Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Richtlijnen voor best practices vindt u in de technische documentatie voor Microsoft Sentinel. In dit artikel worden enkele belangrijke richtlijnen beschreven die u kunt gebruiken bij het implementeren, beheren en gebruiken van Microsoft Sentinel.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Als u aan de slag wilt gaan met Microsoft Sentinel, raadpleegt u de implementatiehandleiding, waarin de stappen op hoog niveau worden beschreven voor het plannen, implementeren en verfijnen van uw Microsoft Sentinel implementatie. Selecteer in die handleiding de opgegeven koppelingen voor gedetailleerde richtlijnen voor elke fase van uw implementatie.
Een architectuur met één platform gebruiken
Microsoft Sentinel is geïntegreerd met een modern data lake dat betaalbare, langetermijnopslag biedt, waardoor teams het gegevensbeheer kunnen vereenvoudigen, de kosten kunnen optimaliseren en de acceptatie van AI kunnen versnellen. De Microsoft Sentinel data lake maakt een architectuur met één platform mogelijk voor beveiligingsgegevens en biedt analisten een uniforme query-ervaring en maakt gebruik van het uitgebreide connectorecosysteem van Microsoft Sentinel. Zie Microsoft Sentinel data lake voor meer informatie.
Onboard Microsoft Sentinel naar de Microsoft Defender portal en integreren met Microsoft Defender XDR
Overweeg onboarding van Microsoft Sentinel naar de Microsoft Defender-portal om mogelijkheden te combineren met Microsoft Defender XDR zoals incidentbeheer en geavanceerde opsporing.
Als u Microsoft Sentinel niet onboardt naar de Microsoft Defender-portal, moet u rekening houden met het volgende:
- Tegen juli 2026 worden alle Microsoft Sentinel klanten die de Azure Portal gebruiken, omgeleid naar de Defender-portal.
- Tot die tijd kunt u de Defender XDR-gegevensconnector gebruiken om Microsoft Defender servicegegevens te integreren met Microsoft Sentinel in de Azure Portal.
In de volgende afbeelding ziet u hoe de XDR-oplossing van Microsoft naadloos kan worden geïntegreerd met Microsoft Sentinel.
Zie de volgende artikelen voor meer informatie:
- Microsoft Defender XDR integratie met Microsoft Sentinel
- Microsoft Sentinel verbinden met Microsoft Defender XDR
- Microsoft Sentinel in de Microsoft Defender-portal
Microsoft-beveiligingsservices integreren
Microsoft Sentinel wordt mogelijk gemaakt door de onderdelen die gegevens naar uw werkruimte verzenden en wordt sterker gemaakt door integraties met andere Microsoft-services. Alle logboeken die worden opgenomen in producten, zoals Microsoft Defender for Cloud Apps, Microsoft Defender voor Eindpunt en Microsoft Defender for Identity, kunnen deze services detecties maken en op hun beurt deze detecties leveren aan Microsoft Sentinel. Logboeken kunnen ook rechtstreeks in Microsoft Sentinel worden opgenomen om een vollediger beeld te geven van gebeurtenissen en incidenten.
Naast het opnemen van waarschuwingen en logboeken van andere bronnen, biedt Microsoft Sentinel ook het volgende:
| Mogelijkheid | Beschrijving |
|---|---|
| Detectie van bedreigingen | Mogelijkheden voor bedreigingsdetectie met kunstmatige intelligentie, waarmee u interactieve visuals kunt bouwen en presenteren via werkmappen, playbooks kunt uitvoeren om automatisch te reageren op waarschuwingen, machine learning-modellen kunt integreren om uw beveiligingsbewerkingen te verbeteren en verrijkingsfeeds kunt opnemen en ophalen van platformen voor bedreigingsinformatie. |
| Bedreigingsonderzoek | Mogelijkheden voor bedreigingsonderzoek waarmee u waarschuwingen en entiteiten kunt visualiseren en verkennen, afwijkingen in gebruikers- en entiteitsgedrag kunt detecteren en realtime gebeurtenissen tijdens een onderzoek kunt bewaken. |
| Gegevensverzameling | Verzamel gegevens over alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds. |
| Reactie op bedreigingen | Mogelijkheden voor reactie op bedreigingen, zoals playbooks die zijn geïntegreerd met Azure-services en uw bestaande hulpprogramma's. |
| Partnerintegraties | Integreert met partnerplatforms met behulp van Microsoft Sentinel-gegevensconnectors en biedt essentiële services voor SOC-teams. |
Aangepaste integratieoplossingen maken (partners)
Zie Aanbevolen procedures voor partners die integreren met Microsoft Sentinel voor partners die aangepaste oplossingen willen maken die kunnen worden geïntegreerd met Microsoft Sentinel.
Incidentbeheer en reactieproces plannen
In de volgende afbeelding ziet u de aanbevolen stappen in een incidentbeheer- en reactieproces.
De volgende tabel bevat taken voor incidentbeheer en -respons op hoog niveau en gerelateerde best practices. Zie Microsoft Sentinel incidentonderzoek in de Azure Portal of Incidenten en waarschuwingen in de Microsoft Defender portal voor meer informatie.
| Taak | Aanbevolen procedures |
|---|---|
| Pagina Incidenten controleren | Bekijk een incident op de pagina Incidenten , waarin de titel, ernst en gerelateerde waarschuwingen, logboeken en relevante entiteiten worden vermeld. U kunt ook overschakelen van incidenten naar verzamelde logboeken en eventuele hulpprogramma's met betrekking tot het incident. |
| Incidentgrafiek gebruiken | Bekijk de grafiek Incident voor een incident om het volledige bereik van een aanval te zien. Vervolgens kunt u een tijdlijn met gebeurtenissen maken en de omvang van een bedreigingsketen detecteren. |
| Incidenten controleren op fout-positieven | Gebruik gegevens over belangrijke entiteiten, zoals accounts, URL's, IP-adres, hostnamen, activiteiten, tijdlijn om te begrijpen of u een fout-positief bij de hand hebt. In dat geval kunt u het incident rechtstreeks sluiten. Als u ontdekt dat het incident positief is, kunt u rechtstreeks actie ondernemen vanaf de pagina Incidenten om logboeken, entiteiten te onderzoeken en de bedreigingsketen te verkennen. Nadat u de bedreiging hebt geïdentificeerd en een actieplan hebt gemaakt, gebruikt u andere hulpprogramma's in Microsoft Sentinel en andere Microsoft-beveiligingsservices om door te gaan met het onderzoeken. |
| Gegevens visualiseren | Bekijk het Microsoft Sentinel overzichtsdashboard om een idee te krijgen van de beveiligingspostuur van uw organisatie. Zie Verzamelde gegevens visualiseren voor meer informatie. Werkmappen zijn naast informatie en trends op de Microsoft Sentinel overzichtspagina waardevolle onderzoekshulpmiddelen. Gebruik bijvoorbeeld de werkmap Onderzoeks insights om specifieke incidenten te onderzoeken, samen met eventuele bijbehorende entiteiten en waarschuwingen. Met deze werkmap kunt u dieper ingaan op entiteiten door gerelateerde logboeken, acties en waarschuwingen weer te geven. |
| Bedreigingen opsporen | Voer tijdens het onderzoeken en zoeken naar hoofdoorzaken ingebouwde query's voor het opsporen van bedreigingen uit en controleer de resultaten op indicatoren van inbreuk. Zie Opsporing van bedreigingen in Microsoft Sentinel voor meer informatie. |
| Entiteitsgedrag | Met entiteitsgedrag in Microsoft Sentinel kunnen gebruikers acties en waarschuwingen voor specifieke entiteiten bekijken en onderzoeken, zoals het onderzoeken van accounts en hostnamen. Zie voor meer informatie: - Gebruikers- en entiteitsgedraganalyse (UEBA) inschakelen in Microsoft Sentinel - Incidenten onderzoeken met UEBA-gegevens - Microsoft Sentinel UEBA-verrijkingsreferentie |
| Volglijsten | Gebruik een volglijst waarin gegevens uit opgenomen gegevens en externe bronnen, zoals verrijkingsgegevens, worden gecombineerd. Maak bijvoorbeeld lijsten met IP-adresbereiken die door uw organisatie of onlangs beëindigde werknemers worden gebruikt. Gebruik watchlists met playbooks om verrijkingsgegevens te verzamelen, zoals het toevoegen van schadelijke IP-adressen aan watchlists voor gebruik tijdens detectie, opsporing van bedreigingen en onderzoeken. Gebruik tijdens een incident volglijsten om onderzoeksgegevens te bevatten en verwijder deze vervolgens wanneer uw onderzoek wordt uitgevoerd om ervoor te zorgen dat gevoelige gegevens niet zichtbaar blijven. Zie Volglijsten in Microsoft Sentinel voor meer informatie. |
Gegevensverzameling en -opname optimaliseren
Bekijk de aanbevolen procedures voor Microsoft Sentinel gegevensverzameling, waaronder het prioriteren van gegevensconnectors, het filteren van logboeken en het optimaliseren van gegevensopname.
Uw Kusto-querytaal-query's sneller maken
Bekijk de best practices voor Kusto-querytaal om query's sneller te maken.