Werken met bedreigingsindicatoren in Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
U kunt bedreigingsinformatie (TI) integreren in Microsoft Sentinel via de volgende activiteiten:
Importeer bedreigingsinformatie in Microsoft Sentinel door gegevensconnectoren in te stellen voor verschillende TI-platforms en feeds.
Bekijk en beheer de geïmporteerde bedreigingsinformatie in logboeken en op de pagina Bedreigingsinformatie van Microsoft Sentinel.
Detecteer bedreigingen en genereer beveiligingswaarschuwingen en incidenten met behulp van de ingebouwde analyseregelsjablonen op basis van uw geïmporteerde bedreigingsinformatie.
Visualiseer belangrijke informatie over uw geïmporteerde bedreigingsinformatie in Microsoft Sentinel met de werkmap bedreigingsinformatie.
Bedreigingsindicatoren weergeven in Microsoft Sentinel
Indicatoren zoeken en weergeven in logboeken
In deze procedure wordt beschreven hoe u uw geïmporteerde bedreigingsindicatoren kunt weergeven in het gebied met Microsoft Sentinel-logboeken, samen met andere Microsoft Sentinel-gebeurtenisgegevens, ongeacht de bronfeed of de gebruikte connector.
Geïmporteerde bedreigingsindicatoren worden vermeld in de tabel Microsoft Sentinel > ThreatIntelligenceIndicator. Dit is de basis voor query's op bedreigingsinformatie die elders in Microsoft Sentinel worden uitgevoerd, zoals in analyses of werkmappen.
Als u de bedreigingsinformatie-indicatoren in logboeken wilt weergeven:
Open de Azure Portal en navigeer naar de Microsoft Sentinel-service.
Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van een van beide connectors voor bedreigingsinformatie.
Selecteer Logboeken in de sectie Algemeen van het menu Microsoft Sentinel.
De tabel ThreatIntelligenceIndicator bevindt zich onder de Microsoft Sentinel-groep.
Selecteer het pictogram Voorbeeld van gegevens (het oog) naast de tabelnaam en selecteer de knop Weergeven in query-editor om een query uit te voeren waarmee records uit deze tabel worden weergegeven.
Uw resultaten moeten er ongeveer uitzien als de voorbeeldbedreigingsindicator die hieronder wordt weergegeven:
Zoek en bekijk uw indicatoren op de pagina Bedreigingsinformatie
In deze procedure wordt beschreven hoe u indicatoren kunt weergeven en beheren op de pagina Bedreigingsinformatie, die toegankelijk is via het hoofdmenu van Microsoft Sentinel. Gebruik de pagina Bedreigingsinformatie om uw geïmporteerde bedreigingsindicatoren te sorteren, filteren en doorzoeken zonder een Log Analytics-query te schrijven.
Als u de bedreigingsinformatie-indicatoren wilt weergeven op de pagina Bedreigingsinformatie:
Open de Azure Portal en navigeer naar de Microsoft Sentinel-service.
Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van de connectors/playbooks of waarvoor u bedreigingsinformatiegegevens hebt gemaakt.
Selecteer in de sectie Bedreigingsbeheer aan de linkerkant de pagina Bedreigingsinformatie.
Selecteer in het raster de indicator waarvoor u meer details wilt weergeven. De details van de indicator worden aan de rechterkant weergegeven, met informatie zoals betrouwbaarheidsniveaus, tags, bedreigingstypen en meer.
Microsoft verrijkt elke indicator met extra GeoLocation- en WhoIs-gegevens, waardoor er meer context wordt verschaffen voor onderzoeken waarbij de geselecteerde indicator wordt gevonden.
Bijvoorbeeld:
Op de pagina Bedreigingsinformatie kunt u ook bedreigingsindicatoren rechtstreeks binnen de Microsoft Sentinel-interface maken en twee van de meest voorkomende beheertaken voor bedreigingsinformatie uitvoeren: het taggen van indicator en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken.
Belangrijk
GeoLocation- en WhoIs-verrijking is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Een nieuwe indicator maken
Ga vanuit Azure Portalnaar de Microsoft Sentinel-service.
Kies de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van een van beide connectors voor bedreigingsinformatie.
Selecteer Bedreigingsinformatie in de sectie Bedreigingsbeheer van het menu Microsoft Sentinel.
Selecteer de knop Nieuwe toevoegen in de menubalk boven aan de pagina.
Kies het indicatortype en vul vervolgens het formulier in het deelvenster Nieuwe indicator in. De vereiste velden zijn gemarkeerd met een rood sterretje (*).
Selecteer Toepassen. De indicator wordt toegevoegd aan de lijst met indicatoren en wordt ook verzonden naar de tabel ThreatIntelligenceIndicator in Logs.
Bedreigingsindicatoren taggen
Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groepen, om ze gemakkelijker te vinden. Normaal gesproken kunt u een tag toepassen op indicatoren die betrekking hebben op een bepaald incident of op indicatoren die bedreigingen van een bepaalde bekende actor of bekende aanvalscampagne vertegenwoordigen. U kunt bedreigingsindicatoren afzonderlijk taggen of indicatoren voor meervoudige selectie labelen en ze allemaal tegelijk taggen. Hieronder wordt een voorbeeld weergegeven van het taggen van meerdere indicatoren met een incident-id. Omdat taggen in vrije vorm is, is het raadzaam om standaardnaamconventaties te maken voor tags voor bedreigingsindicatoren. U kunt meerdere tags toepassen op elke indicator.
Bedreigingen detecteren met analyses op basis van bedreigingsindicatoren
De belangrijkste use-case voor bedreigingsindicatoren in SIEM-oplossingen zoals Microsoft Sentinel is het gebruik van analyseregels voor detectie van bedreigingen. Deze op indicator gebaseerde regels vergelijken onbewerkte gebeurtenissen van uw gegevensbronnen met uw bedreigingsindicatoren om de aanwezigheid van beveiligingsrisico's in uw organisatie te bepalen. In Microsoft Sentinel Analytics maakt u analyseregels die volgens een planning worden uitgevoerd en beveiligingswaarschuwingen genereren. De regels worden aangestuurd door query's, samen met configuraties die bepalen hoe vaak de regel moet worden uitgevoerd, welk type queryresultaten beveiligingswaarschuwingen en incidenten moeten genereren en welke automatiseringen moeten worden uitgevoerd als reactie.
Hoewel u altijd nieuwe analyseregels kunt maken, biedt Microsoft Sentinel een set ingebouwde regelsjablonen, gemaakt door Beveiligingstechnici van Microsoft, die u kunt gebruiken zoals ze zijn of die u kunt aanpassen aan uw behoeften. U kunt gemakkelijk de regelsjablonen identificeren die gebruikmaken van bedreigingsindicatoren, aangezien deze allemaal worden vermeld met de titel 'TI-kaart...'. Al deze regelsjablonen werken op dezelfde manier, waarbij het enige verschil is welk type bedreigingsindicatoren wordt gebruikt (domein, e-mail, bestandshash, IP-adres of URL) en op welk gebeurtenistype moet worden afgestemd. Elke sjabloon bevat de vereiste gegevensbronnen die nodig zijn om de regel te laten functioneren, zodat u in één oogopslag kunt zien of u de benodigde gebeurtenissen al hebt geïmporteerd in Microsoft Sentinel. Wanneer u een bestaande regelsjabloon bewerkt en opgeslagen of een nieuwe regel maakt, is deze standaard ingeschakeld.
Een regel configureren voor het genereren van beveiligingswaarschuwingen
Hieronder ziet u een voorbeeld van het inschakelen en configureren van een regel voor het genereren van beveiligingswaarschuwingen met behulp van de bedreigingsindicatoren die u in Microsoft Sentinel hebt geïmporteerd. Gebruik voor dit voorbeeld de regelsjabloon met de naam TI map IP entity to AzureActivity. Deze regel komt overeen met elke bedreigingsindicator van het type IP-adres met al uw Azure-activiteitsgebeurtenissen. Wanneer er een overeenkomst wordt gevonden, wordt er een waarschuwing gegenereerd en een bijbehorend incident voor onderzoek door uw beveiligingsteam. Deze analyseregel werkt alleen als u een of beide connectors voor bedreigingsinformatie (voor het importeren van bedreigingsindicatoren) en de Azure Activity-gegevensconnector (om gebeurtenissen op Azure-abonnementsniveau te importeren) hebt ingeschakeld.
Ga vanuit Azure Portalnaar de Microsoft Sentinel-service.
Kies de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van de connectors voor bedreigingsinformatie en Azure-activiteitsgegevens met behulp van de Azure Activity Data Connector.
Selecteer Analytics in de sectie Configuratie van het menu Microsoft Sentinel.
Selecteer het tabblad Regelsjablonen om de lijst met beschikbare analyseregelsjablonen weer te geven.
Zoek de regel met de titel TI map IP entity to AzureActivity en zorg ervoor dat u alle vereiste gegevensbronnen hebt verbonden, zoals hieronder wordt weergegeven.
Selecteer de TI-entiteit IP-adres aan AzureActivity-regel en selecteer vervolgens Regel maken om een wizard voor het configureren van regels te openen. Configureer de instellingen in de wizard en selecteer vervolgens Volgende: Regellogica instellen >.
Het regellogicagedeelte van de wizard is vooraf ingevuld met de volgende items:
De query die wordt gebruikt in de regel.
Entiteitstoewijzingen, die Microsoft Sentinel laten zien hoe entiteiten zoals accounts, IP-adressen en URL's moeten worden herkend, zodat incidenten en onderzoeken begrijpen hoe ze kunnen werken met de gegevens in beveiligingswaarschuwingen die door deze regel worden gegenereerd.
Het schema voor het uitvoeren van deze regel.
Het aantal queryresultaten dat nodig is voordat een beveiligingswaarschuwing wordt gegenereerd.
De standaardinstellingen in de sjabloon zijn:
Voer eenmaal per uur uit.
Koppel eventuele bedreigingsindicatoren voor IP-adressen uit de tabel ThreatIntelligenceIndicator aan een IP-adres dat is gevonden in het laatste uur van gebeurtenissen uit de tabel AzureActivity.
Genereer een beveiligingswaarschuwing als de queryresultaten groter zijn dan nul, wat betekent dat als er overeenkomsten worden gevonden.
U kunt de standaardinstellingen laten staan of wijzigen om aan uw vereisten te voldoen. U kunt instellingen voor het genereren van incidenten definiëren op het tabblad Incidentinstellingen. Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie. Wanneer u klaar bent, selecteert u het tabblad Geautomatiseerd antwoord.
Configureer automatisering die u wilt activeren wanneer er een beveiligingswaarschuwing wordt gegenereerd op basis van deze analyseregel. Automatisering in Microsoft Sentinel wordt uitgevoerd met behulp van combinaties van automatiseringsregels en playbooks powered by Azure Logic Apps. Zie deze zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel voor meer informatie. Wanneer u klaar bent, selecteert u de knop Volgende: >om door te gaan.
Wanneer u het bericht ziet dat de validatie van de regel is geslaagd, selecteert u de knop Maken en bent u klaar.
U vindt uw ingeschakelde regels op het tabblad Actieve regels van de sectie Analyse van Microsoft Sentinel. U kunt de actieve regel daar bewerken, inschakelen, uitschakelen, dupliceren of verwijderen. De nieuwe regel wordt onmiddellijk na activering uitgevoerd en vanaf dat punt wordt uitgevoerd volgens het gedefinieerde schema.
Volgens de standaardinstellingen genereert elke keer dat de regel volgens het schema wordt uitgevoerd, een beveiligingswaarschuwing als er resultaten worden gevonden. Beveiligingswaarschuwingen in Microsoft Sentinel kunnen worden bekeken in de sectie Logboeken van Microsoft Sentinel, in de tabel SecurityAlert onder de Microsoft Sentinel-groep.
In Microsoft Sentinel genereren de waarschuwingen die worden gegenereerd op basis van analyseregels ook beveiligingsincidenten, die te vinden zijn in Incidenten onder Bedreigingsbeheer in het menu Microsoft Sentinel. Incidenten zijn wat uw beveiligingsteams gaan opswijzen en onderzoeken om de juiste reactieacties te bepalen. Gedetailleerde informatie vindt u in deze zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.
Bedreigingen detecteren met behulp van overeenkomende analyses (openbare preview)
Belangrijk
Overeenkomende analyses zijn momenteel beschikbaar als preview-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Maak een regel met behulp van de ingebouwde microsoft Threat Intelligence Matching Analytics analytics-regelsjabloon om Microsoft Sentinel te laten overeenkomen met door Microsoft gegenereerde bedreigingsinformatiegegevens met de logboeken die u hebt opgenomen in Microsoft Sentinel.
Door bedreigingsinformatiegegevens te koppelen aan uw logboeken kunt u hoogwaardige waarschuwingen en incidenten genereren, waarbij de juiste ernst wordt toegepast. Wanneer er een overeenkomst wordt gevonden, worden gegenereerde waarschuwingen gegroepeerd in incidenten.
Waarschuwingen worden gegroepeerd per waarneembare basis, gedurende een tijdsbestek van 24 uur. Alle waarschuwingen die worden gegenereerd in een periode van 24 uur die overeenkomen met het domein, worden dus abc.com gegroepeerd in één incident.
Een incident analyseren dat is gegenereerd door overeenkomende analyses
Als er een overeenkomst is gevonden, worden gegenereerde waarschuwingen gegroepeerd in incidenten.
Gebruik de volgende stappen om de incidenten te analyseren die zijn gegenereerd door de Microsoft Threat Intelligence Matching Analytics-regel:
Selecteer incidenten in de Microsoft Sentinel-werkruimte waar u de regel Microsoft Threat Intelligence Matching Analytics hebt ingeschakeld en zoek naar Microsoft Threat Intelligence Analytics.
Gevonden incidenten worden weergegeven in het raster.
Selecteer Volledige details weergeven om entiteiten en andere details over het incident weer te geven, zoals specifieke waarschuwingen.
Bijvoorbeeld:
Wanneer er een overeenkomst wordt gevonden, wordt de indicator ook gepubliceerd naar de Log Analytics ThreatIntelligenceIndicators en weergegeven op de pagina Bedreigingsinformatie. Voor indicatoren die op basis van deze regel worden gepubliceerd, wordt de bron gedefinieerd als Microsoft Threat Intelligence Analytics.
Bijvoorbeeld in het logboek ThreatIntelligenceIndicators:
Op de pagina Bedreigingsinformatie:
Ondersteunde logboekbronnen voor overeenkomende analyses
De Microsoft Threat Intelligence Matching Analytics-regel wordt momenteel ondersteund voor de volgende logboekbronnen:
| Logboekbron | Description |
|---|---|
| CEF | Er wordt een match gevonden voor alle CEF-logboeken die zijn opgenomen in de Log Analytics CommonSecurityLog-tabel, met uitzondering van alle logboeken waarin DeviceVendor wordt vermeld als Cisco . Als u door Microsoft gegenereerde bedreigingsinformatie wilt matchen met CEF-logboeken, moet u het domein in het veld van RequestURL het CEF-logboek in kaart brengen. |
| DNS | Er wordt een match gevonden voor alle DNS-logboeken die DNS-query's van clients naar DNS-services () SubType == "LookupQuery" zijn. DNS-query's worden alleen verwerkt voor IPv4 ( QueryType=”A” ) en IPv6-query's ( QueryType=” AAAA” ).Als u wilt overeenkomen met door Microsoft gegenereerde bedreigingsinformatie met DNS-logboeken, is er geen handmatige toewijzing van kolommen nodig, omdat alle kolommen standaard zijn van Windows DNS-server en de domeinen standaard in de kolom Name staan. |
| Syslog | Er wordt momenteel alleen gematcht voor Syslog-gebeurtenissen waarbij Facility de cron is. Om door Microsoft gegenereerde bedreigingsinformatie te koppelen aan Syslog, is er geen handmatige toewijzing van kolommen nodig. De details worden standaard in het veld van de Syslog weergegeven en de regel parseert het domein rechtstreeks vanuit SyslogMessage de SyslogMessage. |
Werkmappen bieden inzicht in uw bedreigingsinformatie
U kunt een speciaal gebouwde Microsoft Sentinel-werkmap gebruiken om belangrijke informatie over uw bedreigingsinformatie in Microsoft Sentinel te visualiseren en u kunt de werkmap eenvoudig aanpassen aan de behoeften van uw bedrijf.
Hier vindt u hoe u de werkmap met bedreigingsinformatie in Microsoft Sentinel kunt vinden en een voorbeeld van hoe u wijzigingen aan de werkmap kunt maken om deze aan te passen.
Ga vanuit Azure Portalnaar de Microsoft Sentinel-service.
Kies de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van een van beide connectors voor bedreigingsinformatie.
Selecteer Werkmappen in de sectie Bedreigingsbeheer van het menu Microsoft Sentinel.
Zoek de werkmap bedreigingsinformatie en controleer of u gegevens hebt in de tabel ThreatIntelligenceIndicator, zoals hieronder wordt weergegeven.
Selecteer de knop Opslaan en kies een Azure-locatie om de werkmap op te slaan. Deze stap is vereist als u de werkmap op een of andere manier wilt wijzigen en uw wijzigingen wilt opslaan.
Selecteer nu de knop Opgeslagen werkmap weergeven om de werkmap te openen voor weergave en bewerking.
U ziet nu de standaardgrafieken die door de sjabloon worden geleverd. Als u een grafiek wilt wijzigen, selecteert u de knop Bewerken bovenaan de pagina om de bewerkingsmodus voor de werkmap in te schakelen.
Voeg een nieuwe grafiek van bedreigingsindicatoren toe op bedreigingstype. Schuif naar de onderkant van de pagina en selecteer Query toevoegen.
Voeg de volgende tekst toe aan het tekstvak Log Query voor Log Analytics-werkruimte:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeSelecteer staafdiagram in de vervolgkeuzelijst Visualisatie.
Selecteer de knop Klaar met bewerken. U hebt een nieuwe grafiek voor uw werkmap gemaakt.
Werkmappen bieden krachtige interactieve dashboards die u inzicht geven in alle aspecten van Microsoft Sentinel. U kunt heel veel doen met werkmappen. Hoewel de meegeleverde sjablonen een goed uitgangspunt zijn, zult u deze sjablonen waarschijnlijk willen bekijken en aanpassen, of nieuwe dashboards maken waarin veel verschillende gegevensbronnen worden gecombineerd, zodat u uw gegevens op unieke manieren kunt visualiseren. Omdat Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor werkmappen, is er al uitgebreide documentatie beschikbaar en nog veel meer sjablonen. Een goed begin is dit artikel over het maken van interactieve rapporten met Azure Monitor werkmappen.
Er is ook een uitgebreide community van Azure Monitor-GitHub waar u meer sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.
Volgende stappen
In dit artikel hebt u alle manieren geleerd waarop u kunt werken met bedreigingsinformatie-indicatoren in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel:
- Informatie over bedreigingen in Microsoft Sentinel.
- Verbinding maken Microsoft Sentinel naar STIX-/TAXII-feeds voor bedreigingsinformatie.
- Verbinding maken bedreigingsinformatieplatforms naar Microsoft Sentinel.
- Bekijk welke TIP-platforms, TAXII-feeds en verrijkingen eenvoudig kunnen worden geïntegreerd met Microsoft Sentinel.