Best practices voor Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Deze verzameling best practices bevat richtlijnen voor het implementeren, beheren en gebruiken van Microsoft Sentinel, inclusief koppelingen naar andere artikelen voor meer informatie.
Belangrijk
Voordat u Microsoft Sentinel implementeert, controleert en voltooit u activiteiten vóórde implementatie en vereisten.
Naslag voor best practice
De Microsoft Sentinel-documentatie heeft best practice verspreid over onze artikelen. Naast de inhoud in dit artikel, zie het volgende voor meer informatie:
Gebruikers met beheerdersrechten:
- Activiteiten vóór de implementatie en vereisten voor het implementeren van Microsoft Sentinel
- Best practices voor microsoft Sentinel-werkruimtearchitectuur
- Uw Microsoft Sentinel-werkruimtearchitectuur ontwerpen
- Microsoft Sentinel-voorbeeldwerkruimteontwerpen
- Best practices voor gegevensverzameling
- Kosten en facturering voor Microsoft Sentinel
- Machtigingen in Microsoft Sentinel
- MsSP-intellectueel eigendom beveiligen in Microsoft Sentinel
- Integratie van bedreigingsinformatie in Microsoft Sentinel
- Microsoft Sentinel-query's en -activiteiten controleren
Analisten:
- Aanbevolen playbooks
- Fout-positieven verwerken in Microsoft Sentinel
- Bedreigingen zoeken met Microsoft Sentinel
- Veelgebruikte Microsoft Sentinel-werkmappen
- Bedreigingen out-of-the-box detecteren
- Aangepaste regels maken voor het detecteren van bedreigingen
- Jupyter Notebook gebruiken om beveiligingsbedreigingen op te sporen
Zie onze video Architecting SecOps for Success: Best Practices for Deploying Microsoft Sentinel (Architecting SecOps for Success: Best Practices for Deploying Microsoft Sentinel) voor meer informatie.
Reguliere SOC-activiteiten om uit te voeren
Plan regelmatig de volgende Microsoft Sentinel-activiteiten om ervoor te zorgen dat de best practices voor beveiliging worden voortgezet:
Dagelijkse taken
Incidenten triage en onderzoeken. Bekijk de pagina Microsoft Sentinel-incidenten om te controleren op nieuwe incidenten die zijn gegenereerd door de momenteel geconfigureerde analyseregels en begin met het onderzoeken van nieuwe incidenten. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.
Verken de hunting-query's en bladwijzers. Bekijk de resultaten voor alle ingebouwde query's en werk bestaande hunting-query's en bladwijzers bij. Genereer handmatig nieuwe incidenten of werk oude incidenten bij, indien van toepassing. Zie voor meer informatie:
Analytische regels. Controleer en schakel nieuwe analyseregels in, indien van toepassing, met inbegrip van zowel nieuw uitgebrachte als nieuw beschikbare regels van onlangs verbonden gegevensconnectoren.
Gegevensconnectors. Controleer de status, datum en tijd van het laatste logboek dat van elke gegevensconnector is ontvangen om ervoor te zorgen dat de gegevens stromen. Controleer op nieuwe connectors en controleer de opname om ervoor te zorgen dat de limieten niet zijn overschreden. Zie Best practices voor gegevensverzameling en Verbinding maken gegevensbronnen voor meer informatie.
Log Analytics-agent. Controleer of servers en werkstations actief zijn verbonden met de werkruimte en los eventuele mislukte verbindingen op en los ze op. Zie Overzicht van Log Analytics-agent voor meer informatie.
Playbookfouten. Controleer de status van de playbook-run en los eventuele fouten op. Zie Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel voor meer informatie.
Wekelijkse taken
Werkmap werkt bij. Controleer of werkmappen updates hebben die moeten worden geïnstalleerd. Zie Veelgebruikte Microsoft Sentinel-werkmappen voor meer informatie.
Microsoft Sentinel GitHub opslagplaats controleren. Bekijk de Microsoft Sentinel GitHub-opslagplaats om te ontdekken of er nieuwe of bijgewerkte resources van waarde zijn voor uw omgeving, zoals analyseregels, werkmappen, hunting-query's of playbooks.
Microsoft Sentinel-controle. Bekijk de Microsoft Sentinel-activiteit om te zien wie resources heeft bijgewerkt of verwijderd, zoals analyseregels, bladwijzers, en meer. Zie Microsoft Sentinel-query's en -activiteiten controleren voor meer informatie.
Maandelijkse taken
Controleer de gebruikerstoegang. Controleer de machtigingen voor uw gebruikers en controleer op inactieve gebruikers. Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Bekijk log Analytics-werkruimte. Controleer of het gegevensretentiebeleid van de Log Analytics-werkruimte nog steeds in overeenstemming is met het beleid van uw organisatie. Zie Beleid voor gegevensretentie en Integratie van Azure Data Explorer voor langetermijnretentie van logboeken voor meer informatie.
Integreren met Microsoft-beveiligingsservices
Microsoft Sentinel wordt mogelijk gemaakt door de onderdelen die gegevens naar uw werkruimte verzenden en wordt sterker gemaakt door integraties met andere Microsoft-services. Met logboeken die zijn opgenomen in producten zoals Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint en Microsoft Defender for Identity kunnen deze services detecties maken en deze detecties op hun beurt aan Microsoft Sentinel leveren. Logboeken kunnen ook rechtstreeks worden opgenomen in Microsoft Sentinel om een vollediger beeld te geven van gebeurtenissen en incidenten.
In de volgende afbeelding ziet u bijvoorbeeld hoe Microsoft Sentinel gegevens van andere Microsoft-services- en multi-cloud- en partnerplatforms opsoot om dekking te bieden voor uw omgeving:
Microsoft Sentinel kan niet alleen waarschuwingen en logboeken van andere bronnen opnemen, maar ook:
- Maakt gebruik van de informatie die wordt opgenomen met machine learning waarmee een betere correlatie van gebeurtenissen, waarschuwingsaggregatie, anomaliedetectie en meer mogelijk is.
- Bouwt en presenteert interactieve visuals via werkmappen, met trends, gerelateerde informatie en belangrijke gegevens die worden gebruikt voor zowel beheertaken als onderzoeken.
- Playbooks worden uitgevoerd om te reageren op waarschuwingen, het verzamelen van informatie, het uitvoeren van acties op items en het verzenden van meldingen naar verschillende platforms.
- Kan worden geïntegreerd met partnerplatforms, zoals ServiceNow en Jira, om essentiële services te bieden voor SOC-teams.
- Haalt verrijkingsfeeds van bedreigingsinformatieplatforms op en haalt ze op om waardevolle gegevens te verzamelen voor onderzoek.
Incidenten beheren en hierop reageren
In de volgende afbeelding ziet u de aanbevolen stappen in een incidentbeheer- en responsproces.
De volgende secties bevatten beschrijvingen op hoog niveau voor het gebruik van Microsoft Sentinel-functies voor incidentbeheer en -respons gedurende het hele proces. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.
De pagina Incidenten en de grafiek Investigation gebruiken
Start een triageproces voor nieuwe incidenten op de pagina Microsoft Sentinel-incidenten in Microsoft Sentinel en de grafiek Investigation.
Ontdek belangrijke entiteiten, zoals accounts, URL's, IP-adres, hostnamen, activiteiten, tijdlijn en meer. Gebruik deze gegevens om te begrijpen of u een fout-positief bij de hand hebt. In dat geval kunt u het incident rechtstreeks sluiten.
Gegenereerde incidenten worden weergegeven op de pagina Incidenten, die fungeert als de centrale locatie voor triage en vroegtijdig onderzoek. De pagina Incidenten bevat de titel, ernst en gerelateerde waarschuwingen, logboeken en entiteiten die van belang zijn. Incidenten bieden ook een snel overzicht van de verzamelde logboeken en alle hulpprogramma's met betrekking tot het incident.
De pagina Incidenten werkt samen met de onderzoeksgrafiek , een interactief hulpprogramma waarmee gebruikers een waarschuwing kunnen verkennen en er dieper op kunnen in gaan om het volledige bereik van een aanval weer te geven. Gebruikers kunnen vervolgens een tijdlijn van gebeurtenissen opstellen en de omvang van een bedreigingsketen ontdekken.
Als u ontdekt dat het incident een echt positief incident is, neemt u rechtstreeks actie vanaf de pagina Incidenten om logboeken en entiteiten te onderzoeken en de bedreigingsketen te verkennen. Nadat u de bedreiging hebt geïdentificeerd en een actieplan hebt gemaakt, gebruikt u andere hulpprogramma's in Microsoft Sentinel en andere Microsoft-beveiligingsservices om door te gaan met het onderzoeken.
Incidenten met werkmappen afhandelen
Naast het visualiseren en weergeven van informatie en trends,zijn Microsoft Sentinel-werkmappen waardevolle onderzoekshulpprogramma's.
Gebruik bijvoorbeeld de werkmap Investigation Insights om specifieke incidenten samen met eventuele gekoppelde entiteiten en waarschuwingen te onderzoeken. Met deze werkmap kunt u dieper ingaan op entiteiten door gerelateerde logboeken, acties en waarschuwingen weer te geven.
Incidenten afhandelen met het opzoeken van bedreigingen
Tijdens het onderzoeken en zoeken naar hoofdoorzaken, kunt u ingebouwde query's voor opsporing van bedreigingen uitvoeren en de resultaten controleren op indicatoren van een mogelijke bedreiging.
Gebruik tijdens een onderzoek, of nadat u stappen hebt ondernomen om de bedreiging te herstellen en te bestrijden, livestream om in realtime te controleren of er nog steeds schadelijke gebeurtenissen zijn of dat schadelijke gebeurtenissen nog steeds worden voortgezet.
Incidenten met entiteitsgedrag afhandelen
Met entiteitsgedrag in Microsoft Sentinel kunnen gebruikers acties en waarschuwingen controleren en onderzoeken voor specifieke entiteiten, zoals het onderzoeken van accounts en hostnamen. Zie voor meer informatie:
- UEBA (User and Entity Behavior Analytics) inschakelen in Microsoft Sentinel
- Incidenten met UEBA-gegevens onderzoeken
- Naslag voor Microsoft Sentinel UEBA-verrijkingen
Incidenten afhandelen met watchlists en bedreigingsinformatie
Als u detecties op basis van bedreigingsinformatie wilt maximaliseren, moet u gegevensconnectoren voor bedreigingsinformatie gebruiken om indicatoren van een bedreiging op te nemen:
- Verbinding maken gegevensbronnen die vereist zijn voor de fusion- en TI-kaartwaarschuwingen
- Indicatoren van TAXII- en TIP-platformen opnemen
Gebruik indicatoren van gecompromitteerde analyseregels, bij het zoeken naar bedreigingen, het onderzoeken van logboeken of het genereren van meer incidenten.
Gebruik een watchlist waarin gegevens uit opgenomen gegevens en externe bronnen, zoals verrijkingsgegevens, worden gecombineerd. Maak bijvoorbeeld lijsten met IP-adresbereiken die worden gebruikt door uw organisatie of onlangs beëindigde werknemers. Gebruik watchlists met playbooks om verrijkingsgegevens te verzamelen, zoals het toevoegen van schadelijke IP-adressen aan watchlists die kunnen worden gebruikt tijdens detectie, opsporing van bedreigingen en onderzoeken.
Gebruik tijdens een incident watchlists om onderzoeksgegevens te bevatten en verwijder ze vervolgens wanneer uw onderzoek is uitgevoerd om ervoor te zorgen dat gevoelige gegevens niet in beeld blijven.
Volgende stappen
Als u aan de slag wilt met Microsoft Sentinel, gaat u naar: