Bedrijfsbeveiliging beheren met Microsoft Sentinel

  • 10 minuten

Uw financiële organisatie houdt zich voortdurend bezig met klanten en partners in verschillende regio's ter wereld. Veel transacties vinden elke dag plaats en elke transactie moet worden bewaakt en beveiligd, ongeacht het type of de betrokken apparaten en gebruikers. De beveiligings- en bewakingsstrategie van uw organisatie moet zich richten op bedrijfsbrede beveiliging en bewaking.

In deze les wordt beschreven hoe Microsoft Sentinel helpt bij het bewaken en reageren op beveiligingsrisico's in een organisatie op ondernemingsniveau. U kunt Microsoft Sentinel gebruiken voor het volgende:

  • Krijg een gedetailleerd overzicht van uw onderneming, mogelijk in meerdere clouds en on-premises locaties.
  • Vermijd afhankelijkheid van complexe en verschillende hulpprogramma's.
  • Bedreigingen in uw organisatie identificeren en afhandelen met behulp van AI op ondernemingsniveau, gebouwd door experts.

Uw gegevensbronnen verbinden met Microsoft Sentinel

Als u Microsoft Sentinel wilt implementeren, hebt u een Log Analytics-werkruimte nodig. Wanneer u een Microsoft Sentinel-resource maakt in Azure Portal, kunt u een nieuwe Log Analytics-werkruimte maken of een bestaande werkruimte verbinden.

schermopname van het toevoegen van een Log Analytics-werkruimte.

Nadat u de Microsoft Sentinel-resource hebt gemaakt en deze hebt verbonden met een werkruimte, moet u gegevensbronnen voor uw bedrijf verbinden. Installeer oplossingen met dataverbinders van de contenthub. Microsoft Sentinel kan worden geïntegreerd met Microsoft-oplossingen, waaronder Microsoft Entra ID en Microsoft 365, via connectors.

U kunt al uw beschikbare gegevensconnectors zien door Gegevensconnectors te selecteren onder Configuratie- in de linkernavigatiebalk van Microsoft Sentinel.

Schermopname van gegevensconnectors.

Selecteer de juiste gegevensconnector voor uw gegevensbron, lees de informatie over de connector en selecteer Open de connectorpagina om de vereisten voor uw connector te bekijken. Zorg ervoor dat u aan alle vereisten voldoet om verbinding te maken met uw gegevensbron.

Wanneer u de gegevensbron verbindt, worden uw logboeken gesynchroniseerd met Microsoft Sentinel. U ziet een overzicht van verzamelde gegevens in de Gegevens die zijn ontvangen grafiek voor uw connector. U kunt ook de verschillende gegevenstypen zien die voor de bron worden verzameld. De connector van het Azure Storage-account kan bijvoorbeeld blob-, wachtrij-, bestands- of tabellogboekgegevens verzamelen.

Schermopname van de Gegevens ontvangen-grafiek.

Zodra u uw gegevensbronnen hebt verbonden, begint Microsoft Sentinel met het bewaken van uw onderneming.

schermopname van een waarschuwingskaart.

Waarschuwingen gebruiken om uw onderneming te bewaken

U kunt waarschuwingsregels configureren om afwijkingen en bedreigingen intelligenter te onderzoeken. Waarschuwingsregels geven de bedreigingen en activiteiten op die waarschuwingen moeten genereren. U kunt handmatig reageren of door playbooks te gebruiken voor geautomatiseerde antwoorden.

Selecteer Analytics- in het linkernavigatievenster van Microsoft Sentinel onder Configuration- om alle regels weer te geven die u hebt en nieuwe regels te maken.

schermopname van Alle waarschuwingen weergeven.

Wanneer u een regel maakt, geeft u op of deze moet worden ingeschakeld of uitgeschakeld en de ernst van de waarschuwing. Voer in het regelquery veld van het tabblad Regellogica instellen een regelquery in.

Schermafbeelding van Alerteregel maken.

De volgende query kan bijvoorbeeld bepalen of er een verdacht aantal Virtuele Azure-machines wordt gemaakt of bijgewerkt, of dat er een verdacht aantal resource-implementaties plaatsvindt.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

In de sectie Queryplanning kunt u bepalen hoe vaak de query moet worden uitgevoerd en naar welke periode aan gegevens moet worden gezocht. In de sectie Waarschuwingsdrempel kunt u het niveau opgeven waarop u een waarschuwing wilt genereren.

Incidenten onderzoeken

Microsoft Sentinel combineert gegenereerde waarschuwingen in incidenten voor verder onderzoek. Selecteer Incidenten in het linkernavigatievenster van Microsoft Sentinel onder Bedreigingsbeheer om details te bekijken over al uw incidenten, zoals hoeveel incidenten zijn gesloten, hoeveel er open blijven, wanneer de incidenten zijn opgetreden en de ernst ervan.

Als u een incident wilt onderzoeken, selecteert u het incident. U krijgt informatie over het incident in het rechterdeelvenster. Selecteer Volledige details weergeven voor meer informatie.

Schermopname van de pagina Incidenten.

Als u het incident wilt onderzoeken, werkt u de status van Nieuwe bij naar Actieve, wijst u het toe aan een eigenaar en selecteert u onderzoeken.

schermopname van incidentdetails.

De onderzoekskaart helpt u te begrijpen wat een incident en het betrokken bereik hebben veroorzaakt. U kunt de kaart ook gebruiken om gegevens rondom een incident te correleren.

Schermopname van een onderzoeksoverzicht.

Met de onderzoekskaart kunt u dieper ingaan op een incident. Meerdere entiteiten, waaronder gebruikers, toestellen en apparaten, kunnen worden toegewezen aan een incident. U kunt bijvoorbeeld details ophalen over een gebruiker die is geïdentificeerd als onderdeel van het incident.

schermopname van de entiteit.

Als u de muisaanwijzer over een entiteit beweegt, ziet u een lijst met verkenningsquery's ontworpen door Microsoft-beveiligingsanalisten en -experts. U kunt de verkenningsquery's gebruiken om effectiever te onderzoeken.

Schermafbeelding van verkenningsquery's.

De onderzoekskaart geeft u ook een tijdlijn waarmee u kunt begrijpen welke gebeurtenis op een bepaald tijdstip heeft plaatsgevonden. Gebruik de tijdlijnfunctie om inzicht te hebben in het pad dat een bedreiging in de loop van de tijd kan duren.

schermopname van de tijdlijn.