Wat is er nieuw in Microsoft Sentinel

  • Artikel
  • 23 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Dit artikel bevat recente functies die zijn toegevoegd voor Microsoft Sentinel en nieuwe functies in gerelateerde services die een verbeterde gebruikerservaring in Microsoft Sentinel bieden.

Als u op zoek bent naar items die ouder zijn dan zes maanden, vindt u deze in Het archief voor Wat is er nieuw in Sentinel? Zie onze Tech Community-blogs voor meer informatie over eerdere geleverde functies.

Belangrijk

Genoteerde functies zijn momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Notitie

Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.

Tip

Onze teams voor het zoeken van bedreigingen in Microsoft dragen query's, playbooks, werkmappen en notebooks bij aan de Microsoft Sentinel-community,inclusief specifieke hunting-query's die uw teams kunnen aanpassen en gebruiken.

U kunt ook bijdragen! Neem deel aan de Microsoft Sentinel Threat Threat GitHub community.

November 2021

Geavanceerde zoekopdracht voor incidenten nu beschikbaar in GA

Zoeken naar incidenten met behulp van de geavanceerde zoekfunctionaliteit is nu algemeen beschikbaar.

De geavanceerde zoekopdracht voor incidenten biedt de mogelijkheid om te zoeken in meer gegevens, waaronder waarschuwingsdetails, beschrijvingen, entiteiten, tactieken en meer.

Zie Zoeken naar incidenten voor meer informatie.

Amazon Web Services S3-connector nu beschikbaar (openbare preview)

U kunt Microsoft Sentinel nu verbinden met uw Amazon Web Services (AWS) S3-opslag bucket om logboeken van verschillende AWS-services op te nemen.

Op dit moment kunt u deze verbinding gebruiken om VPC op te nemen Flow Logs and GuardDuty-bevindingen, evenals AWS CloudTrail.

Zie Microsoft Sentinel Verbinding maken S3 Buckets om gegevens op te halen Amazon Web Services (AWS) voor meer informatie.

Windows Connector voor doorgestuurde gebeurtenissen nu beschikbaar (openbare preview)

U kunt nu gebeurtenislogboeken streamen van Windows-servers die zijn verbonden met uw Azure Sentinel-werkruimte met behulp van Windows Event Collection/Windows Event Forwarding (WEC/WEF), dankzij deze nieuwe gegevensconnector. De connector maakt gebruik van de nieuwe Azure Monitor Agent (AMA), die een aantal voordelen biedt ten opzichte van de verouderde Log Analytics-agent (ook wel bekend als de MMA):

  • Schaalbaarheid: Als u Windows Event Collection (WEC) hebt ingeschakeld, kunt u de Azure Monitor Agent (AMA) installeren op de WEC-computer om logboeken te verzamelen van veel servers met één verbindingspunt.

  • Snelheid: De AMA kan gegevens verzenden met een verbeterde snelheid van 5.000 EPS, waardoor gegevens sneller kunnen worden vernieuwd.

  • Efficiëntie: Met de AMA kunt u complexe REGELS voor gegevensverzameling (DCR) ontwerpen om de logboeken bij de bron te filteren en de exacte gebeurtenissen te kiezen die naar uw werkruimte moeten worden gestreamd. DcR's helpen uw netwerkverkeer en de opnamekosten te verlagen door ongewenste gebeurtenissen weg te laten.

  • Dekking: MET WEC/WEF kunt u Windows-gebeurtenislogboeken verzamelen van verouderde (on-premises en fysieke) servers en ook van computers met hoog gebruik of gevoelige computers, zoals domeincontrollers, waarbij het niet wenselijk is om een agent te installeren.

We raden u aan deze connector te gebruiken met de asimparsers (Azure Sentinel Information Model) geïnstalleerd om volledige ondersteuning voor gegevensnormalisatie te garanderen.

Meer informatie over de connector Windows doorgestuurde gebeurtenissen.

Regels voor bedreigingsdetectie in bijna realtime (NRT) zijn nu beschikbaar (openbare preview)

Wanneer u te maken hebt met beveiligingsrisico's, zijn tijd en snelheid van essentieel belang. U moet rekening houden met bedreigingen wanneer deze zich aan het materialiseren zijn, zodat u ze snel kunt analyseren en erop kunt reageren. De nrt-analyseregels (near-realtime) van Microsoft Sentinel bieden u een snellere detectie van bedreigingen ( dichter bij die van een on-premises SIEM) en de mogelijkheid om reactietijden in specifieke scenario's te verkorten.

De bijna realtime analyseregels van Microsoft Sentinel bieden de meest geavanceerde detectie van bedreigingen. Dit type regel is ontworpen om zeer responsief te zijn door de query met intervallen van slechts één minuut uit te voeren.

Meer informatie over NRT-regels en hoe u deze kunt gebruiken.

Fusion Engine detecteert nu opkomende en onbekende bedreigingen (openbare preview)

Naast het detecteren van aanvallen op basis van vooraf gedefinieerde scenario's, kan de ML-fusion-engine van Microsoft Sentinel u helpen de opkomende en onbekende bedreigingen in uw omgeving te vinden door uitgebreide ML-analyse toe te passen en een breder bereik van afwijkende signalen te correlereren, terwijl de waarschuwingsmoeheid laag blijft.

De algoritmen van de fusion-engine ML voortdurend leren van bestaande aanvallen en passen analyses toe op basis van hoe beveiligingsanalisten denken. Het kan daarom eerder niet-gedetecteerde bedreigingen van miljoenen afwijkende gedragingen in de kill chain in uw omgeving detecteren, waardoor u aanvallers een stap voor kunt blijven.

Meer informatie over Fusion voor opkomende bedreigingen.

Bovendien is de Fusion Analytics-regel nu beter te configureren,wat de verbeterde functionaliteit weerspiegelt.

Aanbevelingen voor het afstemmen van uw analyseregels krijgen (openbare preview)

Het afstemmen van de regels voor de detectie van bedreigingen in uw SIEM kan een moeilijk, continu proces zijn om te balanceren tussen het maximaliseren van uw dekking voor bedreigingsdetectie en het minimaliseren van fout-positieven. Microsoft Sentinel vereenvoudigt en stroomlijnt dit proces door machine learning te gebruiken voor het analyseren van miljarden signalen van uw gegevensbronnen, evenals uw reacties op incidenten gedurende een bepaalde periode, het afleiden van patronen en het bieden van toe te passen aanbevelingen en inzichten waarmee u uw afstemmingsoverhead aanzienlijk kunt verlagen en u kunt richten op het detecteren en reageren op werkelijke bedreigingen.

Aanbevelingen en inzichten afstemmen zijn nu ingebouwd in uw analyseregels.

Gratis proefversie-updates

De gratis proefversie van Microsoft Sentinel blijft nieuwe of bestaande Log Analytics-werkruimten de eerste 31 dagen zonder extra kosten ondersteunen. We ontwikkelen onze huidige gratis proefversie met de volgende updates:

  • Nieuwe Log Analytics-werkruimten kunnen de eerste 31 dagen gratis maximaal 10 GB/dag aan logboekgegevens opnemen. Nieuwe werkruimten bevatten werkruimten die minder dan drie dagen oud zijn.

    Er worden geen kosten in rekening gebracht voor zowel Log Analytics-gegevens opnemen als Microsoft Sentinel tijdens de proefperiode van 31 dagen. Deze gratis proefversie is onderworpen aan een limiet van 20 werkruimten per Azure-tenant.

  • Bestaande Log Analytics-werkruimten kunnen Microsoft Sentinel zonder extra kosten inschakelen. Bestaande werkruimten bevatten werkruimten die meer dan drie dagen geleden zijn gemaakt.

    Alleen de kosten voor Microsoft Sentinel worden niet in rekening gebracht tijdens de proefperiode van 31 dagen.

Gebruik buiten deze limieten wordt in rekening gebracht volgens de prijzen die worden vermeld op de pagina met Microsoft Sentinel-prijzen. Kosten met betrekking tot extra mogelijkheden voor automatisering en Bring Your Own Machine learning zijn nog steeds van toepassing tijdens de gratis proefversie.

Tip

Zoek tijdens uw gratis proefversie resources voor kostenbeheer, training en meer op de nieuwsgidsen & > tabblad Gratis proefversie in Microsoft Sentinel. Dit tabblad bevat ook details over de datums van uw gratis proefversie en het aantal dagen dat u nog hebt totdat deze verloopt.

Zie Kosten plannen en beheren voor Microsoft Sentinel voor meer informatie.

Inhoudshub en nieuwe oplossingen (openbare preview)

Microsoft Sentinel biedt nu een Content Hub, een centrale locatie voor het vinden en implementeren van out-of-the-box (ingebouwde) inhoud en oplossingen voor uw Microsoft Sentinel-werkruimte. Zoek de inhoud die u nodig hebt door te filteren op inhoudstype, ondersteuningsmodellen, categorieën en meer, of gebruik de krachtige zoekfunctie voor tekst.

Selecteer inhoudshub onder Inhoudsbeheer. Selecteer een oplossing om aan de rechterkant meer details weer te geven en klik vervolgens op Installeren om deze in uw werkruimte te installeren.

Schermopname van de nieuwe Microsoft Sentinel-inhoudshub.

De volgende lijst bevat belangrijke nieuwe, out-of-the-box-oplossingen die zijn toegevoegd aan de Content Hub:

  • Trainingslab voor Microsoft Sentinel
  • Cisco ASA
  • Cisco Duo Security
  • Cisco Meraki
  • Cisco StealthWatch
  • Digital Guardian
  • 365 Dynamics
  • GCP Cloud DNS
  • GCP CloudMonitor
  • GCP-identiteits- en toegangsbeheer
  • HadoForce
  • FireEye NX
  • Flare Systems Firework
  • Forescout
  • Fortinet Fortigate
  • Imperva Cloud FAW
  • Risicobeheer van insiders
  • IronNet CyberSecurity Iron Defense
  • Lookout
  • McAfee Network Security Platform
  • Microsoft MITRE ATT&CK Solution for Cloud
  • Palo Alto PAN-OS
  • Rapid7 Nexpose/Insight-VM
  • ReversingLabs
  • RSA SecurID
  • Semperis
  • Tenable Nessus Scanner
  • Vectra Stream
  • Zero Trust

Zie voor meer informatie:

Continue implementatie vanuit uw inhouds opslagplaatsen inschakelen (openbare preview)

De nieuwe pagina Microsoft Sentinel-opslagplaatsen biedt de mogelijkheid om uw aangepaste inhoud te beheren en implementeren vanuit GitHub- of Azure DevOps-opslagplaatsen, als alternatief voor het beheren ervan in de Azure Portal. Deze mogelijkheid introduceert een meer gestroomlijnde en geautomatiseerde benadering voor het beheren en implementeren van inhoud in Microsoft Sentinel-werkruimten.

Als u uw aangepaste inhoud opgeslagen in een externe opslagplaats om deze buiten Microsoft Sentinel te onderhouden, kunt u die opslagplaats nu verbinden met uw Microsoft Sentinel-werkruimte. Inhoud die u toevoegt, maakt of bewerkt in uw opslagplaats, wordt automatisch geïmplementeerd in uw Microsoft Sentinel-werkruimten en is zichtbaar in de verschillende Microsoft Sentinel-galerieën, zoals de pagina's Analyse, Hunting of Workbooks.

Zie Aangepaste inhoud implementeren vanuit uw opslagplaats voor meer informatie.

Verrijkte bedreigingsinformatie met geolocatie- en whois-gegevens (openbare preview)

Alle bedreigingsinformatiegegevens die u bij Microsoft Sentinel binnen brengt via gegevensconnectoren en playbooks voor logische apps, of die u in Microsoft Sentinel maakt, worden nu automatisch verrijkt met GeoLocation- en WhoIs-informatie.

GeoLocation- en WhoIs-gegevens kunnen meer context bieden voor onderzoeken waarbij de geselecteerde indicator van een compromis (IOC) wordt gevonden.

Gebruik bijvoorbeeld GeoLocation-gegevens om details zoals Organisatie of Land te vinden voor de indicator en WhoIs-gegevens om gegevens zoals Registrar en Record creation data te vinden.

U kunt GeoLocation- en WhoIs-gegevens bekijken in het deelvenster Bedreigingsinformatie voor elke indicator van een compromis dat u in Microsoft Sentinel hebt geïmporteerd. Aan de rechterkant worden details voor de indicator weergegeven, met inbegrip van gegevens over geolocatie en whois die beschikbaar zijn.

Bijvoorbeeld:

Schermopname van details van de indicator, inclusief GeoLocation- en WhoIs-gegevens.

Tip

De informatie over geolocatie en whois is afkomstig van de Microsoft Threat Intelligence-service, die u ook kunt openen via de API. Zie Entiteiten verrijken met geolocatiegegevens via API voor meer informatie.

Zie voor meer informatie:

Notebooks gebruiken met Azure Synapse Analytics in Microsoft Sentinel (openbare preview)

Microsoft Sentinel integreert nu Jupyter-notebooks met Azure Synapse voor grootschalige scenario's voor beveiligingsanalyse.

Tot nu toe zijn Jupyter-notebooks in Microsoft Sentinel geïntegreerd met Azure Machine Learning. Deze functionaliteit biedt ondersteuning voor gebruikers die notebooks, populaire opensource machine learning-toolkits en bibliotheken zoals TensorFlow, evenals hun eigen aangepaste modellen, willen opnemen in beveiligingswerkstromen.

De nieuwe Azure Synapse biedt extra analytische pk's, zoals:

  • Beveiligingsanalyse big data, met behulp van een voor kosten geoptimaliseerde, volledig beheerde Azure Synapse Apache Spark rekengroep.

  • Rendabele Data Lake-toegang voor het bouwen van analyses op historische gegevens via Azure Data Lake Storage Gen2. Dit is een set mogelijkheden die is toegewezen aan big data-analyses, gebouwd op basis van Azure Blob Storage.

  • Flexibiliteit om gegevensbronnen te integreren in werkstromen voor beveiligingsbewerkingen vanuit meerdere bronnen en indelingen.

  • PySpark, een op Python gebaseerde API voor het gebruik van het Spark-framework in combinatie met Python, waardoor u minder hoeft te leren over een nieuwe programmeertaal als u al bekend bent met Python.

Ter ondersteuning van deze integratie hebben we de mogelijkheid toegevoegd om rechtstreeks vanuit Microsoft Sentinel Azure Synapse werkruimte te maken en te starten. We hebben ook nieuwe voorbeeldnote notebooks toegevoegd om u te helpen bij het configureren van de Azure Synapse-omgeving, het instellen van een pijplijn voor continue gegevensexport van Log Analytics naar Azure Data Lake Storage en het vervolgens op schaal zoeken van die gegevens.

Zie Notebooks integreren met Azure Synapse voor meer Azure Synapse.

Gebied verbeterde notebooks in Microsoft Sentinel

Het gebied Notebooks in Microsoft Sentinel heeft nu ook een tabblad Overzicht, waar u basisinformatie over notebooks kunt vinden en een nieuwe kolom Notebooktypen op het tabblad Sjablonen om het type van elk weergegeven notebook aan te geven. Notebooks kunnen bijvoorbeeld typen Aan de slag, Configuratie, Hunting en nu Synapse hebben.

Bijvoorbeeld:

Schermopname van de nieuwe Azure Synapse functionaliteit op de pagina Notebooks.

Zie Jupyter-notebooks gebruiken omte zoeken naar beveiligingsrisico's voor meer informatie.

Naamswijziging van Microsoft Sentinel

Vanaf november 2021 krijgt Azure Sentinel de naam Microsoft Sentinel en ziet u toekomstige updates in de portal, documentatie en andere resources parallel.

Eerdere vermeldingen in dit artikel en het oudere Archief voor Wat is er nieuw in Sentinel blijven de naam Azure Sentinel gebruiken, omdat dat de servicenaam was toen deze functies nieuw waren.

Zie onze blog over recente beveiligingsverbeteringen voor meer informatie.

Honeytokens Azure Key Vault en bewaken met Azure Sentinel

Met de nieuwe Azure Sentinel Deception-oplossing kunt u op schadelijke activiteiten in uw sleutelkluizen letten door u te helpen bij het implementeren van coderingssleutels en geheimen, honeytokens genoemd, in geselecteerde Azure-sleutelkluizen.

Na de geïmplementeerde toegang of bewerking met de honeytokensleutels en geheimen worden incidenten gegenereerd die u in de Azure Sentinel.

Omdat er geen reden is om honeytokensleutels en -geheimen daadwerkelijk te gebruiken, kunnen vergelijkbare activiteiten in uw werkruimte schadelijk zijn en moeten deze worden onderzocht.

De Azure Sentinel Deception-oplossing bevat een werkmap om u te helpen de honeytokens op schaal of één voor één te implementeren, watchlists om de gemaakte honeytokens bij te houden en analyseregels om zo nodig incidenten te genereren.

Zie Deploy and monitor Azure Key Vault honeytokens with Azure Sentinel (Public preview) (Honeytokensimplementeren en bewaken met Azure Sentinel (openbare preview) voor meer informatie.

Oktober 2021

Windows-beveiliging Events connector using Azure Monitor Agent now in GA

De nieuwe versie van de Windows-beveiliging Events-connector, op basis van de Azure Monitor Agent, is nu algemeen beschikbaar. Zie Verbinding maken servers Windows beveiligingsgebeurtenissen te verzamelen voor meer informatie.

Defender for Office 365-gebeurtenissen nu beschikbaar in de Microsoft 365 Defender-connector (openbare preview)

Naast de gebeurtenissen van Microsoft Defender for Endpoint kunt u nu onbewerkte geavanceerde hunting-gebeurtenissen van Microsoft Defender voor Office 365 opnemen via de Microsoft 365 Defender-connector. Meer informatie.

Een playbook-sjabloon is een vooraf gebouwde, geteste en gebruiksklaar werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.

Playbooksjablonen zijn ontwikkeld door de Sentinel-community, onafhankelijke softwareleveranciers (ISV's) en de eigen experts van Microsoft. U vindt deze op het tabblad Playbook-sjablonen (onder Automation), als onderdeel van een Azure Sentinel-oplossing ofin de Azure Sentinel GitHub-opslagplaats.

Zie Playbooks maken en aanpassen op basis van ingebouwde sjablonen voor meer informatie.

Sjabloonversies voor uw geplande analyseregels beheren (openbare preview)

Wanneer u analyseregels maakt op basis van ingebouwde Azure Sentinel regelsjablonen,maakt u effectief een kopie van de sjabloon. Vanaf dat moment wordt de actieve regel niet dynamisch bijgewerkt zodat deze overeen komt met wijzigingen die worden aangebracht in de oorspronkelijke sjabloon.

Regels die zijn gemaakt op basis van sjablonen onthouden echter wel van welke sjablonen ze afkomstig zijn, waardoor u twee voordelen hebt:

  • Als u wijzigingen in een regel hebt aangebracht bij het maken van een sjabloon (of op elk moment daarna), kunt u de regel altijd terugdraaien naar de oorspronkelijke versie (als een kopie van de sjabloon).

  • U kunt een melding ontvangen wanneer een sjabloon wordt bijgewerkt en u hebt de keuze om uw regels bij te werken naar de nieuwe versie van hun sjablonen of deze te laten zoals ze zijn.

Meer informatie over het beheren van dezetaken en waar u rekening mee moet houden. Deze procedures zijn van toepassing op geplande analyseregels die zijn gemaakt op basis van sjablonen.

DHCP-normaliseringsschema (openbare preview)

Het Advanced SIEM Information Model (ASIM) ondersteunt nu een DHCP-normaliseringsschema, dat wordt gebruikt om gebeurtenissen te beschrijven die door een DHCP-server worden gerapporteerd en door Azure Sentinel wordt gebruikt om bronagnostische analyses in te stellen.

Gebeurtenissen die worden beschreven in het DHCP-normaliseringsschema omvatten het verwerken van aanvragen voor DHCP IP-adressen die zijn geleased van clientsystemen en het bijwerken van een DNS-server met de verleende leases.

Zie voor meer informatie:

September 2021

Nieuw in docs: documentatie over gegevensconnector schalen

Naarmate we steeds meer ingebouwde gegevensconnectoren voor Azure Sentinel toevoegen, hebben we onze documentatie voor de gegevensconnector opnieuw ingedeeld om deze schaalbaarheid weer te geven.

Voor de meeste gegevensconnectoren hebben we volledige artikelen vervangen waarin een afzonderlijke connector wordt beschreven door een reeks algemene procedures en een volledig overzicht van alle momenteel ondersteunde connectors.

Controleer de Azure Sentinel gegevensconnectoren voor meer informatie over uw connector, inclusief verwijzingen naar de relevante algemene procedure, evenals extra informatie en configuraties die vereist zijn.

Zie voor meer informatie:

Azure Storage accountconnector wijzigen

Vanwege enkele wijzigingen die zijn aangebracht in Azure Storage accountresourceconfiguratie zelf, moet de connector ook opnieuw worden geconfigureerd. De resource van het opslagaccount (bovenliggend) heeft andere (onderliggende) resources voor elk type opslag: bestanden, tabellen, wachtrijen en blobs.

Wanneer u diagnostische gegevens configureert voor een opslagaccount, moet u op zijn beurt het volgende selecteren en configureren:

  • De resource van het bovenliggende account, die de metrische gegevens voor transactie exporteert.
  • Elk van de onderliggende resources van het opslagtype, die alle logboeken en metrische gegevens exporteren (zie de bovenstaande tabel).

U ziet alleen de opslagtypen waar u daadwerkelijk resources voor hebt gedefinieerd.

Schermopname van Azure Storage configuratie van diagnostische gegevens.

Augustus 2021

Geavanceerd zoeken naar incidenten (openbare preview)

Standaard worden incidentzoekingen alleen uitgevoerd voor de waarden Incident-id, Titel, Tags, Eigenaar en Productnaam. Azure Sentinel biedt nu geavanceerde zoekopties om te zoeken in meer gegevens, waaronder waarschuwingsdetails, beschrijvingen, entiteiten, tactieken en meer.

Bijvoorbeeld:

Schermopname van geavanceerde zoekopties op de pagina Incidenten.

Zie Zoeken naar incidenten voor meer informatie.

Samenvoegingsdetectie voor ransomware (openbare preview)

Azure Sentinel biedt nu nieuwe Fusion-detecties voor mogelijke ransomware-activiteiten, waarbij incidenten worden gegenereerd met de naam Meerdere waarschuwingen die mogelijk zijn gerelateerd aan ransomware-activiteit gedetecteerd.

Incidenten worden gegenereerd voor waarschuwingen die mogelijk zijn gekoppeld aan ransomware-activiteiten, wanneer deze zich voordoen tijdens een bepaald tijdsbestek, en zijn gekoppeld aan de fasen uitvoering en verdedigingsontwijking van een aanval. U kunt de waarschuwingen in het incident gebruiken om de technieken te analyseren die mogelijk door aanvallers worden gebruikt om een host/apparaat te compromitteerd en detectie te omzeilen.

Ondersteunde gegevensconnectoren zijn onder andere:

Zie Multiple alerts possibly related to Ransomware activity detected (Meerdere waarschuwingen mogelijk gerelateerd aan ransomware-activiteit gedetecteerd) voor meer informatie.

Watchlist-sjablonen voor UEBA-gegevens (openbare preview)

Azure Sentinel biedt nu ingebouwde watchlist-sjablonen voor UEBA-gegevens, die u kunt aanpassen voor uw omgeving en kunt gebruiken tijdens onderzoeken.

Nadat UEBA-watchlists zijn gevuld met gegevens, kunt u die gegevens correleren met analyseregels, deze weergeven op de entiteitspagina's en onderzoeksgrafieken als inzichten, aangepaste toepassingen maken, zoals vip- of gevoelige gebruikers bijhouden, en meer.

Watchlist-sjablonen omvatten momenteel:

  • VIP-gebruikers. Een lijst met gebruikersaccounts van werknemers met een hoge impactwaarde in de organisatie.
  • Beëindigde werknemers. Een lijst met gebruikersaccounts van werknemers die zijn beëindigd of op het punt staan te worden beëindigd.
  • Serviceaccounts. Een lijst met serviceaccounts en hun eigenaren.
  • Identiteitscorrelatie. Een lijst met gerelateerde gebruikersaccounts die tot dezelfde persoon behoren.
  • Activa met hoge waarde. Een lijst met apparaten, resources of andere assets die een kritieke waarde hebben in de organisatie.
  • Netwerktoewijzing. Een lijst met IP-subnetten en hun respectieve organisatiecontexten.

Zie Create a new watchlist using a template (Een nieuwe watchlist maken met behulp van een sjabloon) en Built-in watchlist schemas (Ingebouwde watchlistschema's) voor meer informatie.

Normaliseringsschema bestandsgebeurtenissen (openbare preview)

Het Azure Sentinel Information Model (ASIM) ondersteunt nu een normaliseringsschema voor bestandsgebeurtenissen, dat wordt gebruikt om bestandsactiviteiten te beschrijven, zoals het maken, wijzigen of verwijderen van bestanden of documenten. Bestandsgebeurtenissen worden gerapporteerd door besturingssystemen, bestandsopslagsystemen zoals Azure Files en documentbeheersystemen zoals Microsoft SharePoint.

Zie voor meer informatie:

Nieuw in docs: Richtlijnen voor best practice

Als reactie op meerdere aanvragen van klanten en onze ondersteuningsteams hebben we een reeks richtlijnen best practice onze documentatie toegevoegd.

Zie voor meer informatie:

Tip

Meer richtlijnen die aan onze documentatie zijn toegevoegd, vindt u in relevante conceptuele artikelen en artikelen met instructies. Zie Best practice references (Best practice-verwijzingen) voor meer informatie.

Juli 2021

Microsoft Threat Intelligence Matching Analytics (openbare preview)

Azure Sentinel biedt nu de ingebouwde Microsoft Threat Intelligence Matching Analytics-regel, die overeenkomt met door Microsoft gegenereerde bedreigingsinformatiegegevens met uw logboeken. Deze regel genereert waarschuwingen en incidenten met een hoge betrouwbaarheid, met de juiste ernst op basis van de context van de gedetecteerde logboeken. Nadat er een overeenkomst is gedetecteerd, wordt de indicator ook gepubliceerd naar Azure Sentinel opslagplaats voor bedreigingsinformatie.

De microsoft Threat Intelligence Matching Analytics-regel komt momenteel overeen met domeinindicatoren met de volgende logboekbronnen:

Zie Bedreigingen detecteren met overeenkomende analyses (openbare preview) voor meer informatie.

Azure AD-gegevens gebruiken met Azure Sentinel IdentityInfo-tabel (openbare preview)

Omdat aanvallers vaak de eigen gebruikers- en serviceaccounts van de organisatie gebruiken, zijn gegevens over deze gebruikersaccounts, met inbegrip van de gebruikersidentificatie en bevoegdheden, van cruciaal belang voor de analisten in het proces van een onderzoek.

Als UEBA nu is ingeschakeld in uw Azure Sentinel werkruimte, worden ook Azure AD-gegevens gesynchroniseerd naar de nieuwe tabel IdentityInfo in Log Analytics. Synchronisaties tussen uw Azure AD en de tabel IdentifyInfo maken een momentopname van uw gebruikersprofielgegevens met gebruikersmetagegevens, groepsgegevens en de Azure AD-rollen die aan elke gebruiker zijn toegewezen.

Gebruik de tabel IdentityInfo tijdens onderzoeken en bij het afstemmen van analyseregels voor uw organisatie om fout-positieven te verminderen.

Zie de tabel IdentityInfo in de naslaginformatie over UEBA-verrijkingen en UEBA-gegevensgebruiken om fout-positieven te analyseren voor meer informatie.

Entiteiten verrijken met geolocatiegegevens via API (openbare preview)

Azure Sentinel biedt nu een API om uw gegevens te verrijken met geolocatie-informatie. Geolocatiegegevens kunnen vervolgens worden gebruikt voor het analyseren en onderzoeken van beveiligingsincidenten.

Zie Entiteiten in Azure Sentinel verrijken met geolocatiegegevens via REST API (openbare preview) en Gegevens classificeren en analyseren met behulp van entiteiten in Azure Sentinel .

Ondersteuning voor ADX-query's tussen resources (openbare preview)

De hunting-ervaring in Azure Sentinel ondersteunt nu ADX-query's voor meerdere resources.

Hoewel Log Analytics de primaire gegevensopslaglocatie blijft voor het uitvoeren van analyses met Azure Sentinel, zijn er gevallen waarin ADX vereist is voor het opslaan van gegevens vanwege kosten, bewaarperioden of andere factoren. Op deze manier kunnen klanten een bredere set gegevens zoeken en de resultaten bekijken in de Azure Sentinel-opsporingservaringen,waaronder opsporingsquery's, livestreamen de zoekpagina van Log Analytics.

Als u query's wilt uitvoeren op gegevens die zijn opgeslagen in ADX-clusters, gebruikt u de functie adx() om het ADX-cluster, de databasenaam en de gewenste tabel op te geven. U kunt vervolgens net als elke andere tabel een query uitvoeren op de uitvoer. Zie de bovenstaande pagina's voor meer informatie.

Watchlists zijn algemeen beschikbaar

De functie watchlists is nu algemeen beschikbaar. Gebruik watchlists om waarschuwingen te verrijken met bedrijfsgegevens, om allowlists of blocklists te maken waarvoor toegangsgebeurtenissen moeten worden gekeken en om bedreigingen te onderzoeken en waarschuwingsmoeheid te verminderen.

Ondersteuning voor gegevenslocatie in meer geografische regio's

Azure Sentinel ondersteunt nu volledige gegevenslocatie in de volgende aanvullende geografische regio's:

Brazilië, Zwitserland, Zuid-Afrika, Korea, Duitsland, Verenigde Arabische Republieken (VAE) en Zwitserland.

Zie de volledige lijst met ondersteunde geografische regio's voor gegevenslocatie.

Bidirectionele synchronisatie in Azure Defender-connector (openbare preview)

De Azure Defender biedt nu ondersteuning voor bi-directionele synchronisatie van de status van waarschuwingen tussen Defender en Azure Sentinel. Wanneer u een Sentinel-incident met een Defender-waarschuwing sluit, wordt de waarschuwing ook automatisch gesloten in de Defender-portal.

Zie deze volledige beschrijving van de bijgewerkte Azure Defender-connector.

Juni 2021

Upgrades voor normalisatie en het Azure Sentinel Information Model

Met Azure Sentinel Information Model kunt u bronagnostische inhoud gebruiken en maken, waardoor uw analyse van de gegevens in Azure Sentinel werkruimte wordt vereenvoudigd.

In de update van deze maand hebben we onze documentatie over normalisatie verbeterd, met nieuwe detailniveaus en volledige DNS-, procesgebeurtenis- en verificatienormalisatieschema's.

Zie voor meer informatie:

Bijgewerkte service-naar-service-connectors

Twee van onze meest gebruikte connectors hebben grote upgrades nodig.

  • De connector voor Windows-beveiligingsgebeurtenissen (openbare preview) is nu gebaseerd op de nieuwe Azure Monitor Agent (AMA), waardoor u veel meer flexibiliteit hebt bij het kiezen welke gegevens u wilt opnemen en u maximale zichtbaarheid tegen minimale kosten kunt bieden.

  • De connector voor Azure-activiteitenlogboeken is nu gebaseerd op de pijplijn met diagnostische instellingen, zodat u volledigere gegevens hebt, een aanzienlijk lagere opnamevertraging en betere prestaties en betrouwbaarheid.

De upgrades zijn niet automatisch. Gebruikers van deze connectors worden aangemoedigd om de nieuwe versies in teschakelen.

Analyseregels exporteren en importeren (openbare preview)

U kunt nu uw analyseregels exporteren naar JSON-indeling Azure Resource Manager-sjabloonbestanden (ARM) en regels importeren uit deze bestanden als onderdeel van het beheren en beheren van uw Azure Sentinel-implementaties als code. Elk type analyseregel, niet alleen Gepland, kan worden geëxporteerd naar een ARM-sjabloon. Het sjabloonbestand bevat alle informatie van de regel, van de query tot de toegewezen MITRE ATT-&CK-tactieken.

Zie Analyseregels exporteren en importeren van en naar ARM-sjablonen voor meer informatie.

Verrijking van waarschuwingen: waarschuwingsdetails (openbare preview)

Naast het verrijken van uw waarschuwingsinhoud met entiteitstoewijzing en aangepaste details, kunt u nu de manier aanpassen waarop waarschuwingen , en bij uitbreiding, incidenten, worden weergegeven en weergegeven, op basis van hun specifieke inhoud. Net als de andere functies voor het verrijken van waarschuwingen, kan dit worden geconfigureerd in de wizard voor analyseregel.

Zie Waarschuwingsdetails aanpassen inAzure Sentinel.

Meer hulp voor playbooks.

Met twee nieuwe documenten kunt u aan de slag of vertrouwder worden met het maken en werken met playbooks.

  • Verificatie van playbooks voor Azure Sentinel helpt u inzicht te krijgen in de verschillende verificatiemethoden waarmee Logic Apps-gebaseerde playbooks verbinding kunnen maken met en toegang kunnen krijgen tot informatie in Azure Sentinel en wanneer ze geschikt zijn om ze allemaal te gebruiken.
  • Met triggers en acties in playbooks wordt het verschil uitgelegd tussen de incidenttrigger en de waarschuwingstrigger en welke wanneer moet worden gebruikt, en ziet u enkele van de verschillende acties die u in playbooks kunt uitvoeren als reactie op incidenten, waaronder toegang tot de informatie in aangepaste details.

Playbook-documentatie behandelt ook expliciet het MSSP-scenario met meerdere tenants.

Nieuwe documentatie opnieuw indelen

Deze maand hebben we onze documentatie voor Azure Sentinel herstructureren in intuïtieve categorieën die volgen op veelvoorkomende klanttrajecten. Gebruik de gefilterde documenten zoeken en de bijgewerkte landingspagina om door de Azure Sentinel navigeren.

Nieuwe Azure Sentinel nieuwe documentatie.

Volgende stappen

On-board Azure Sentinel

Inzicht krijgen in waarschuwingen