Bedreigingen out-of-the-box detecteren
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, wilt u een melding ontvangen wanneer er iets verdachts gebeurt. Daarom biedt Microsoft Sentinel standaard ingebouwde sjablonen om u te helpen bij het maken van regels voor het detecteren van bedreigingen.
Regelsjablonen zijn ontworpen door het team van beveiligingsexperts en analisten van Microsoft op basis van bekende bedreigingen, veelvoorkomende aanvalsvectoren en escalatieketens van verdachte activiteiten. Met regels die zijn gemaakt op basis van deze sjablonen wordt in uw omgeving automatisch gezocht naar activiteiten die er verdacht uitzien. Veel van de sjablonen kunnen worden aangepast om te zoeken naar activiteiten of ze te filteren op basis van uw behoeften. De waarschuwingen die door deze regels worden gegenereerd, maken incidenten die u in uw omgeving kunt toewijzen en onderzoeken.
Dit artikel helpt u te begrijpen hoe u bedreigingen kunt detecteren met Microsoft Sentinel:
- Out-of-the-box-bedreigingsdetecties gebruiken
- Bedreigingsreacties automatiseren
Ingebouwde detecties weergeven
Als u alle analyseregels en -detecties in Microsoft Sentinel wilt weergeven, gaat u naar > Analyseregelsjablonen. Dit tabblad bevat alle ingebouwde regels van Microsoft Sentinel.
Ingebouwde detecties zijn onder andere:
| Regeltype | Description |
|---|---|
| Microsoft-beveiliging | Microsoft-beveiligingssjablonen maken automatisch Microsoft Sentinel-incidenten op basis van de waarschuwingen die in realtime worden gegenereerd in andere Microsoft-beveiligingsoplossingen. U kunt Microsoft-beveiligingsregels als sjabloon gebruiken om nieuwe regels met vergelijkbare logica te maken. Zie Automatisch incidenten maken van Microsoft-beveiligingswaarschuwingen voor meer informatie over beveiligingsregels. |
| Fusion (sommige detecties in preview) |
Microsoft Sentinel maakt gebruik van de Fusion-correlatie-engine, met de schaalbare machine learning-algoritmen, voor het detecteren van geavanceerde aanvallen met meerdere fases door veel waarschuwingen en gebeurtenissen van lage kwaliteit in meerdere producten te correleren in hoogwaardige en toe te voeren incidenten. Fusion is standaard ingeschakeld. Omdat de logica verborgen is en daarom niet aanpasbaar is, kunt u slechts één regel maken met deze sjabloon. De fusion-engine kan ook waarschuwingen die door geplande analyseregels worden geproduceerd, correleren met die van andere systemen, wat resulteert in hoogwaardige incidenten. |
| Machine learning (ML) gedragsanalyse | ML gedragsanalysesjablonen zijn gebaseerd op bedrijfseigen Microsoft machine learning-algoritmen, zodat u de interne logica van de manier waarop ze werken en wanneer ze worden uitgevoerd niet kunt zien. Omdat de logica verborgen is en daarom niet aanpasbaar is, kunt u slechts één regel maken met elke sjabloon van dit type. |
| Anomalie (Preview) |
Sjablonen voor anomalieregel gebruiken SOC-ML (machine learning) om specifieke typen afwijkende gedragingen te detecteren. Elke regel heeft zijn eigen unieke parameters en drempelwaarden, die geschikt zijn voor het gedrag dat wordt geanalyseerd. Hoewel deze regelconfiguraties niet kunnen worden gewijzigd of afgestemd, kunt u de regel dupliceren, het duplicaat wijzigen en afstemmen. In dergelijke gevallen moet u het duplicaat gelijktijdig uitvoeren in de flightmodus en het origineel in de productiemodus. Vergelijk vervolgens de resultaten en schakel het duplicaat over naar Productie als en wanneer de afstemming naar wens is. Zie USE SOC-ML anomalieën to detect threats in Microsoft Sentinel (SOC-anomalieën gebruiken om bedreigingen te detecteren in Microsoft Sentinel) en Work with anomaly detection analytics rules in Microsoft Sentinel(Werken met analyseregels voor anomaliedetectie in Microsoft Sentinel) voor meer informatie. |
| Geplande | Geplande analyseregels zijn gebaseerd op ingebouwde query's die zijn geschreven door Beveiligingsexperts van Microsoft. U kunt de querylogica bekijken en er wijzigingen in aanbrengen. U kunt de geplande regelsjabloon gebruiken en de querylogica en planningsinstellingen aanpassen om nieuwe regels te maken. Verschillende nieuwe sjablonen voor geplande analyseregelen produceren waarschuwingen die door de Fusion-engine worden gecorreleerd aan waarschuwingen van andere systemen om hoogwaardige incidenten te produceren. Zie Geavanceerde detectie van aanvallen met meerdere fases voor meer informatie. Tip: Opties voor regelplanning omvatten het configureren van de regel voor het uitvoeren van elk opgegeven aantal minuten, uren of dagen, met de klok die begint wanneer u de regel inschakelen. We raden u aan rekening te houden met wanneer u een nieuwe of bewerkte analyseregel inschakelen om ervoor te zorgen dat de regels de nieuwe stack incidenten in de tijd krijgen. U kunt bijvoorbeeld een regel uitvoeren in synchroon met wanneer uw SOC-analisten hun werkdag starten en vervolgens de regels inschakelen. |
| Bijna in realtime (NRT) (Preview) |
NRT-regels zijn een beperkte set geplande regels die zijn ontworpen om één keer per minuut te worden uitgevoerd om u zo snel mogelijk informatie te bieden. Ze werken voornamelijk als geplande regels en zijn op dezelfde manier geconfigureerd, met enkele beperkingen. Zie Bedreigingen snel detecteren met NRT-analyseregels (near-realtime) in Microsoft Sentinel voor meer informatie. |
Belangrijk
De regelsjablonen die hierboven worden beschreven, zijn momenteel beschikbaar in preview, evenals enkele van de Fusion-detectiesjablonen (zie Geavanceerde detectie van aanvallen met meerdere fases in Microsoft Sentinel om te zien welke). Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies, preview-functies of anderszins nog niet algemeen beschikbaar zijn.
Door regels te maken en in te stellen op basis van de ML behavior analytics-sjablonen, geeft u Microsoft toestemming om opgenomen gegevens te kopiëren buiten de geografie van uw Microsoft Sentinel-werkruimte, indien nodig voor verwerking door de machine learning-engines en -modellen.
Ingebouwde analyseregels gebruiken
In deze procedure wordt beschreven hoe u ingebouwde sjablonen voor analyseregels gebruikt.
Ingebouwde analyseregels gebruiken:
Selecteer op de pagina Microsoft Sentinel > Analytics Rule templates een sjabloonnaam en selecteer vervolgens de knop Regel maken in het detailvenster om een nieuwe actieve regel te maken op basis van > die sjabloon.
Elke sjabloon heeft een lijst met vereiste gegevensbronnen. Wanneer u de sjabloon opent, worden de gegevensbronnen automatisch gecontroleerd op beschikbaarheid. Als er een probleem is met de beschikbaarheid, is de knop Regel maken mogelijk uitgeschakeld of ziet u mogelijk een waarschuwing voor dat effect.
Als u Regel maken selecteert, wordt de wizard voor het maken van regels geopend op basis van de geselecteerde sjabloon. Alle details worden automatisch ingevuld en met de geplande of Microsoft-beveiligingssjablonen kunt u de logica en andere regelinstellingen aanpassen aan uw specifieke behoeften. U kunt dit proces herhalen om aanvullende regels te maken op basis van de ingebouwde sjabloon. Nadat u de stappen in de wizard voor het maken van regels tot het einde hebt voltooid, bent u klaar met het maken van een regel op basis van de sjabloon. De nieuwe regels worden weergegeven op het tabblad Actieve regels.
Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie over het aanpassen van uw regels in de wizard voor het maken van regels.
Tip
Zorg ervoor dat u alle regels inschakelen die zijn gekoppeld aan uw verbonden gegevensbronnen om te zorgen voor een volledige beveiligingsdekking voor uw omgeving. De meest efficiënte manier om analyseregels in teschakelen, is rechtstreeks vanaf de gegevensconnectorpagina, waarop alle gerelateerde regels worden vermeld. Zie gegevensbronnen Verbinding maken voor meer informatie.
U kunt ook regels pushen naar Microsoft Sentinel via API en PowerShell, maar hiervoor is extra inspanning vereist.
Wanneer u API of PowerShell gebruikt, moet u eerst de regels exporteren naar JSON voordat u de regels inschakelen. API of PowerShell kan handig zijn bij het inschakelen van regels in meerdere exemplaren van Microsoft Sentinel met identieke instellingen in elk exemplaar.
Regels exporteren naar een ARM-sjabloon
U kunt uw regel eenvoudig exporteren naar een ARM Azure Resource Manager sjabloon als u uw regels als code wilt beheren en implementeren. U kunt ook regels importeren uit sjabloonbestanden om deze weer te geven en te bewerken in de gebruikersinterface.
Volgende stappen
Als u aangepaste regels wilt maken, gebruikt u bestaande regels als sjablonen of verwijzingen. Het gebruik van bestaande regels als basislijn helpt bij het bouwen van de meeste logica voordat u wijzigingen aan te brengen die nodig zijn. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.
Als u wilt weten hoe u uw reacties op bedreigingen kunt automatiseren, stelt u geautomatiseerde bedreigingsreacties in Microsoft Sentinel in.