen in te schakelen in een modern Soc (Security Operations Center).

Gegevens op schaal verzamelen

Verzamel gegevens voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds. Hier volgen belangrijke mogelijkheden in Microsoft Sentinel voor het verzamelen van gegevens.

  • Out-of-the-box-gegevensconnectors : veel connectors zijn verpakt met SIEM-oplossingen voor Microsoft Sentinel en bieden realtime integratie. Deze connectors omvatten Microsoft-bronnen en Azure-bronnen zoals Microsoft Entra ID, Azure-activiteit, Azure Storage en meer.

    Standaardconnectors zijn ook beschikbaar voor de bredere ecosystemen voor beveiliging en toepassingen voor niet-Microsoft-oplossingen. U kunt ook de algemene gebeurtenisindeling, Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.

  • Aangepaste connectors : Microsoft Sentinel biedt ondersteuning voor het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector. Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een bestaande oplossing, kunt u uw eigen gegevensbronconnector maken.

  • Gegevensnormalisatie : Microsoft Sentinel neemt gegevens op uit veel bronnen. Het kan lastig zijn om met verschillende soorten gegevens te werken en te correleren tijdens een onderzoek en opsporing. Microsoft Sentinel ondersteunt het Advanced Security Information Model (ASIM), dat zich tussen deze verschillende bronnen en de gebruiker bevindt, om uniforme, genormaliseerde weergaven te vergemakkelijken.

Bedreigingen detecteren

Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyse en ongeëvenaarde bedreigingsinformatie van Microsoft. Hieronder volgen belangrijke mogelijkheden in Microsoft Sentinel voor detectie van bedreigingen.

  • Analyse: Microsoft Sentinel maakt gebruik van analyses om waarschuwingen in incidenten te groeperen. Gebruik de out-of-the-box analyseregels als zodanig of als uitgangspunt om uw eigen regels te bouwen. Microsoft Sentinel biedt ook regels om uw netwerkgedrag toe te wijzen en vervolgens te zoeken naar afwijkingen in uw resources.

  • MITRE ATT&CK-dekking : Microsoft Sentinel analyseert opgenomen gegevens, niet alleen om bedreigingen te detecteren en u te helpen onderzoeken, maar ook om de aard en dekking van de beveiligingsstatus van uw organisatie te visualiseren op basis van de tactieken en technieken van het MITRE ATT&CK-framework®, een globale database met kwaadwillende tactieken en technieken.

  • Bedreigingsinformatie : u kunt talloze bronnen van bedreigingsinformatie integreren in Microsoft Sentinel om schadelijke activiteiten in uw omgeving te detecteren en context te bieden aan beveiligingsonderzoekers voor weloverwogen antwoordbeslissingen.

  • Volglijsten : u kunt gegevens correleren uit een gegevensbron die u opgeeft, een volglijst, met de gebeurtenissen in uw Microsoft Sentinel-omgeving. U kunt bijvoorbeeld een volglijst maken met een lijst met hoogwaardige assets, beëindigde werknemers of serviceaccounts in uw omgeving. Volglijsten gebruiken in uw playbooks voor zoekopdrachten, detectieregels, opsporing van bedreigingen en antwoord.

  • Werkmappen: u kunt interactieve visuele rapporten maken met behulp van werkmappen. Nadat u gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u de gegevens bewaken met behulp van de Microsoft Sentinel-integratie met Azure Monitor Workbooks. Microsoft Sentinel wordt geleverd met ingebouwde werkmapsjablonen waarmee u snel inzicht krijgt in uw gegevens. U kunt ook uw eigen aangepaste werkmappen maken.

Bedreigingen onderzoeken

Onderzoek bedreigingen met kunstmatige intelligentie en zoek op verdachte activiteiten op schaal, en tik op jaren van cyberbeveiliging bij Microsoft. Hieronder volgen belangrijke mogelijkheden in Microsoft Sentinel voor bedreigingsonderzoek.

  • Incidenten : incidenten zijn uw casebestanden die een aggregatie bevatten van alle relevante bewijzen voor specifieke onderzoeken. Elk incident wordt gemaakt (of toegevoegd aan) op basis van bewijsmateriaal (waarschuwingen) dat is gegenereerd door analyseregels of geïmporteerd uit beveiligingsproducten van derden die hun eigen waarschuwingen produceren. De pagina met incidentdetails bevat informatie en onderzoekshulpprogramma's waarmee u inzicht krijgt in het bereik en de hoofdoorzaak van een mogelijke beveiligingsrisico kunt vinden.

  • Hunts : met de krachtige zoek- en queryhulpprogramma's van Microsoft Sentinel, op basis van het MITRE-framework, kunt u proactief zoeken naar beveiligingsrisico's in de gegevensbronnen van uw organisatie, voordat een waarschuwing wordt geactiveerd. Nadat u hebt ontdekt welke opsporingsquery waardevolle inzichten biedt in mogelijke aanvallen, kunt u ook aangepaste detectieregels maken op basis van uw query en deze inzichten weergeven als waarschuwingen voor de beantwoorders van uw beveiligingsincidenten.

  • Notebooks - Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning-werkruimten. Jupyter-notebooks zijn een opensource-webtoepassing waarmee gebruikers documenten kunnen maken en delen met live code, vergelijkingen, visualisaties en verhaaltekst.

    Gebruik notebooks in Microsoft Sentinel om het bereik van wat u kunt doen met Microsoft Sentinel-gegevens uit te breiden. Voorbeeld:

    • Voer analyses uit die niet zijn ingebouwd in Microsoft Sentinel, zoals een aantal Python-functies voor machine learning.
    • Gegevensvisualisaties maken die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren.
    • Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.

Snel reageren op incidenten

Met Microsoft Sentinel kunt u uw algemene taken automatiseren en beveiligingsindeling vereenvoudigen met playbooks die integreren met Azure-services en uw bestaande hulpprogramma's, om sneller te reageren op incidenten.

Hieronder volgen belangrijke mogelijkheden in Microsoft Sentinel voor reactie op bedreigingen.

  • Automatiseringsregels : beheer de automatisering van incidentafhandeling in Microsoft Sentinel centraal door een kleine set regels te definiëren en coördineren die betrekking hebben op verschillende scenario's.

  • Playbooks : automatiseer en orchestrateer uw reactie op bedreigingen met behulp van playbooks, die een verzameling herstelacties zijn. Voer een playbook on-demand uit of automatisch als reactie op specifieke waarschuwingen of incidenten wanneer deze worden geactiveerd door een automatiseringsregel.

    Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps. Als u bijvoorbeeld het ServiceNow-ticketingsysteem gebruikt, gebruikt u Azure Logic Apps om uw werkstromen te automatiseren en een ticket in ServiceNow te openen telkens wanneer een bepaalde waarschuwing of incident wordt gegenereerd.

Standaardbeveiligingsinhoud inschakelen

Microsoft Sentinel-inhoud verwijst naar SIEM-oplossingsonderdelen (Security Information and Event Management) waarmee klanten gegevens kunnen opnemen, bewaken, waarschuwen, opsporen, onderzoeken, reageren en verbinding kunnen maken met verschillende producten, platforms en services. De inhoud in Microsoft Sentinel kan inhoudstypen bevatten, zoals: gegevensconnectors, werkmappen, analyseregels, opsporingsquery's, notebooks, volglijsten en playbooks.

Microsoft Sentinel biedt deze inhoudstypen als oplossingen en zelfstandige items. Oplossingen zijn pakketten van Microsoft Sentinel-inhoud of Microsoft Sentinel-API-integraties, die voldoen aan een end-to-end product-, domein- of branche verticaal scenario in Microsoft Sentinel. Zowel oplossingen als zelfstandige items kunnen worden gedetecteerd en beheerd vanuit de Content Hub.

De Microsoft Sentinel Content Hub is uw centrale locatie voor het detecteren en beheren van standaardoplossingen (ingebouwde) oplossingen. Microsoft Sentinel-oplossingen zijn pakketten van Microsoft Sentinel-inhoud of Microsoft Sentinel-API-integraties die implementatie en inschakeling met één stap bieden. Oplossingen voor inhoudshubs die voldoen aan een end-to-end product-, domein- of branche verticaal scenario in Microsoft Sentinel. Een voorbeeld van een domeinspecifiek, ingebouwd, is de Microsoft Purview Intern risicobeheer die een gegevensconnector, werkmap, analyseregels, opsporingsquery's en playbook bevat.

Schermopname van de Microsoft Sentinel-inhoudshub.

Microsoft Sentinel in de Microsoft Defender-portal

Microsoft Sentinel is een beveiligingsservice die is ingeschakeld via Azure Portal. Zodra de Microsoft Sentinel-service is ingeschakeld, kunt u deze openen via Azure Portal of vanuit het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal.

Het geïntegreerde Platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal brengt de volledige mogelijkheden van Microsoft Sentinel, Microsoft Defender XDR en Microsoft Copilot in Microsoft Defender samen.

Wanneer u Microsoft Sentinel onboardt naar de Defender-portal, kunt u de mogelijkheden samenvoegen met Microsoft Defender XDR, zoals incidentbeheer en geavanceerde opsporing. Verminder het schakelen tussen hulpprogramma's en bouw een meer contextgericht onderzoek dat de reactie op incidenten versnelt en schendingen sneller stopt.

Gedetailleerde informatie over de Microsoft Sentinel-ervaring in de Microsoft Defender-portal en hoe onboarding beschikbaar is in de sectie samenvatting en resources van deze module.