Informatie over bedreigingsinformatie in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel is een SIEM-oplossing (Security Information and Event Management) in de cloud met de mogelijkheid om snel bedreigingsinformatie op te halen uit talloze bronnen.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Inleiding tot bedreigingsinformatie

Cyber threat intelligence (CTI) is informatie over bestaande of potentiële bedreigingen voor systemen en gebruikers. Deze intelligentie heeft veel vormen, van geschreven rapporten met informatie over de motivaties, infrastructuur en technieken van een bepaalde bedreigingsacteur tot specifieke waarnemingen van IP-adressen, domeinen, bestands-hashes en andere artefacten die zijn gekoppeld aan bekende cyberbedreigingen. CTI wordt door organisaties gebruikt om essentiële context te bieden voor ongebruikelijke activiteiten, zodat beveiligingspersoneel snel actie kan ondernemen om hun mensen, informatie en assets te beschermen. CTI kan afkomstig zijn van veel plaatsen, zoals opensource-gegevensfeeds, community's voor het delen van bedreigingsinformatie, feeds voor commerciële intelligentie en lokale intelligentie die zijn verzameld tijdens beveiligingsonderzoeken binnen een organisatie.

Voor SIEM-oplossingen zoals Microsoft Sentinel zijn de meest voorkomende vormen van CTI bedreigingsindicatoren, ook wel Bekend als Indicators of Compromise (IoC) of Indicators of Attack (IoA). Bedreigingsindicatoren zijn gegevens die waargenomen artefacten, zoals URL's, bestands-hashes of IP-adressen, koppelen aan bekende bedreigingsactiviteiten, zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd, omdat deze op grote schaal wordt toegepast op beveiligingsproducten en automatisering om potentiële bedreigingen voor een organisatie te detecteren en te beschermen tegen deze bedreigingen. Gebruik bedreigingsindicatoren in Microsoft Sentinel om schadelijke activiteiten te detecteren die in uw omgeving zijn waargenomen en om beveiligingsonderzoekers context te bieden om antwoordbeslissingen te informeren.

Integreer bedreigingsinformatie (TI) in Microsoft Sentinel via de volgende activiteiten:

  • Importeer bedreigingsinformatie in Microsoft Sentinel door gegevensconnectors in te schakelen op verschillende TI-platforms en -feeds.

  • Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken en op de blade Bedreigingsinformatie van Microsoft Sentinel.

  • Bedreigingen detecteren en beveiligingswaarschuwingen en incidenten genereren met behulp van de ingebouwde analyseregelsjablonen op basis van uw geïmporteerde bedreigingsinformatie.

  • Visualiseer belangrijke informatie over uw geïmporteerde bedreigingsinformatie in Microsoft Sentinel met de werkmap Bedreigingsinformatie.

Microsoft verrijkt alle geïmporteerde bedreigingsinformatie-indicatoren met GeoLocation- en Wie Is-gegevens, die samen met andere indicatordetails worden weergegeven.

Bedreigingsinformatie biedt ook nuttige context in andere Microsoft Sentinel-ervaringen, zoals Opsporing en Notebooks. Zie Jupyter Notebooks in Microsoft Sentinel en zelfstudie voor meer informatie: Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Bedreigingsinformatie importeren met gegevensconnectors

Net als alle andere gebeurtenisgegevens in Microsoft Sentinel worden bedreigingsindicatoren geïmporteerd met behulp van gegevensconnectors. Dit zijn de gegevensconnectors in Microsoft Sentinel die specifiek zijn opgegeven voor bedreigingsindicatoren.

  • Microsoft Defender-bedreigingsinformatie gegevensconnector voor het opnemen van bedreigingsindicatoren van Microsoft
  • Bedreigingsinformatie - TAXII voor industriestandaard STIX/TAXII-feeds en
  • Api voor het uploaden van bedreigingsinformatie voor geïntegreerde en gecureerde TI-feeds met behulp van een REST API om verbinding te maken
  • Threat Intelligence Platform-gegevensconnector verbindt ook TI-feeds met behulp van een REST API, maar bevindt zich op het pad voor afschaffing

Gebruik een van deze gegevensconnectors in elke combinatie, afhankelijk van waar bedreigingsindicatoren voor uw organisatie worden gebruikt. Alle drie deze zijn beschikbaar in Content Hub als onderdeel van de oplossing Bedreigingsinformatie . Zie de Vermelding Bedreigingsinformatie van Azure Marketplace voor meer informatie over deze oplossing.

Bekijk ook deze catalogus met integraties van bedreigingsinformatie die beschikbaar zijn met Microsoft Sentinel.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de Microsoft Defender-bedreigingsinformatie-gegevensconnector

Breng high fidelity indicators of compromise (IOC) die zijn gegenereerd door Microsoft Defender-bedreigingsinformatie (MDTI) in uw Microsoft Sentinel-werkruimte. De MDTI-gegevensconnector neemt deze IOC's op met een eenvoudige installatie met één klik. Bewaak, waarschuw en jaag vervolgens op basis van de bedreigingsinformatie op dezelfde manier als u andere feeds gebruikt.

Zie MDTI-gegevensconnector inschakelen voor meer informatie over MDTI-gegevensconnector.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de API-gegevensconnector Bedreigingsinformatie uploadindicatoren

Veel organisaties gebruiken TIP-oplossingen (Threat Intelligence Platform) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met de API-gegevensconnector Threat Intelligence Upload Indicators kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Diagram met het api-importpad voor uploadindicatoren.

Deze gegevensconnector maakt gebruik van een nieuwe API en biedt de volgende verbeteringen:

  • De bedreigingsindicatorvelden zijn gebaseerd op de gestandaardiseerde STIX-indeling.
  • De Microsoft Entra-toepassing vereist alleen de rol Microsoft Sentinel-inzender.
  • Het eindpunt van de API-aanvraag is gericht op werkruimteniveau en de microsoft Entra-toepassingsmachtigingen die vereist zijn, staan gedetailleerde toewijzingen toe op werkruimteniveau.

Zie Verbinding maken uw bedreigingsinformatieplatform met behulp van de API voor uploadindicatoren voor meer informatie

Bedreigingsindicatoren toevoegen aan Microsoft Azure Sentinel met de gegevensconnector Platforms voor bedreigingsinformatie

Net als de bestaande API-gegevensconnector voor uploadindicatoren gebruikt de Threat Intelligence Platform-gegevensconnector een API waarmee uw TIP of aangepaste oplossing indicatoren naar Microsoft Sentinel kan verzenden. Deze gegevensconnector bevindt zich nu echter op een pad voor afschaffing. We raden nieuwe oplossingen aan om te profiteren van de optimalisaties die de API voor uploadindicatoren te bieden heeft.

De TIP-gegevensconnector werkt met de Microsoft Graph Security TiIndicators-API. Het kan ook worden gebruikt door elk aangepast bedreigingsinformatieplatform dat communiceert met de TiIndicators-API om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Microsoft Defender XDR).

Schermopname van het importpad voor bedreigingsinformatie

Zie Geïntegreerde platformproducten voor bedreigingsinformatie voor meer informatie over de TIP-oplossingen die zijn geïntegreerd met Microsoft Sentinel. Zie Verbinding maken uw bedreigingsinformatieplatform voor Microsoft Sentinel voor meer informatie.

Bedreigingsindicatoren toevoegen aan Microsoft Sentinel met de Bedreigingsinformatie - TAXII-gegevensconnector

De meestgebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ophaalt uit oplossingen die ondersteuning bieden voor de huidige STIX/TAXII-versie (2.0 of 2.1), gebruikt u de bedreigingsinformatie - TAXII-gegevensconnector om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met de Threat Intelligence - TAXII-gegevensconnector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.

TAXII-importpad

Als u bedreigingsindicatoren met STIX-indeling wilt importeren in Microsoft Sentinel vanaf een TAXII-server:

  1. De ROOT- en verzamelings-id van de TAXII-server-API ophalen

  2. Bedreigingsinformatie inschakelen - TAXII-gegevensconnector in Microsoft Sentinel

Zie Verbinding maken Microsoft Sentinel naar feeds voor bedreigingsinformatie van STIX/TAXII voor meer informatie.

Uw bedreigingsindicatoren weergeven en beheren

Bekijk en beheer uw indicatoren op de pagina Bedreigingsinformatie . Sorteer, filter en zoek uw geïmporteerde bedreigingsindicatoren zonder zelfs een Log Analytics-query te schrijven. Met deze functie kunt u ook rechtstreeks in de Microsoft Sentinel-interface bedreigingsindicatoren maken en twee van de meest voorkomende beheertaken voor bedreigingsinformatie uitvoeren: indicatorlabels en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken.

Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groeperen om ze gemakkelijker te vinden. Normaal gesproken kunt u een tag toepassen op indicatoren die betrekking hebben op een bepaald incident of op indicatoren die bedreigingen vertegenwoordigen van een bepaalde actor of bekende aanvalscampagne. Tag bedreigingsindicatoren afzonderlijk of indicatoren met meerdere selecties en tag ze allemaal tegelijk. Hier volgt een voorbeeldschermopname van het taggen van meerdere indicatoren met een incident-id. Omdat taggen vrij is, is het raadzaam om standaard naamconventies te maken voor bedreigingsindicatortags. Indicatoren staan het toepassen van meerdere tags toe.

Tags toepassen op bedreigingsindicatoren

Valideer uw indicatoren en bekijk uw geïmporteerde bedreigingsindicatoren uit de Log Analytics-werkruimte met Microsoft Sentinel. In de tabel ThreatIntelligenceIndicator onder het Microsoft Sentinel-schema worden al uw Bedreigingsindicatoren van Microsoft Sentinel opgeslagen. Deze tabel is de basis voor bedreigingsinformatiequery's die worden uitgevoerd door andere Microsoft Sentinel-functies, zoals Analytics en Workbooks.

Hier volgt een voorbeeldweergave van een basisquery voor bedreigingsindicatoren.

Schermopname van de logboekpagina met een voorbeeldquery van de tabel ThreatIntelligenceIndicator.

TI-indicatoren worden opgenomen in de tabel ThreatIntelligenceIndicator van uw Log Analytics-werkruimte als alleen-lezen. Telkens wanneer een indicator wordt bijgewerkt, wordt er een nieuwe vermelding in de tabel ThreatIntelligenceIndicator gemaakt. Alleen de meest recente indicator wordt echter weergegeven op de pagina Bedreigingsinformatie . Microsoft Sentinel ontdubbelt indicatoren op basis van de eigenschappen IndicatorId en SourceSystem en kiest de indicator met de nieuwste TimeGenerated[UTC].

De eigenschap IndicatorId wordt gegenereerd met behulp van de STIX-indicator-id. Wanneer indicatoren worden geïmporteerd of gemaakt op basis van niet-STIX-bronnen, wordt de IndicatorId gegenereerd door de bron en het patroon van de indicator.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het weergeven en beheren van uw bedreigingsindicatoren.

Uw GeoLocation en Wie Is-gegevensverrijkingen weergeven (openbare preview)

Microsoft verrijkt IP- en domeinindicatoren met extra GeoLocation- en Wie Is-gegevens, wat meer context biedt voor onderzoeken waarbij de geselecteerde indicator van inbreuk (IOC) wordt gevonden.

Bekijk GeoLocation- en Wie Is-gegevens in het deelvenster Bedreigingsinformatie voor deze typen bedreigingsindicatoren die zijn geïmporteerd in Microsoft Sentinel.

Gebruik bijvoorbeeld GeoLocation-gegevens om details zoals Organisatie of Land voor een IP-indicator te vinden en Wie Is-gegevens om gegevens te vinden, zoals Registrar en Record maken van gegevens uit een domeinindicator.

Bedreigingen detecteren met bedreigingsindicatoranalyse

De belangrijkste use case voor bedreigingsindicatoren in SIEM-oplossingen, zoals Microsoft Sentinel, is het uitvoeren van analyseregels voor detectie van bedreigingen. Met deze op indicatoren gebaseerde regels worden onbewerkte gebeurtenissen uit uw gegevensbronnen vergeleken met uw bedreigingsindicatoren om beveiligingsrisico's in uw organisatie te detecteren. In Microsoft Sentinel Analytics maakt u analyseregels die volgens een planning worden uitgevoerd en beveiligingswaarschuwingen genereren. De regels worden aangestuurd door query's, samen met configuraties die bepalen hoe vaak de regel moet worden uitgevoerd, welk type queryresultaten beveiligingswaarschuwingen en incidenten moeten genereren en eventueel een geautomatiseerd antwoord activeren.

Hoewel u altijd nieuwe analyseregels kunt maken, biedt Microsoft Sentinel een set ingebouwde regelsjablonen, gemaakt door Beveiligingstechnici van Microsoft, om gebruik te maken van uw bedreigingsindicatoren. Deze ingebouwde regelsjablonen zijn gebaseerd op het type bedreigingsindicatoren (domein, e-mail, bestandshash, IP-adres of URL) en gegevensbrongebeurtenissen die u wilt vergelijken. Elke sjabloon bevat de vereiste bronnen die nodig zijn om de regel te laten functioneren. Hierdoor kunt u eenvoudig bepalen of de benodigde gebeurtenissen al zijn geïmporteerd in Microsoft Sentinel.

Wanneer deze ingebouwde regels worden geactiveerd, wordt standaard een waarschuwing gemaakt. In Microsoft Sentinel genereren de waarschuwingen die zijn gegenereerd op basis van analyseregels ook beveiligingsincidenten die kunnen worden gevonden in Incidenten onder Bedreigingsbeheer in het menu Microsoft Sentinel. Incidenten zijn wat uw beveiligingsteams zullen classificeren en onderzoeken om de juiste reactieacties te bepalen. Gedetailleerde informatie vindt u in deze zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.

Zie Bedreigingsinformatie gebruiken om bedreigingen te detecteren voor meer informatie over het gebruik van bedreigingsindicatoren in uw analyseregels.

Microsoft biedt toegang tot bedreigingsinformatie via de Microsoft Defender-bedreigingsinformatie Analytics-regel. Zie Overeenkomende analyses gebruiken om bedreigingen te detecteren voor meer informatie over het gebruik van deze regel die waarschuwingen en incidenten met hoge kwaliteit genereert

Schermopname van een incident met hoge kwaliteit dat wordt gegenereerd door overeenkomende analyses met aanvullende contextinformatie van MDTI.

Werkmappen bieden inzicht in uw bedreigingsinformatie

Werkmappen bieden krachtige interactieve dashboards waarmee u inzicht krijgt in alle aspecten van Microsoft Sentinel en bedreigingsinformatie is geen uitzondering. Gebruik de ingebouwde werkmap Bedreigingsinformatie om belangrijke informatie over uw bedreigingsinformatie te visualiseren en de werkmap eenvoudig aan te passen aan de behoeften van uw bedrijf. Maak nieuwe dashboards die veel verschillende gegevensbronnen combineren, zodat u uw gegevens op unieke manieren kunt visualiseren. Omdat Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen, is er al uitgebreide documentatie beschikbaar en nog veel meer sjablonen. Een goede plek om te beginnen is dit artikel over het maken van interactieve rapporten met Azure Monitor-werkmappen.

Er is ook een uitgebreide community met Azure Monitor-werkmappen op GitHub om extra sjablonen te downloaden en uw eigen sjablonen bij te dragen.

Zie Werken met bedreigingsindicatoren in Microsoft Sentinel voor meer informatie over het gebruik en aanpassen van de werkmap Bedreigingsinformatie.

Volgende stappen

In dit document hebt u geleerd over de mogelijkheden voor bedreigingsinformatie van Microsoft Sentinel, met inbegrip van de blade Bedreigingsinformatie. Zie de volgende artikelen voor praktische hulp bij het gebruik van de mogelijkheden voor bedreigingsinformatie van Microsoft Sentinel: