Incidenten onderzoeken met Microsoft Sentinel

  • Artikel
  • 7 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Belangrijk

Genoteerde functies zijn momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Dit artikel helpt u incidenten met Microsoft Sentinel te onderzoeken. Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, wilt u een melding ontvangen wanneer er iets verdachts gebeurt. Als u dit wilt doen, kunt u met Microsoft Sentinel geavanceerde waarschuwingsregels maken die incidenten genereren die u kunt toewijzen en onderzoeken.

In dit artikel wordt het volgende beschreven:

  • Incidenten onderzoeken
  • De onderzoeksgrafiek gebruiken
  • Op bedreigingen reageren

Een incident kan meerdere waarschuwingen bevatten. Het is een aggregatie van alle relevante bewijzen voor een specifiek onderzoek. Er wordt een incident gemaakt op basis van analyseregels die u hebt gemaakt op de pagina Analyse. De eigenschappen met betrekking tot de waarschuwingen, zoals ernst en status, worden ingesteld op incidentniveau. Nadat u Microsoft Sentinel hebt laten weten welke soorten bedreigingen u zoekt en hoe u deze kunt vinden, kunt u gedetecteerde bedreigingen bewaken door incidenten te onderzoeken.

Vereisten

  • U kunt het incident alleen onderzoeken als u de velden voor entiteitstoewijzing hebt gebruikt bij het instellen van uw analyseregel. Voor de onderzoeksgrafiek is vereist dat uw oorspronkelijke incident entiteiten omvat.

  • Als u een gastgebruiker hebt die incidenten moet toewijzen, moet aan de gebruiker de rol Directorylezer worden toegewezen in uw Azure AD-tenant. Aan gewone (niet-gast)gebruikers is deze rol standaard toegewezen.

Incidenten onderzoeken

  1. Selecteer Incidenten. Op de pagina Incidenten ziet u hoeveel incidenten u hebt, hoeveel er zijn geopend, hoeveel u hebt ingesteld op Wordt uitgevoerd en hoeveel er zijn gesloten. Voor elk incident kunt u zien hoe lang het heeft plaatsgevonden en wat de status van het incident is. Bekijk de ernst om te bepalen welke incidenten het eerst moeten worden verwerkt.

    Ernst van incident weergeven

  2. U kunt de incidenten zo nodig filteren, bijvoorbeeld op status of ernst. Zie Zoeken naar incidenten voor meer informatie.

  3. Selecteer een specifiek incident om een onderzoek te starten. Aan de rechterkant ziet u gedetailleerde informatie over het incident, waaronder de ernst, een samenvatting van het aantal betrokken entiteiten, de onbewerkte gebeurtenissen die dit incident hebben geactiveerd en de unieke id van het incident.

  4. Als u meer informatie over de waarschuwingen en entiteiten in het incident wilt weergeven, selecteert u Volledige details weergeven op de incidentpagina en bekijkt u de relevante tabbladen waarin de incidentinformatie wordt samengevat.

    Waarschuwingsdetails weergeven

    Bijvoorbeeld:

    • Bekijk op het tabblad Tijdlijn de tijdlijn van waarschuwingen en bladwijzers in het incident, waarmee u de tijdlijn van de aanvalsactiviteiten kunt reconstrueren.
    • Controleer de waarschuwing zelf op het tabblad Waarschuwingen. U kunt alle relevante informatie over de waarschuwing bekijken: de query die de waarschuwing heeft geactiveerd, het aantal resultaten dat per query wordt geretourneerd en de mogelijkheid om playbooks uit te voeren voor de waarschuwingen. Als u nog verder wilt inzoomen op het incident, selecteert u het aantal gebeurtenissen. Hiermee opent u de query die de resultaten en de gebeurtenissen heeft gegenereerd die de waarschuwing in Log Analytics hebben geactiveerd.
    • Op het tabblad Entiteiten ziet u alle entiteiten die u als onderdeel van de definitie van de waarschuwingsregel hebt gekregen.

  5. Als u een incident actief onderzoekt, is het een goed idee om de status van het incident in te stellen op Wordt uitgevoerd totdat u het sluit.

  6. Incidenten kunnen worden toegewezen aan een specifieke gebruiker. Voor elk incident kunt u een eigenaar toewijzen door het veld Incidenteigenaar in te stellen. Alle incidenten beginnen als niet-toegewezen. U kunt ook opmerkingen toevoegen, zodat andere analisten kunnen begrijpen wat u hebt onderzocht en wat uw zorgen zijn met betrekking tot het incident.

    Incident toewijzen aan gebruiker

  7. Selecteer Onderzoeken om de kaart van het onderzoek te bekijken.

De onderzoeksgrafiek gebruiken om dieper in te gaan

Met de onderzoeksgrafiek kunnen analisten de juiste vragen stellen voor elk onderzoek. De onderzoeksgrafiek helpt u inzicht te krijgen in het bereik en de hoofdoorzaak van een mogelijke beveiligingsrisico te identificeren door relevante gegevens te correuleren met elke betrokken entiteit. U kunt dieper ingaan op elke entiteit die in de grafiek wordt weergegeven door deze te selecteren en te kiezen tussen verschillende uitbreidingsopties.

De onderzoeksgrafiek biedt u het volgende:

  • Visuele context van onbewerkte gegevens: de live, visuele grafiek geeft entiteitsrelaties weer die automatisch zijn geëxtraheerd uit de onbewerkte gegevens. Hierdoor kunt u eenvoudig verbindingen tussen verschillende gegevensbronnen zien.

  • Detectie van het volledige onderzoekbereik: breid uw onderzoeksbereik uit met behulp van ingebouwde onderzoeksquery's om het volledige bereik van een schending te verkennen.

  • Ingebouwde onderzoeksstappen: gebruik vooraf gedefinieerde verkenningsopties om ervoor te zorgen dat u de juiste vragen stelt bij een bedreiging.

De onderzoeksgrafiek gebruiken:

  1. Selecteer een incident en selecteer vervolgens Onderzoeken. Hiermee gaat u naar de onderzoeksgrafiek. De grafiek biedt een illustratief overzicht van de entiteiten die rechtstreeks zijn verbonden met de waarschuwing en elke resource die verder is verbonden.

    Kaart weergeven.

    Belangrijk

    • U kunt het incident alleen onderzoeken als u de velden voor entiteitstoewijzing hebt gebruikt bij het instellen van uw analyseregel. Voor de onderzoeksgrafiek is vereist dat uw oorspronkelijke incident entiteiten omvat.

    • Microsoft Sentinel ondersteunt momenteel onderzoek van incidenten die maximaal 30 dagen oud zijn.

  2. Selecteer een entiteit om het deelvenster Entiteiten te openen, zodat u informatie over die entiteit kunt bekijken.

    Entiteiten weergeven in kaart

  3. Vouw uw onderzoek uit door de muisaanwijzer over elke entiteit te bewegen om een lijst met vragen weer te geven die is ontworpen door onze beveiligingsexperts en analisten per entiteitstype om uw onderzoek te verdiepen. We noemen deze opties verkenningsquery's.

    Meer details verkennen

    Op een computer kunt u bijvoorbeeld gerelateerde waarschuwingen aanvragen. Als u een verkenningsquery selecteert, worden de resulterende entiteiten weer toegevoegd aan de grafiek. In dit voorbeeld retourneert het selecteren van Gerelateerde waarschuwingen de volgende waarschuwingen in de grafiek:

    Gerelateerde waarschuwingen weergeven

  4. Voor elke verkenningsquery kunt u de optie selecteren om de onbewerkte gebeurtenisresultaten en de query die wordt gebruikt in Log Analytics te openen door Gebeurtenissen te selecteren. >

  5. Om het incident te begrijpen, geeft de grafiek u een parallelle tijdlijn.

    Tijdlijn op kaart weergeven

  6. Beweeg de muisaanwijzer over de tijdlijn om te zien welke dingen in de grafiek op welk moment zijn opgetreden.

    Tijdlijn in kaart gebruiken om waarschuwingen te onderzoeken

Een incident sluiten

Zodra u een bepaald incident hebt opgelost (bijvoorbeeld wanneer uw onderzoek de conclusie heeft bereikt), moet u de status van het incident instellen op Gesloten. Wanneer u dit doet, wordt u gevraagd om het incident te classificeren door de reden op te geven waarom u het wilt sluiten. Deze stap is verplicht. Klik op Classificatie selecteren en kies een van de volgende opties in de vervolgkeuzelijst:

  • Terecht-positief - verdachte activiteit
  • Goedaardig-positief - verdacht maar verwacht
  • Fout-positief - onjuiste waarschuwingslogica
  • Fout-positief - onjuiste gegevens
  • Onbepaald

Schermopname met de classificaties die beschikbaar zijn in de lijst Classificatie selecteren.

Zie Handle false positives in Microsoft Sentinel (Fout-positieven verwerken in Microsoft Sentinel) voor meer informatie over fout-positieven en goedaardige positieven.

Nadat u de juiste classificatie heeft gekozen, voegt u beschrijvende tekst toe in het veld Opmerking. Dit is handig in het geval u wilt teruggaan naar dit incident. Klik op Toepassen wanneer u klaar bent en het incident wordt gesloten.

{alt-text}

Zoeken naar incidenten

Als u snel een specifiek incident wilt vinden, voert u een zoekreeks in het zoekvak boven het raster incidenten in en drukt u op Enter om de lijst met incidenten dienovereenkomstig te wijzigen. Als uw incident niet is opgenomen in de resultaten, kunt u uw zoekopdracht beperken met geavanceerde zoekopties.

Als u de zoekparameters wilt wijzigen, selecteert u de knop Zoeken en selecteert u vervolgens de parameters waar u de zoekopdracht wilt uitvoeren.

Bijvoorbeeld:

Schermopname van het zoekvak en de knop voor incidenten om basis- en/of geavanceerde zoekopties te selecteren.

Incidentzoekingen worden standaard alleen uitgevoerd voor de waarden Incident-id, Titel, Tags, Eigenaar en Productnaam. Schuif in het zoekvenster omlaag in de lijst om een of meer andere parameters te selecteren om te zoeken en selecteer Toepassen om de zoekparameters bij te werken. Selecteer Standaardinstelling instellen om de geselecteerde parameters opnieuw in te stellen op de standaardoptie.

Notitie

Zoekopdrachten in het veld Eigenaar ondersteunen zowel namen als e-mailadressen.

Met geavanceerde zoekopties wordt het zoekgedrag als volgt gewijzigd:

Zoekgedrag Beschrijving
Kleur van zoekknop De kleur van de zoekknop verandert, afhankelijk van de typen parameters die momenteel worden gebruikt in de zoekopdracht.

- Zolang alleen de standaardparameters zijn geselecteerd, is de knop grijs.
- Zodra er verschillende parameters zijn geselecteerd, zoals geavanceerde zoekparameters, wordt de knop blauw.
Automatisch vernieuwen Met geavanceerde zoekparameters voorkomt u dat u selecteert om uw resultaten automatisch te vernieuwen.
Entiteitsparameters Alle entiteitsparameters worden ondersteund voor geavanceerde zoekopdrachten. Bij het zoeken in een entiteitsparameter wordt de zoekopdracht uitgevoerd in alle entiteitsparameters.
Zoeken-tekenreeksen Zoeken naar een tekenreeks met woorden bevat alle woorden in de zoekquery. Zoekreeksen zijn casegevoelig.
Ondersteuning voor werkruimten Geavanceerde zoekopdrachten worden niet ondersteund voor weergaven in meerdere werkruimten tegelijk.
Aantal weergegeven zoekresultaten Wanneer u geavanceerde zoekparameters gebruikt, worden er slechts 50 resultaten tegelijk weergegeven.

Tip

Als u het incident dat u zoekt niet kunt vinden, verwijdert u zoekparameters om uw zoekopdracht uit te vouwen. Als uw zoekresultaten te veel items bevatten, voegt u meer filters toe om uw resultaten te beperken.

Volgende stappen

In dit artikel hebt u geleerd hoe u aan de slag gaat met het onderzoeken van incidenten met behulp van Microsoft Sentinel. Zie voor meer informatie: