Wat is Microsoft Sentinel?
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie voor de hele onderneming, die één oplossing biedt voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en bedreigingsrespons.
Microsoft Sentinel is uw overzicht over de hele onderneming, waardoor de stress van steeds geavanceerdere aanvallen, toenemende hoeveelheden waarschuwingen en lange oplossingsframes wordt voorkomen.
Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.
Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyses en ongeëvenaarde bedreigingsinformatie van Microsoft.
Onderzoek bedreigingen met kunstmatige intelligentie en spoor verdachte activiteiten op schaal op met gebruik van de cyberbeveiliging waar Microsoft al jaren aan werkt.
Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene taken.
Microsoft Sentinel bouwt op het volledige scala aan bestaande Azure-services en bevat systeemeigen bewezen basisvoorzieningen, zoals Log Analytics en Logic Apps. Microsoft Sentinel verrijkt uw onderzoek en detectie met AI en biedt de bedreigingsinformatiestroom van Microsoft en stelt u in staat om uw eigen bedreigingsinformatie te gebruiken.
Verbinden met al uw gegevens
Als u Microsoft Sentinel wilt in gebruik nemen, moet u eerst verbinding maken met uw beveiligingsbronnen.
Microsoft Sentinel wordt geleverd met een aantal connectors voor Microsoft-oplossingen, die direct beschikbaar zijn en realtime integratie bieden, waaronder Microsoft 365 Defender-oplossingen (voorheen Microsoft Threat Protection) en Microsoft 365-bronnen, waaronder Office 365 , Azure AD, Microsoft Defender for Identity (voorheen Azure ATP) en Microsoft Defender voor Cloud Apps, en meer. Daarnaast zijn er ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook common event format, Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Zie Uw gegevensconnector zoeken voor meer informatie.
Notitie
Deze service ondersteunt Azure Lighthouse, waarmee serviceproviders zich kunnen aanmelden bij een eigen tenant om abonnementen en resourcegroepen te beheren die klanten hebben gedelegeerd.
Werkmappen
Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u de gegevens bewaken met behulp van de Microsoft Sentinel-integratie met Azure Monitor Workbooks. Dit biedt u de flexibiliteit om aangepaste werkmappen te maken.
Hoewel Werkmappen anders worden weergegeven in Microsoft Sentinel, kan het handig zijn om te zien hoe u interactieve rapporten maakt met Azure Monitor Workbooks. Met Microsoft Sentinel kunt u aangepaste werkmappen voor uw gegevens maken. Microsoft Sentinel wordt ook geleverd met ingebouwde werkmapsjablonen, zodat u snel inzicht kunt krijgen in uw gegevens zodra u verbinding maakt met een gegevensbron.
Werkmappen zijn bedoeld voor SOC-technici en analisten van alle lagen om gegevens te visualiseren.
Werkmappen kunnen het beste worden gebruikt voor weergaven op hoog niveau van Microsoft Sentinel-gegevens en vereisen geen coderingskennis, maar u kunt Workbooks niet integreren met externe gegevens.
Analyse
Microsoft Sentinel maakt gebruik van analyses om waarschuwingen te correleren met incidenten om ruis te verminderen en het aantal waarschuwingen te minimaliseren dat u moet controleren en onderzoeken. Incidenten zijn groepen gerelateerde waarschuwingen die samen een mogelijke bedreiging vormen die kan worden onderzocht en opgelost. Gebruik de ingebouwde correlatieregels zoals ze worden geleverd of gebruik ze als beginpunt om uw eigen correlatieregels te maken. Microsoft Sentinel biedt ook machine learning om uw netwerkgedrag in kaart te brengen en vervolgens te zoeken naar afwijkingen in uw resources. Deze analyses leggen een link door waarschuwingen met een lage betrouwbaarheid over verschillende entiteiten te combineren tot mogelijke beveiligingsincidenten met een hoge betrouwbaarheid.
Beveiligingsautomatisering en -indeling
Automatiseer uw algemene taken en vereenvoudig beveiligings orchestration met playbooks die kunnen worden geïntegreerd met Azure-services en uw bestaande hulpprogramma's.
De automatiserings- en orchestration-oplossing van Microsoft Sentinel, gebouwd op basis van Azure Logic Apps, biedt een zeer uitbreidbare architectuur die schaalbare automatisering mogelijk maakt naarmate er nieuwe technologieën en bedreigingen ontstaan. Als u playbooks wilt maken met Azure Logic Apps, kunt u kiezen uit een steeds groter wordende galerie met ingebouwde playbooks. Dit zijn onder andere meer dan 200 connectors voor services zoals Azure-functies. Met de connectors kunt u aangepaste logica toepassen in code, ServiceNow, Jira, Zendesk, HTTP-aanvragen, Microsoft Teams, Slack, Windows Defender ATP en Defender for Cloud Apps.
Als u bijvoorbeeld het ServiceNow-ticketsysteem gebruikt, kunt u de meegeleverde hulpprogramma's gebruiken om met Azure Logic Apps uw werkstromen te automatiseren en een ticket in ServiceNow te openen telkens wanneer een bepaalde gebeurtenis wordt gedetecteerd.
Playbooks zijn bedoeld voor SOC-technici en analisten van alle lagen, voor het automatiseren en vereenvoudigen van taken, waaronder gegevens opname, verrijking, onderzoek en herstel.
Playbooks werken het beste met enkele, herhaalbare taken en vereisen geen coderingskennis. Playbooks zijn niet geschikt voor ad-hoc- of complexe taakketens, of voor het documenteren en delen van bewijs.
Onderzoek
Momenteel in de preview-versie helpen hulpprogramma's voor uitgebreid onderzoek van Microsoft Sentinel u om inzicht te krijgen in het bereik en de hoofdoorzaak van een mogelijke beveiligingsrisico te vinden. U kunt een entiteit in de interactieve grafiek kiezen om interessante vragen te stellen voor een specifieke entiteit en inzoomen op deze entiteit en de bijbehorende verbindingen om de hoofdoorzaak van de bedreiging te achterhalen.
Zoeken
Gebruik de krachtige opsporingshulpprogramma's voor zoeken en query's van Microsoft Sentinel op basis van het MITRE-framework,waarmee u proactief kunt zoeken naar beveiligingsrisico's in de gegevensbronnen van uw organisatie voordat een waarschuwing wordt geactiveerd. Nadat u hebt ontdekt welke opsporingsquery waardevolle inzichten biedt in mogelijke aanvallen, kunt u ook aangepaste detectieregels maken op basis van uw query en deze inzichten weergeven als waarschuwingen voor de beantwoorders van uw beveiligingsincidenten. Tijdens het opsporen kunt u bladwijzers maken voor interessante gebeurtenissen, zodat u er later naar kunt terugkeren, deze met anderen kunt delen en ze kunt groeperen met andere gerelateerde gebeurtenissen om een duidelijk incident te maken voor onderzoek.
Notebooks
Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning werkruimten, waaronder volledige bibliotheken voor machine learning, visualisatie en gegevensanalyse.
Gebruik notebooks in Microsoft Sentinel om het bereik uit te breiden van wat u met Microsoft Sentinel-gegevens kunt doen. U kunt bijvoorbeeld analyses uitvoeren die niet zijn ingebouwd in Microsoft Sentinel, zoals sommige Python machine learning-functies, het maken van gegevensvisualisaties die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en procesboomvoorzieningen, of het integreren van gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.
Microsoft Sentinel-notebooks zijn bedoeld voor bedreigingen of laag 2-3-analisten, incidentonderzoekers, gegevenswetenschappers en beveiligingsonderzoekers.
Notebooks bieden query's voor zowel Microsoft Sentinel als externe gegevens, functies voor gegevensverrijking, onderzoek, visualisatie, opsporing, machine learning en big data analyse.
Notebooks zijn het meest geschikt voor complexere ketens van herhaalbare taken, ad-hoc procedurele besturingselementen, machine learning en aangepaste analyse, bieden ondersteuning voor uitgebreide Python-bibliotheken voor het bewerken en visualiseren van gegevens en zijn nuttig bij het documenteren en delen van bewijs van analyse.
Notebooks vereisen een hogere leercurve en coderingskennis en bieden beperkte automatiseringsondersteuning.
Community
De Microsoft Sentinel-community is een krachtige resource voor detectie en automatisering van bedreigingen. Onze Microsoft-beveiligingsanalisten werken voortdurend aan het maken en toevoegen van nieuwe werkmappen, playbooks, opsporingsquery's en meer en plaatsen deze in de community zodat u ze in uw omgeving kunt gebruiken. U kunt voorbeeldinhoud downloaden uit de privé-community GitHub opslagplaats om aangepaste werkmappen, hunting-query's, notebooks en playbooks te maken voor Microsoft Sentinel.
Volgende stappen
- Als u aan de slag wilt met Microsoft Sentinel, hebt u een abonnement op Microsoft Azure. Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
- Meer informatie over het onboarden van uwgegevens naar Microsoft Sentinel en het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.