Bedreigingsindicatoren gebruiken in analyseregels

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bekrachtig uw analyseregels met uw bedreigingsindicatoren om automatisch waarschuwingen te genereren op basis van de bedreigingsinformatie die u hebt geïntegreerd.

Vereisten

• Bedreigingsindicatoren. Deze kunnen afkomstig zijn van feeds voor bedreigingsinformatie, platforms voor bedreigingsinformatie, bulkimport vanuit een plat bestand of handmatige invoer.

• Gegevensbronnen Gebeurtenissen van uw gegevensconnectors moeten naar uw Sentinel-werkruimte stromen.

• Een analyseregel van de notatie 'TI-kaart...' waarmee u de bedreigingsindicatoren kunt toewijzen die u hebt met de gebeurtenissen die u hebt opgenomen.

Een regel configureren om beveiligingswaarschuwingen te genereren

Hieronder ziet u een voorbeeld van het inschakelen en configureren van een regel voor het genereren van beveiligingswaarschuwingen met behulp van de bedreigingsindicatoren die u hebt geïmporteerd in Microsoft Sentinel. In dit voorbeeld gebruikt u de regelsjabloon met de naam TI-toewijzings-IP-entiteit voor AzureActivity. Deze regel komt overeen met elke bedreigingsindicator van het IP-adrestype met al uw Azure-activiteitsgebeurtenissen. Wanneer er een overeenkomst wordt gevonden, wordt er een waarschuwing gegenereerd, samen met een bijbehorend incident voor onderzoek door uw beveiligingsteam. Voor deze specifieke analyseregel is de Azure Activity-gegevensconnector vereist (om gebeurtenissen op Azure-abonnementsniveau te importeren) en een of beide bedreigingsinformatieconnectors (om bedreigingsindicatoren te importeren). Deze regel wordt ook geactiveerd op geïmporteerde indicatoren of handmatig gemaakte indicatoren.

1. Navigeer vanuit Azure Portal naar de Microsoft Sentinel-service.

2. Kies de werkruimte waarnaar u bedreigingsindicatoren hebt geïmporteerd met behulp van de gegevensconnectors voor bedreigingsinformatie en Azure-activiteitsgegevens met behulp van de Azure Activity-gegevensconnector .

3. Selecteer Analytics in de sectie Configuratie van het menu Microsoft Sentinel.

4. Selecteer het tabblad Regelsjablonen om de lijst met beschikbare analyseregelsjablonen weer te geven.

5. Zoek de regel met de titel TI map IP-entiteit naar AzureActivity en zorg ervoor dat u alle vereiste gegevensbronnen hebt verbonden, zoals hieronder wordt weergegeven.

   

6. Selecteer de TI-toewijzings-IP-entiteit naar AzureActivity-regel en selecteer vervolgens Regel maken om een wizard regelconfiguratie te openen. Configureer de instellingen in de wizard en selecteer vervolgens Volgende: Regellogica >instellen.

   

7. Het regellogicagedeelte van de wizard is vooraf ingevuld met de volgende items:

   • De query die in de regel wordt gebruikt.

   • Entiteitstoewijzingen, waarmee Microsoft Sentinel laat weten hoe u entiteiten zoals Accounts, IP-adressen en URL's herkent, zodat incidenten en onderzoeken begrijpen hoe u kunt werken met de gegevens in eventuele beveiligingswaarschuwingen die door deze regel worden gegenereerd.

   • De planning voor het uitvoeren van deze regel.

   • Het aantal queryresultaten dat nodig is voordat een beveiligingswaarschuwing wordt gegenereerd.

   De standaardinstellingen in de sjabloon zijn:

   • Eenmaal per uur worden uitgevoerd.

   • Koppel alle bedreigingsindicatoren voor IP-adressen uit de tabel ThreatIntelligenceIndicator aan met elk IP-adres dat in het afgelopen uur van gebeurtenissen uit de AzureActivity-tabel is gevonden.

   • Genereer een beveiligingswaarschuwing als de queryresultaten groter zijn dan nul, wat betekent dat er overeenkomsten worden gevonden.

   • De regel is ingeschakeld.

   U kunt de standaardinstellingen laten staan of wijzigen om aan uw vereisten te voldoen en u kunt instellingen voor het genereren van incidenten definiëren op het tabblad Incidentinstellingen . Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie. Wanneer u klaar bent, selecteert u het tabblad Automatisch antwoord .

8. Configureer automatisering die u wilt activeren wanneer een beveiligingswaarschuwing wordt gegenereerd op basis van deze analyseregel. Automatisering in Microsoft Sentinel wordt uitgevoerd met behulp van combinaties van automatiseringsregels en playbooks die mogelijk worden gemaakt door Azure Logic Apps. Zie deze zelfstudie voor meer informatie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel. Wanneer u klaar bent, selecteert u de knop Volgende: Controleren > om door te gaan.

9. Wanneer u het bericht ziet dat de regelvalidatie is geslaagd, selecteert u de knop Maken en bent u klaar.

Uw regels controleren

Zoek uw ingeschakelde regels op het tabblad Actieve regels van de sectie Analytics van Microsoft Sentinel. Hiermee kunt u de actieve regel bewerken, inschakelen, uitschakelen, dupliceren of verwijderen. De nieuwe regel wordt direct uitgevoerd na activering en wordt vervolgens uitgevoerd volgens de gedefinieerde planning.

Elke keer dat de regel volgens de standaardinstellingen wordt uitgevoerd volgens de planning, genereren alle gevonden resultaten een beveiligingswaarschuwing. Beveiligingswaarschuwingen in Microsoft Sentinel kunnen worden weergegeven in de sectie Logboeken van Microsoft Sentinel, in de tabel SecurityAlert onder de groep Microsoft Sentinel .

In Microsoft Sentinel genereren de waarschuwingen die zijn gegenereerd op basis van analyseregels ook beveiligingsincidenten, die te vinden zijn in Incidenten onder Bedreigingsbeheer in het menu Microsoft Sentinel. Incidenten zijn wat uw beveiligingsteams zullen classificeren en onderzoeken om de juiste reactieacties te bepalen. In deze zelfstudie vindt u gedetailleerde informatie: Incidenten onderzoeken met Microsoft Sentinel.

Notitie

Omdat analytische regels zoeken langer dan 14 dagen beperken, vernieuwt Microsoft Sentinel elke 12 dagen indicatoren om ervoor te zorgen dat ze beschikbaar zijn voor overeenkomende doeleinden via de analyseregels.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u bedreigingsinformatie-indicatoren kunt gebruiken om bedreigingen te detecteren. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel:

• Werken met bedreigingsindicatoren in Microsoft Sentinel.
• Verbinding maken Microsoft Sentinel naar STIX/TAXII-feeds voor bedreigingsinformatie.
• Verbinding maken platformen voor bedreigingsinformatie naar Microsoft Sentinel.
• Bekijk welke TIP-platforms, TAXII-feeds en verrijkingen gemakkelijk kunnen worden geïntegreerd met Microsoft Sentinel.