Overeenkomende analyses gebruiken om bedreigingen te detecteren

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Profiteer van bedreigingsinformatie die door Microsoft wordt geproduceerd om waarschuwingen en incidenten met hoge kwaliteit te genereren met de Microsoft Defender-bedreigingsinformatie Analytics-regel. Deze ingebouwde regel in Microsoft Sentinel komt overeen met indicatoren met CEF-logboeken (Common Event Format), Windows DNS-gebeurtenissen met domein- en IPv4-bedreigingsindicatoren, syslog-gegevens en meer.

Belangrijk

Overeenkomende analyses zijn momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Vereisten

Als u waarschuwingen en incidenten met hoge kwaliteit wilt produceren, moet een of meer van de ondersteunde gegevensconnectors worden geïnstalleerd, maar er is geen Premium MDTI-licentie vereist. Installeer de juiste oplossingen van de inhoudshub om deze gegevensbronnen te verbinden.

  • Common Event Format (CEF)
  • DNS (Preview)
  • Syslog
  • Office-activiteitenlogboeken
  • Activiteitenlogboeken van Azure

Een schermopname met de gegevensbronverbindingen van de Microsoft Defender-bedreigingsinformatie Analytics-regel.

Afhankelijk van uw gegevensbron kunt u bijvoorbeeld de volgende oplossingen en gegevensconnectors gebruiken.

Oplossing Gegevensconnector
Common Event Format-oplossing voor Sentinel Cef-connector (Common Event Format) voor Microsoft Sentinel
Windows Server DNS DNS-connector voor Microsoft Sentinel
Syslog-oplossing voor Sentinel Syslog-connector voor Microsoft Sentinel
Microsoft 365-oplossing voor Sentinel Office 365-connector voor Microsoft Sentinel
Azure Activity-oplossing voor Sentinel Azure Activity-connector voor Microsoft Sentinel

De overeenkomende analyseregel configureren

Overeenkomende analyses worden geconfigureerd wanneer u de Microsoft Defender-bedreigingsinformatie Analytics-regel inschakelt.

  1. Klik op het menu Analyse in de sectie Configuratie .

  2. Selecteer het menutabblad Regelsjablonen .

  3. Typ bedreigingsinformatie in het zoekvenster.

  4. Selecteer de Microsoft Defender-bedreigingsinformatie Analytics-regelsjabloon.

  5. Klik op Regel maken. De regeldetails zijn alleen-lezen en de standaardstatus van de regel is ingeschakeld.

  6. Klik op Maken> controleren.

Een schermopname van de Microsoft Defender-bedreigingsinformatie Analytics-regel ingeschakeld op het tabblad Actieve regels.

Gegevensbronnen en indicatoren

Microsoft Defender-bedreigingsinformatie (MDTI) Analytics overeenkomt met uw logboeken met domein-, IP- en URL-indicatoren op de volgende manier:

  • CEF-logboeken die zijn opgenomen in de Tabel Log Analytics CommonSecurityLog komen overeen met URL- en domeinindicatoren als deze zijn ingevuld in het RequestURL veld en IPv4-indicatoren in het DestinationIP veld.

  • Windows DNS-logboeken waarin gebeurtenissen SubType == "LookupQuery" die zijn opgenomen in de tabel DnsEvents overeenkomen met domeinindicatoren die zijn ingevuld in het Name veld en IPv4-indicatoren in het IPAddresses veld.

  • Syslog-gebeurtenissen waarbij Facility == "cron" opname in het syslog-tabeldomein en IPv4-indicatoren rechtstreeks vanuit het SyslogMessage veld overeenkomen.

  • Office-activiteitenlogboeken die zijn opgenomen in de OfficeActivity-tabel komen rechtstreeks uit het ClientIP veld overeen met IPv4-indicatoren.

  • Azure-activiteitenlogboeken die zijn opgenomen in de AzureActivity-tabel komen rechtstreeks uit het CallerIpAddress veld overeen met IPv4-indicatoren.

Een incident sorteren dat wordt gegenereerd door overeenkomende analyses

Als de analyse van Microsoft een overeenkomst vindt, worden alle gegenereerde waarschuwingen gegroepeerd in incidenten.

Gebruik de volgende stappen om de incidenten te sorteren die zijn gegenereerd door de Microsoft Defender-bedreigingsinformatie Analytics-regel:

  1. In de Microsoft Sentinel-werkruimte waarin u de Microsoft Defender-bedreigingsinformatie Analytics-regel hebt ingeschakeld, selecteert u Incidenten en zoekt u naar Microsoft Defender-bedreigingsinformatie Analytics.

    Gevonden incidenten worden weergegeven in het raster.

  2. Selecteer Volledige details weergeven om entiteiten en andere details over het incident weer te geven, zoals specifieke waarschuwingen.

    Voorbeeld:

    Schermopname van het incident dat wordt gegenereerd door overeenkomende analyses met het detailvenster.

  3. Bekijk de ernst die is toegewezen aan de waarschuwingen en het incident. Afhankelijk van hoe de indicator overeenkomt, wordt een geschikte ernst toegewezen aan een waarschuwing van waaruit InformationalHigh. Als de indicator bijvoorbeeld overeenkomt met firewalllogboeken waarvoor het verkeer is toegestaan, wordt er een waarschuwing met hoge ernst gegenereerd. Als dezelfde indicator overeenkomt met firewalllogboeken die het verkeer hebben geblokkeerd, zou de gegenereerde waarschuwing laag of gemiddeld zijn.

    Waarschuwingen worden vervolgens gegroepeerd per waarneembare basis van de indicator. Alle waarschuwingen die zijn gegenereerd in een periode van 24 uur die overeenkomen met het contoso.com domein, worden bijvoorbeeld gegroepeerd in één incident met een ernst die is toegewezen op basis van de hoogste ernst van de waarschuwing.

  4. Bekijk de details van de indicator. Wanneer er een overeenkomst wordt gevonden, wordt de indicator gepubliceerd naar de tabel Log Analytics ThreatIntelligenceIndicators en weergegeven op de pagina Bedreigingsinformatie. Voor indicatoren die zijn gepubliceerd op basis van deze regel, wordt de bron gedefinieerd als Microsoft Defender-bedreigingsinformatie Analytics.

Bijvoorbeeld in de tabel ThreatIntelligenceIndicators :

Schermopname van de tabel ThreatIntelligenceIndicator in Log Analytics met een indicator met SourceSystem van Microsoft Threat Intelligence Analytics.

Op de pagina Bedreigingsinformatie :

Schermopname van het overzicht bedreigingsinformatie met indicator geselecteerd met de bron als Microsoft Threat Intelligence Analytics.

Meer context ophalen uit Microsoft Defender-bedreigingsinformatie

Naast waarschuwingen en incidenten met hoge kwaliteit bevatten sommige MDTI-indicatoren een koppeling naar een referentieartikel in de MDTI-communityportal.

Schermopname van een incident met een koppeling naar het MDTI-verwijzingsartikel.

Zie de MDTI-portal en wat is Microsoft Defender-bedreigingsinformatie voor meer informatie?

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u bedreigingsinformatie kunt verbinden die door Microsoft wordt geproduceerd om waarschuwingen en incidenten te genereren. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel: