Wat is Microsoft Sentinel?

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we werken deze pagina's in de komende weken bij. Meer informatie over recente verbeteringen in Microsoft-beveiliging.

Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming, met één oplossing voor detectie van aanvallen, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Microsoft Sentinel is uw kijk op de hele onderneming, waardoor de stress van steeds geavanceerdere aanvallen, het verhogen van de hoeveelheden waarschuwingen en de lange resolutietijdsperioden wordt verhoogd.

  • Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.

  • Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyse en ongeëvenaarde bedreigingsinformatie van Microsoft.

  • Onderzoek bedreigingen met kunstmatige intelligentie en spoor verdachte activiteiten op schaal op met gebruik van de cyberbeveiliging waar Microsoft al jaren aan werkt.

  • Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene taken.

Microsoft Sentinel core capabilities

Microsoft Sentinel is gebaseerd op het volledige scala aan bestaande Azure-services en bevat standaard bewezen basisbeginselen, zoals Log Analytics en Logic Apps. Microsoft Sentinel verrijkt uw onderzoek en detectie met AI en biedt de bedreigingsinformatiestroom van Microsoft en stelt u in staat om uw eigen bedreigingsinformatie mee te nemen.

Verbinden met al uw gegevens

Als u Microsoft Sentinel wilt onboarden, moet u eerst verbinding maken met uw beveiligingsbronnen.

Microsoft Sentinel wordt geleverd met een aantal connectors voor Microsoft-oplossingen, die standaard beschikbaar zijn en realtime integratie bieden, waaronder Microsoft 365 Defender (voorheen Microsoft Threat Protection)-oplossingen en Microsoft 365 bronnen, waaronder Office 365, Azure AD, Microsoft Defender for Identity (voorheen Azure ATP) en Microsoft Defender for Cloud Apps en meer. Daarnaast zijn er ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook de algemene gebeurtenisindeling, Syslog of REST-API gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.

Zie Uw gegevensconnector zoeken voor meer informatie.

Data collectors

Notitie

Deze service ondersteunt Azure Lighthouse, waarmee serviceproviders zich kunnen aanmelden bij een eigen tenant om abonnementen en resourcegroepen te beheren die klanten hebben gedelegeerd.

Werkmappen

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u de gegevens bewaken met behulp van de Microsoft Sentinel-integratie met Azure Monitor Workbooks, wat veelzijdigheid biedt bij het maken van aangepaste werkmappen.

Hoewel werkmappen anders worden weergegeven in Microsoft Sentinel, kan het handig zijn om te zien hoe u interactieve rapporten maakt met Azure Monitor-werkmappen. Met Microsoft Sentinel kunt u aangepaste werkmappen maken op basis van uw gegevens en worden ook ingebouwde werkmapsjablonen geleverd, zodat u snel inzicht krijgt in uw gegevens zodra u verbinding maakt met een gegevensbron.

Dashboards

  • Werkmappen zijn bedoeld voor SOC-technici en analisten van alle lagen om gegevens te visualiseren.

  • Hoewel Werkmappen het beste worden gebruikt voor weergaven op hoog niveau van Microsoft Sentinel-gegevens en geen coderingskennis vereisen, kunt u Werkmappen niet integreren met externe gegevens.

Analyse

Om u te helpen ruis te verminderen en het aantal waarschuwingen dat u moet controleren en onderzoeken te minimaliseren, gebruikt Microsoft Sentinel analyses om waarschuwingen te correleren met incidenten. Incidenten zijn groepen gerelateerde waarschuwingen die samen een mogelijke bedreiging vormen die kan worden onderzocht en opgelost. Gebruik de ingebouwde correlatieregels zoals ze worden geleverd of gebruik ze als beginpunt om uw eigen correlatieregels te maken. Microsoft Sentinel biedt ook machine learning-regels om uw netwerkgedrag toe te wijzen en vervolgens naar afwijkingen in uw resources te zoeken. Deze analyses leggen een link door waarschuwingen met een lage betrouwbaarheid over verschillende entiteiten te combineren tot mogelijke beveiligingsincidenten met een hoge betrouwbaarheid.

Incidents

Indeling van beveiligingsautomatisering &

Automatiseer uw algemene taken en vereenvoudig de beveiligingsindeling met playbooks die zijn geïntegreerd met Azure-services en uw bestaande hulpprogramma's.

De automatiserings- en indelingsoplossing van Microsoft Sentinel, gebouwd op basis van Azure Logic Apps, biedt een zeer uitbreidbare architectuur die schaalbare automatisering mogelijk maakt wanneer er nieuwe technologieën en bedreigingen ontstaan. Als u playbooks wilt maken met Azure Logic Apps, kunt u kiezen uit een steeds groter wordende galerie met ingebouwde playbooks. Dit zijn onder andere meer dan 200 connectors voor services zoals Azure-functies. Met de connectors kunt u aangepaste logica toepassen in code, ServiceNow, Jira, Zendesk, HTTP-aanvragen, Microsoft Teams, Slack, Windows Defender ATP en Defender voor Cloud-apps.

Als u bijvoorbeeld het ServiceNow-ticketsysteem gebruikt, kunt u de meegeleverde hulpprogramma's gebruiken om met Azure Logic Apps uw werkstromen te automatiseren en een ticket in ServiceNow te openen telkens wanneer een bepaalde gebeurtenis wordt gedetecteerd.

Playbooks

  • Playbooks zijn bedoeld voor SOC-technici en analisten van alle lagen, om taken te automatiseren en te vereenvoudigen, waaronder gegevensopname, verrijking, onderzoek en herstel.

  • Playbooks werken het beste met enkele, herhaalbare taken en vereisen geen coderingskennis. Playbooks zijn niet geschikt voor ad-hoc of complexe taakketens, of voor het documenteren en delen van bewijs.

Onderzoek

Momenteel als preview-versie helpen microsoft Sentinel-hulpprogramma's voor diep onderzoek u inzicht te verkrijgen in het bereik en de hoofdoorzaak te vinden van een mogelijke beveiligingsrisico. U kunt een entiteit in de interactieve grafiek kiezen om interessante vragen te stellen voor een specifieke entiteit en inzoomen op deze entiteit en de bijbehorende verbindingen om de hoofdoorzaak van de bedreiging te achterhalen.

Investigation

Zoeken

Gebruik de krachtige zoek- en queryhulpprogramma's van Microsoft Sentinel, op basis van het MITRE-framework, waarmee u proactief beveiligingsrisico's kunt opsporen in de gegevensbronnen van uw organisatie voordat een waarschuwing wordt geactiveerd. Nadat u hebt ontdekt welke opsporingsquery waardevolle inzichten biedt in mogelijke aanvallen, kunt u ook aangepaste detectieregels maken op basis van uw query en deze inzichten weergeven als waarschuwingen voor de beantwoorders van uw beveiligingsincidenten. Tijdens het opsporen kunt u bladwijzers maken voor interessante gebeurtenissen, zodat u er later naar kunt terugkeren, deze met anderen kunt delen en ze kunt groeperen met andere gerelateerde gebeurtenissen om een duidelijk incident te maken voor onderzoek.

Overview of hunting feature

Notebooks

Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning werkruimten, waaronder volledige bibliotheken voor machine learning, visualisatie en gegevensanalyse.

Gebruik notebooks in Microsoft Sentinel om het bereik van wat u kunt doen met Microsoft Sentinel-gegevens uit te breiden. Voer bijvoorbeeld analyses uit die niet zijn ingebouwd in Microsoft Sentinel, zoals sommige Machine Learning-functies van Python, om gegevensvisualisaties te maken die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren, of gegevensbronnen buiten Microsoft Sentinel te integreren, zoals een on-premises gegevensset.

Screenshot of a Sentinel notebook in an AML workspace.

  • Microsoft Sentinel-notebooks zijn bedoeld voor bedreigingsjagers of laag 2-3-analisten, incidentonderzoekers, gegevenswetenschappers en beveiligingsonderzoekers.

  • Notebooks bieden query's voor zowel Microsoft Sentinel als externe gegevens, functies voor gegevensverrijking, onderzoek, visualisatie, opsporing, machine learning en analyse van big data.

  • Notebooks zijn het meest geschikt voor complexere ketens van herhaalbare taken, ad-hoc procedurele besturingselementen, machine learning en aangepaste analyse, ondersteunen uitgebreide Python-bibliotheken voor het bewerken en visualiseren van gegevens, en zijn nuttig bij het documenteren en delen van analysegegevens.

  • Notebooks vereisen een hogere leercurve en coderingskennis en hebben beperkte automatiseringsondersteuning.

Community

De Microsoft Sentinel-community is een krachtige resource voor detectie en automatisering van bedreigingen. Onze Microsoft-beveiligingsanalisten werken voortdurend aan het maken en toevoegen van nieuwe werkmappen, playbooks, opsporingsquery's en meer en plaatsen deze in de community zodat u ze in uw omgeving kunt gebruiken. U kunt voorbeeldinhoud downloaden uit de privécommunity GitHub opslagplaats voor het maken van aangepaste werkmappen, opsporingsquery's, notebooks en playbooks voor Microsoft Sentinel.

Explore the user community

Volgende stappen