Verzamelde gegevens visualiseren

Notitie

Azure Sentinel heet nu Microsoft Sentinel. Deze pagina's worden in de komende weken bijgewerkt. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

In dit artikel leert u hoe u snel kunt bekijken en controleren wat er gebeurt in uw omgeving met behulp van Microsoft Sentinel. Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, krijgt u directe visualisatie en analyse van gegevens, zodat u kunt weten wat er gebeurt in al uw verbonden gegevensbronnen. Microsoft Sentinel biedt u werkmappen die u de volledige kracht bieden van hulpprogramma's die al beschikbaar zijn in Azure, evenals tabellen en grafieken die zijn ingebouwd om u analyses te bieden voor uw logboeken en query's. U kunt de ingebouwde werkmappen gebruiken of eenvoudig een nieuwe werkmap maken, helemaal zelf of op basis van een bestaande werkmappen.

Visualisatie van gegevens

Om te visualiseren en analyseren wat er gebeurt in uw omgeving, is het goed om eerst het overzichtsdashboard te bestuderen. U kunt zich zo een duidelijk beeld vormen van de beveiligingspostuur van uw organisatie. U kunt op elk element van deze tegels klikken om in te zoomen op de onbewerkte gegevens die eraan ten grondslag liggen. Om u te helpen ruis te verminderen en het aantal waarschuwingen te minimaliseren dat u moet controleren en onderzoeken, gebruikt Microsoft Sentinel een fusietechniek om waarschuwingen in incidenten te correleren. Incidenten zijn groepen gerelateerde waarschuwingen die samen een incident vormen dat kan worden onderzocht en opgelost en waarvoor een actie kan worden uitgevoerd.

  • Selecteer Microsoft Sentinel in de Azure Portal en selecteer vervolgens de werkruimte die u wilt bewaken.

    Microsoft Sentinel overview

  • De werkbalk aan de bovenzijde van het dashboard geeft aan hoeveel gebeurtenissen er zijn opgetreden tijdens de geselecteerde periode en vergelijkt deze met de voorgaande 24 uur. De werkbalk bevat verder informatie over de waarschuwingen die zijn geactiveerd op basis van deze gebeurtenissen (het kleine getal vertegenwoordigt een wijziging in de afgelopen 24 uur). Vervolgens wordt er voor het totale aantal gebeurtenissen aangegeven hoeveel er openstaan, in behandeling zijn en zijn gesloten. Kijk of het aantal gebeurtenissen niet aanzienlijk is gestegen of gedaald. Als er sprake is van een daling, kan het zijn dat een verbinding is gestopt met rapporteren aan Microsoft Sentinel. In het geval van een stijging, is er mogelijk iets dat onderzocht moet worden. Controleer of er nieuwe waarschuwingen zijn.

    Microsoft Sentinel counters

De hoofdtekst van de overzichtspagina geeft in een oogopslag inzicht in de beveiligingsstatus van uw werkruimte:

  • Gebeurtenissen en waarschuwingen in de loop van de tijd: Hier wordt het aantal gebeurtenissen weergegeven en hoeveel waarschuwingen er zijn gemaakt op basis van deze gebeurtenissen. Als er sprake is van een ongebruikelijke piek, ziet u daar waarschuwingen voor. Als er iets ongebruikelijk is met als gevolg een piek en u geen waarschuwingen ziet, kan dit reden voor ongerustheid zijn.

  • Mogelijke schadelijke gebeurtenissen: wanneer verkeer wordt gedetecteerd uit bronnen die bekend zijn dat ze schadelijk zijn, waarschuwt Microsoft Sentinel u op de kaart. Als u oranje cirkels ziet, gaat het om inkomend verkeer: iemand probeert toegang te krijgen tot uw organisatie vanaf een bekend schadelijk IP-adres. Als de activiteit uitgaand is (rood), betekent dit dat er gegevens van uw netwerk worden gestreamd vanuit uw organisatie naar een bekend schadelijk IP-adres.

    Malicious traffic map

  • Recente incidenten: Om uw recente incidenten te bekijken, evenals hun ernst en het aantal waarschuwingen dat is gekoppeld aan het incident. Als u een onverwachte piek ziet voor een bepaald type waarschuwing, kan dit betekenen dat er een aanval wordt uitgevoerd. Als u bijvoorbeeld een plotselinge piek ziet van 20 Pass-the-hash-gebeurtenissen vanuit Microsoft Defender for Identity (voorheen Azure ATP), is het mogelijk dat iemand op dit moment een aanval uitvoert.

  • Gegevensbronanomalieën: De gegevensanalisten van Microsoft hebben modellen gemaakt die de gegevens uit uw gegevensbronnen voortdurend doorzoeken op afwijkingen. Als er geen afwijkingen zijn, wordt er niets weergegeven. Als er afwijkingen worden gedetecteerd, moet u deze in detail bekijken om te zien wat er is gebeurd. Klik bijvoorbeeld op de piek in Azure-activiteiten. Klik op Grafiek om te zien wanneer de piek zich heeft voorgedaan en filter vervolgens op activiteiten die zijn opgetreden in die periode om te zien wat de oorzaak van de piek is.

    Anomalous data sources

Ingebouwde werkmappen gebruiken

Ingebouwde werkmappen bieden geïntegreerde gegevens uit uw verbonden gegevensbronnen om u de kans te geven in te zoomen op de gebeurtenissen die in deze services zijn gegenereerd. De ingebouwde werkmappen hebben betrekking op Azure AD, gebeurtenissen voor Azure-activiteiten en on-premises, wat gegevens kunnen zijn van Windows-gebeurtenissen van servers, uit Microsoft-bronnen, uit bronnen van derden, waaronder logboeken van firewallverkeer, Office 365 en onveilige protocollen op basis van Windows-gebeurtenissen. De werkmappen zijn gebaseerd op Azure Monitor-werkmappen, zodat u bij het ontwerpen van uw eigen werkmap de beschikking hebt over verbeterde mogelijkheden voor aanpassing en flexibiliteit. Zie Werkmappen voor meer informatie.

  1. Selecteer onder Instellingen de optie Werkmappen. Onder Geïnstalleerd worden alle geïnstalleerde werkmappen weergegeven. Onder Alle ziet u de complete galerie met ingebouwde werkmappen die beschikbaar zijn voor installatie.
  2. Zoek naar een specifieke werkmap om de hele lijst te zien met beschrijvingen van de mappen.
  3. Ervan uitgaande dat u Azure AD gebruikt om aan de slag te gaan met Microsoft Sentinel, raden we u aan ten minste de volgende werkmappen te installeren:
    • Azure AD: Gebruik een van de volgende werkmappen, of beide:

      • Azure AD-aanmeldingen: hierin worden aanmeldingen in de loop van de tijd geanalyseerd om te zien of er afwijkingen zijn. Deze werkmap vermeldt mislukte aanmeldingen op toepassing, apparaat en locatie, zodat u in een oogopslag kunt zien of er iets vreemds aan de hand is. Let met name op meerdere mislukte aanmeldingen.
      • Azure AD-auditlogboeken: hierin worden beheeractiviteiten geanalyseerd, zoals wijzigingen van gebruikers (toevoegen, verwijderen, enz.), het maken van groepen en aanpassingen.
    • Voeg een werkmap toe voor uw firewall, zoals de werkmap Palo Alto. De werkmap analyseert het verkeer op uw firewall en biedt correlaties tussen uw firewallgegevens en bedreigingsgebeurtenissen, en accentueert verdachte gebeurtenissen binnen entiteiten. Werkmappen bieden informatie over trends in uw verkeer en u kunt inzoomen op resultaten en deze filteren.

      Palo Alto dashboard

U kunt de werkmappen aanpassen door de hoofdquery query edit buttonte bewerken. U kunt op de knop Log Analytics button klikken om naar Log Analytics te gaan om de query daar te bewerken en u kunt het beletselteken (...) selecteren en tegelgegevens aanpassen selecteren, waarmee u het hoofdtijdfilter kunt bewerken of de specifieke tegels uit de werkmap kunt verwijderen.

Ga voor meer informatie over het werken met query's naar Tutorial: Visual data in Log Analytics (Zelfstudie: Gegevens visualiseren in Log Analytics).

Een nieuwe tegel toevoegen

Als u een nieuwe tegel wilt toevoegen, kunt u deze toevoegen aan een bestaande werkmap, een werkmap die u maakt of een ingebouwde Microsoft Sentinel-werkmap.

  1. Maak in Log Analytics een tegel met behulp van de instructies in Tutorial: Visual data in Log Analytics (Zelfstudie: Gegevens visualiseren in Log Analytics).
  2. Nadat de tegel is gemaakt, selecteert u onder Vastmakende werkmap waarin u de tegel wilt weergeven.

Nieuwe werkmappen maken

U kunt een volledig nieuwe werkmap maken of een ingebouwde werkmap gebruiken als basis voor de nieuwe werkmap.

  1. Als u een volledig nieuwe werkmap wilt maken, selecteert u Werkmappen en vervolgens + Nieuwe werkmap.
  2. Selecteer het abonnement waarin u de werkmap wilt maken en geef de map een beschrijvende naam. Elke werkmap is net als alle andere elementen een Azure-resource, en u kunt er rollen (Azure RBAC) aan toewijzen om te bepalen wie toegang heeft.
  3. Als u wilt dat de werkmap kan worden gekozen om er visualisaties aan vast te maken, moet u de map delen. Klik hiervoor op Delen en vervolgens op Gebruikers beheren.
  4. Gebruik de opties Toegang controleren en Roltoewijzingen zoals u dat zou doen voor andere Azure-resources. Zie Azure-werkmappen delen met behulp van Azure RBAC voor meer informatie.

Voorbeelden van nieuwe werkmappen

Met de volgende voorbeeldquery kunt u trends vergelijken van verkeer voor verschillende weken. U kunt eenvoudig aanpassen voor welke apparaatleverancier en gegevensbron u de query wilt uitvoeren. In dit voorbeeld wordt SecurityEvent van Windows gebruikt. U kunt de query aanpassen voor uitvoering op AzureActivity of CommonSecurityLog op elke andere firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Mogelijk wilt u een query maken die gegevens uit meerdere bronnen combineert. U kunt een query maken om te controleren of Azure Active Directory-auditlogboeken informatie bevatten over nieuwe gebruikers die zojuist zijn gemaakt. Daarna kunt u de logboeken van Azure controleren om na te gaan of deze gebruikers binnen 24 uur nadat ze zijn toegevoegd, hun roltoewijzing hebben gewijzigd. Deze verdachte activiteit zou in dit dashboard worden weergegeven:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

U kunt verschillende werkmappen maken op basis van de rol van de persoon die de gegevens bekijkt en waarnaar ze op zoek zijn. U kunt bijvoorbeeld een werkmap maken voor uw netwerkbeheerder die de firewallgegevens bevat. U kunt ook werkmappen maken op basis van hoe vaak u deze wilt bekijken, of u nu bepaalde zaken dagelijks wilt controleren en andere items eenmaal per uur. Het laatste is bijvoorbeeld zinvol om adequaat te kunnen reageren bij verdachte Azure AD-aanmeldingen.

Nieuwe detecties maken

Genereer detecties voor de gegevensbronnen die u hebt verbonden met Microsoft Sentinel om bedreigingen in uw organisatie te onderzoeken.

Wanneer u een nieuwe detectie maakt, kunt u gebruikmaken van de ingebouwde detecties die zijn gemaakt door beveiligingsonderzoekers van Microsoft en die zijn afgestemd op de gegevensbronnen waarmee u bent verbonden.

Als u alle vooraf gedefinieerde detecties wilt weergeven, gaat u naar Analyse en vervolgens naar Regelsjablonen. Dit tabblad bevat alle ingebouwde regels van Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Zie Ingebouwde analyses ophalen voor meer informatie over out-of-the-box-detecties.

Volgende stappen

In deze quickstart hebt u geleerd hoe u aan de slag kunt gaan met Microsoft Sentinel. Ga door naar het artikel voor het detecteren van bedreigingen.

Definieer aangepaste regels voor de detectie van bedreigingen om uw reacties op bedreigingen te automatiseren.