Informatie over bedreigingen in Microsoft Sentinel

Inleiding tot bedreigingsinformatie

Cyber threat intelligence (CTI) is informatie die bekende bestaande of mogelijke bedreigingen voor systemen en gebruikers beschrijft. Dit type informatie heeft veel vormen, van geschreven rapporten met gedetailleerde informatie over de motivaties, infrastructuur en technieken van een bepaalde bedreigingsactoren tot specifieke waarnemingen van IP-adressen, domeinen, bestandshashes en andere artefacten die zijn gekoppeld aan bekende cyberbedreigingen. CTI wordt door organisaties gebruikt om ongebruikelijke activiteiten essentiële context te bieden, zodat beveiligingspersoneel snel actie kan ondernemen om hun personen, informatie en andere assets te beschermen. CTI kunnen worden gebruikt op verschillende plaatsen, zoals opensource-gegevensfeeds, community's voor het delen van bedreigingsinformatie, feeds met commerciële informatie en lokale informatie die worden verzameld tijdens beveiligingsonderzoeken binnen een organisatie.

Binnen een Security Information and Event Management (SIEM)-oplossing, zoals Microsoft Sentinel, zijn bedreigingsindicatoren de meest gebruikte vorm van CTI, ook wel bekend als Indicators of Compromise of IoCs. Bedreigingsindicatoren zijn gegevens die waargenomen artefacten, zoals URL's, bestandshashes of IP-adressen, koppelen aan bekende bedreigingsactiviteiten zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd, omdat deze op grote schaal kan worden toegepast op beveiligingsproducten en automatisering om mogelijke bedreigingen voor een organisatie te detecteren en er bescherming tegen te bieden. In Microsoft Sentinel kunt u bedreigingsindicatoren gebruiken om schadelijke activiteiten in uw omgeving te detecteren en beveiligingsonderzoekers context te bieden om antwoordbeslissingen te kunnen nemen.

Integreer bedreigingsinformatie (TI) in Microsoft Sentinel via de volgende activiteiten:

• Importeer bedreigingsinformatie in Microsoft Sentinel door gegevensconnectoren in te stellen voor verschillende TI-platforms en feeds.

• Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken en op de blade Bedreigingsinformatie van Microsoft Sentinel.

• Detecteer bedreigingen en genereer beveiligingswaarschuwingen en incidenten met behulp van de ingebouwde analyseregelsjablonen op basis van uw geïmporteerde bedreigingsinformatie.

• Visualiseer belangrijke informatie over uw geïmporteerde bedreigingsinformatie in Microsoft Sentinel met de werkmap bedreigingsinformatie.

Microsoft verrijkt alle geïmporteerde bedreigingsinformatie-indicatoren met GeoLocation-en WhoIs-gegevens, die samen met andere indicatorgegevens worden weergegeven.

Bedreigingsinformatie importeren met gegevensconnectoren

Net als alle andere gebeurtenisgegevens in Microsoft Sentinel worden bedreigingsindicatoren geïmporteerd met behulp van gegevensconnectoren. Er zijn twee gegevensconnectoren in Microsoft Sentinel die specifiek worden verstrekt voor bedreigingsindicatoren, Bedreigingsinformatie: TAXII voor STIX-/TAXII-feeds volgens industriestandaard en Threat Intelligence Platforms voor geïntegreerde en gecureerde TI-feeds. U kunt de gegevensconnector alleen of beide connectors samen gebruiken, afhankelijk van waar uw organisatie bedreigingsindicatoren opsyte.

Zie deze catalogus met integraties van bedreigingsinformatie die beschikbaar zijn met Microsoft Sentinel.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de gegevensconnector Threat Intelligence Platforms

Veel organisaties gebruiken OPLOSSINGEN voor het Platform voor bedreigingsinformatie (TIP) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen, de gegevens binnen het platform te cureren en vervolgens te kiezen welke bedreigingsindicatoren moeten worden toegepast op verschillende beveiligingsoplossingen, zoals netwerkapparaten, EDR/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Als uw organisatie gebruikmaakt van een geïntegreerde TIP-oplossing,kunt u met de gegevensconnector Threat Intelligence Platforms uw TIP gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Omdat de TIP-gegevensconnector werkt met de Microsoft Graph Security tiIndicators-API om dit te bereiken, kan deze ook worden gebruikt door elk aangepast platform voor bedreigingsinformatie dat communiceert met de tiIndicators-API om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Beveiligingsoplossingen van Microsoft, zoals Microsoft 365 Defender).

Zie Integrated threat intelligence platform products (Geïntegreerde producten voor bedreigingsinformatieplatformen) voor meer informatie over de TIP-oplossingendie zijn geïntegreerd met Microsoft Sentinel.

Bedreigingsindicatoren importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP of aangepast platform voor bedreigingsinformatie:

1. Een toepassings-id en clientgeheim verkrijgen van uw Azure Active Directory

2. Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in

3. De gegevensconnector Threat Intelligence Platforms inschakelen in Microsoft Sentinel

Zie uw threat intelligence Verbinding maken platform beschikbaar maken voor Microsoft Sentinel voor meer informatie.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de connector Bedreigingsinformatie - TAXII-gegevens

De meest gebruikte industriestandaard voor het verzenden van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren verkrijgt van oplossingen die ondersteuning bieden voor de huidige STIX/TAXII-versie (2.0 of 2.1), kunt u de connector Bedreigingsinformatie - TAXII-gegevens gebruiken om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met de connector Bedreigingsinformatie - TAXII-gegevens kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.

Bedreigingsindicatoren in STIX-indeling importeren in Microsoft Sentinel vanaf een TAXII-server:

1. De API-basis- en verzamelings-id van de TAXII-server ophalen

2. De connector Bedreigingsinformatie - TAXII-gegevens in Microsoft Sentinel inschakelen

Zie Microsoft Sentinel Verbinding maken STIX/TAXII threat intelligence feeds (Informatie over bedreigingsinformatie over STIX/TAXII) voor meer informatie.

Bedreigingsindicatoren weergeven en beheren

U kunt uw geïmporteerde bedreigingsindicatoren bekijken, ongeacht de bronfeed of de gebruikte connector, in de tabel ThreatIntelligenceIndicator (onder de Microsoft Sentinel-groep) in Logboeken waarin al uw Microsoft Sentinel-gebeurtenisgegevens worden opgeslagen. Deze tabel vormt de basis voor query's op bedreigingsinformatie die worden uitgevoerd door andere Functies van Microsoft Sentinel, zoals Analytics en Workbooks.

Uw resultaten moeten er ongeveer uitzien als de voorbeeldbedreigingsindicator die hieronder wordt weergegeven:

U kunt ook uw indicatoren weergeven en beheren op de nieuwe blade Bedreigingsinformatie, die toegankelijk is via het hoofdmenu van Microsoft Sentinel. U kunt uw geïmporteerde bedreigingsindicatoren sorteren, filteren en doorzoeken zonder zelfs maar een Log Analytics-query te schrijven. Met deze functie kunt u ook bedreigingsindicatoren rechtstreeks binnen de Microsoft Sentinel-interface maken en twee van de meest voorkomende beheertaken voor bedreigingsinformatie uitvoeren: het taggen van indicator en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken.

Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groepen, om ze gemakkelijker te vinden. Normaal gesproken kunt u een tag toepassen op indicatoren die betrekking hebben op een bepaald incident of op indicatoren die bedreigingen van een bepaalde bekende actor of bekende aanvalscampagne vertegenwoordigen. U kunt bedreigingsindicatoren afzonderlijk taggen of indicatoren voor meervoudige selectie labelen en ze allemaal tegelijk taggen. Hieronder wordt een voorbeeld weergegeven van het taggen van meerdere indicatoren met een incident-id. Omdat taggen in vrije vorm is, is het raadzaam om standaardnaamconventaties te maken voor tags voor bedreigingsindicatoren. U kunt meerdere tags toepassen op elke indicator.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het weergeven en beheren van bedreigingsindicatoren.

Gegevensverrijkingen voor GeoLocation en WhoIs weergeven (openbare preview)

Microsoft verrijkt elke indicator met extra GeoLocation- en WhoIs-gegevens, waardoor er meer context is voor onderzoeken waarbij de geselecteerde indicator van een compromis (IOC) wordt gevonden.

U kunt geolocatie- en whois-gegevens weergeven in het deelvenster Bedreigingsinformatie voor elke indicator van een compromis dat u in Microsoft Sentinel hebt geïmporteerd.

Gebruik bijvoorbeeld GeoLocation-gegevens om details zoals Organisatie of Land te vinden voor de indicator en WhoIs-gegevens om gegevens zoals Registrar en Record creation data te vinden.

Bedreigingen detecteren met analyses op basis van bedreigingsindicatoren

De belangrijkste use-case voor bedreigingsindicatoren in SIEM-oplossingen zoals Microsoft Sentinel is power analytics-regels voor detectie van bedreigingen. Deze op indicator gebaseerde regels vergelijken onbewerkte gebeurtenissen van uw gegevensbronnen met uw bedreigingsindicatoren om beveiligingsrisico's in uw organisatie te detecteren. In Microsoft Sentinel Analytics maakt u analyseregels die volgens een schema worden uitgevoerd en beveiligingswaarschuwingen genereren. De regels worden aangestuurd door query's, samen met configuraties die bepalen hoe vaak de regel moet worden uitgevoerd, wat voor soort queryresultaten beveiligingswaarschuwingen en incidenten moeten genereren en welke automatiseringen moeten worden uitgevoerd als reactie.

Hoewel u altijd nieuwe analyseregels kunt maken, biedt Microsoft Sentinel een set ingebouwde regelsjablonen, gemaakt door Beveiligingstechnici van Microsoft, die u kunt gebruiken zoals ze zijn of die u kunt aanpassen aan uw behoeften. U kunt gemakkelijk de regelsjablonen identificeren die gebruikmaken van bedreigingsindicatoren, aangezien deze allemaal worden vermeld met de titel 'TI-kaart...'. Al deze regelsjablonen werken op dezelfde manier, waarbij het enige verschil is welk type bedreigingsindicatoren wordt gebruikt (domein, e-mail, bestandshash, IP-adres of URL) en op welk gebeurtenistype moet worden afgestemd. Elke sjabloon bevat de vereiste gegevensbronnen die nodig zijn om de regel te laten functioneren, zodat u in één oogopslag kunt zien of u de benodigde gebeurtenissen al hebt geïmporteerd in Microsoft Sentinel. Wanneer u een bestaande regelsjabloon bewerkt en opgeslagen of een nieuwe regel maakt, is deze standaard ingeschakeld.

U vindt de ingeschakelde regel op het tabblad Actieve regels van de sectie Analyse van Microsoft Sentinel. U kunt de actieve regel daar bewerken, inschakelen, uitschakelen, dupliceren of verwijderen. De nieuwe regel wordt onmiddellijk na activering uitgevoerd en vanaf dat punt wordt uitgevoerd volgens het gedefinieerde schema.

Volgens de standaardinstellingen genereert elke keer dat de regel volgens het schema wordt uitgevoerd, een beveiligingswaarschuwing als er resultaten worden gevonden. Beveiligingswaarschuwingen in Microsoft Sentinel kunnen worden bekeken in de sectie Logboeken van Microsoft Sentinel, in de tabel SecurityAlert onder de Microsoft Sentinel-groep.

In Microsoft Sentinel genereren de waarschuwingen die worden gegenereerd op basis van analyseregels ook beveiligingsincidenten die te vinden zijn in Incidenten onder Bedreigingsbeheer in het menu Microsoft Sentinel. Incidenten zijn wat uw security operations-teams gaan bepalen en onderzoeken om de juiste reactieacties te bepalen. U vindt gedetailleerde informatie in deze zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het gebruik van bedreigingsindicatoren in uw analyseregels.

Werkmappen bieden inzicht in uw bedreigingsinformatie

Werkmappen bieden krachtige interactieve dashboards die u inzicht geven in alle aspecten van Microsoft Sentinel. Bedreigingsinformatie vormt hierop geen uitzondering. U kunt de ingebouwde werkmap Bedreigingsinformatie gebruiken om belangrijke informatie over uw bedreigingsinformatie te visualiseren en u kunt de werkmap eenvoudig aanpassen op basis van de behoeften van uw bedrijf. U kunt zelfs nieuwe dashboards maken die veel verschillende gegevensbronnen combineren, zodat u uw gegevens op unieke manieren kunt visualiseren. Omdat Microsoft Sentinel-werkmappen zijn gebaseerd Azure Monitor werkmappen, is er al uitgebreide documentatie beschikbaar en nog veel meer sjablonen. Een goed begin is dit artikel over het maken van interactieve rapporten met Azure Monitor werkmappen.

Er is ook een uitgebreide community van Azure Monitor-werkmappen op GitHub waar u aanvullende sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.

Zie Work with threat indicators in Microsoft Sentinel (Werken met bedreigingsindicatoren in Microsoft Sentinel)voor meer informatie over het gebruiken en aanpassen van de werkmap met bedreigingsinformatie.

Volgende stappen

In dit document hebt u geleerd over de bedreigingsinformatiemogelijkheden van Microsoft Sentinel, waaronder de blade Bedreigingsinformatie. Zie de volgende artikelen voor praktische richtlijnen over het gebruik van de bedreigingsinformatiemogelijkheden van Microsoft Sentinel:

• Verbinding maken Microsoft Sentinel naar STIX-/TAXII-feeds met bedreigingsinformatie.
• Verbinding maken bedreigingsinformatieplatforms naar Microsoft Sentinel.
• Bekijk welke TIP-platforms, TAXII-feeds en verrijkingen eenvoudig kunnen worden geïntegreerd met Microsoft Sentinel.
• Werken met bedreigingsindicatoren in de Microsoft Sentinel-ervaring.
• Bedreigingen detecteren met ingebouwde of aangepaste analyseregels in Microsoft Sentinel
• Incidenten onderzoeken in Microsoft Sentinel.