Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de verschillende onderdelen van een Microsoft Sentinel-oplossing besproken en hoe deze kunnen samenwerken om belangrijke klantscenario's aan te pakken.
Het Sentinel-platform bevat een data lake, grafiek, Jupyter-notebooktaken, een MCP-server (Model Context Protocol) en gegevens van meer dan 300 Sentinel connectors om klanten te helpen hun beveiligingsgegevens op een rendabele manier te centraliseren en te analyseren. Deze mogelijkheden en Microsoft Security Copilot klanten en partners in staat stellen om impactvolle oplossingen te maken, die kunnen worden gepubliceerd via de Microsoft Security Store.
Sentinel SIEM wordt gebruikt door SOC-teams (Security Operations) om detecties te genereren, schadelijk gedrag te onderzoeken en bedreigingen te herstellen. Door Sentinel connectors te maken om nieuwe gegevens binnen te brengen en door inhoud te maken zoals analyseregels, playbooks, opsporingsquery's, parsers en werkmappen, kunnen partners SOC-teams helpen informatie te krijgen die ze nodig hebben om bedreigingen te identificeren en op de juiste manier te reageren. Sentinel SIEM-oplossingen worden gepubliceerd via de Content Hub van Sentinel.
Gegevensverzameling
Of u nu een oplossing bouwt die gebruikmaakt van platformonderdelen of die gericht is op een Sentinel SIEM-integratie, het is essentieel om over de juiste gegevens voor uw scenario te beschikken.
Sentinel connectors brengen gegevens naar Sentinel, die vervolgens in het meer kunnen worden geanalyseerd met behulp van Jupyter-notebooks en -taken, of kunnen worden aangepakt met Sentinel SIEM-inhoud, zoals analyseregels en opsporingsquery's.
Deze gegevens kunnen de volgende typen bevatten:
| Type | Beschrijving |
|---|---|
| Niet-verwerkte gegevens | Ondersteunt detecties en opsporingsprocessen. Analyseer onbewerkte operationele gegevens waarin tekenen van schadelijke activiteit aanwezig kunnen zijn. Breng niet-verwerkte gegevens naar Microsoft Sentinel om de ingebouwde opsporings- en detectiefuncties van Microsoft Sentinel te gebruiken om nieuwe bedreigingen en meer te identificeren. Voorbeelden: Syslog-gegevens, CEF-gegevens via Syslog, toepassings-, firewall-, verificatie- of toegangslogboeken en meer. |
| Beveiligingsconclusies | Hiermee maakt u zichtbaarheid van waarschuwingen en kansen voor correlatie. Waarschuwingen en detecties zijn conclusies die al zijn gemaakt over bedreigingen. Het plaatsen van detecties in context met alle activiteiten en andere detecties die zichtbaar zijn in Microsoft Sentinel onderzoeken, bespaart tijd voor analisten en creëert een completer beeld van een incident, wat resulteert in betere prioriteitstelling en betere beslissingen. Voorbeelden: antimalwarewaarschuwingen, verdachte processen, communicatie met bekende slechte hosts, netwerkverkeer dat is geblokkeerd en waarom, verdachte aanmeldingen, gedetecteerde aanvallen met wachtwoordspray, geïdentificeerde phishingaanvallen, gegevensexfiltratie-gebeurtenissen en meer. |
| Referentiegegevens | Bouwt context met omgevingen waarnaar wordt verwezen, waardoor onderzoeksinspanning wordt bespaard en de efficiëntie wordt verhoogd. Voorbeelden: CMDB's, waardevolle assetdatabases, toepassingsafhankelijkheidsdatabases, IP-toewijzingslogboeken, bedreigingsinformatieverzamelingen voor verrijking en meer. |
| Bedreigingsinformatie | Maakt detectie van bedreigingen mogelijk door indicatoren van bekende bedreigingen bij te dragen. Bedreigingsinformatie kan huidige indicatoren bevatten die onmiddellijke bedreigingen vertegenwoordigen of historische indicatoren die worden bewaard voor toekomstige preventie. Historische gegevenssets zijn vaak groot en kunnen het beste ad-hoc worden vermeld in plaats van ze rechtstreeks in Microsoft Sentinel te importeren. |
Parsers
Parsers zijn KQL-functies die aangepaste gegevens van producten van derden transformeren in een genormaliseerd ASIM-schema. Normalisatie zorgt ervoor dat SOC-analisten geen details hoeven te leren over nieuwe schema's en in plaats daarvan analytische regels en opsporingsquery's hoeven te maken op basis van het genormaliseerde schema waarmee ze al bekend zijn. Bekijk de beschikbare ASIM-schema's van Microsoft Sentinel om relevante ASIM-schema's (een of meer) voor uw gegevens te identificeren om soc-analisten gemakkelijker te onboarden en ervoor te zorgen dat de bestaande beveiligingsinhoud die voor het ASIM-schema is geschreven, out-of-the-box van toepassing is op uw productgegevens. Zie Advanced Security Information Model (ASIM)-schema's voor meer informatie over de beschikbare ASIM-schema's.
Visualization
U kunt visualisaties opnemen om klanten te helpen uw gegevens te beheren en te begrijpen door grafische weergaven op te nemen van hoe goed gegevens in Microsoft Sentinel stromen en hoe effectief deze bijdragen aan detecties.
U kunt visualisaties opnemen om klanten te helpen uw gegevens te beheren en te begrijpen door grafische weergaven op te nemen van hoe goed gegevens in Microsoft Sentinel stromen en hoe effectief deze bijdragen aan detecties.
Bewaking en detectie
de bewakings- en detectiefuncties van Sentinel maken geautomatiseerde detecties om klanten te helpen de expertise van hun SOC-team te schalen.
In de volgende secties worden bewakings- en detectie-elementen beschreven die u in uw oplossing kunt opnemen.
Security Copilot agents
Security Copilot agents automatiseren terugkerende taken en verminderen handmatige workloads. Ze verbeteren de beveiliging en IT-activiteiten in de cloud, gegevensbeveiliging en privacy, identiteit en netwerkbeveiliging. Voor Sentinel kunnen agents een query uitvoeren op de SIEM of Data Lake en API's aanroepen om Microsoft Sentinel gegevens te verrijken. Ze kunnen notebooktaken gebruiken voor intensieve gegevensverwerking of -analyse en een willekeurig aantal invoegtoepassingen gebruiken.
Jupyter-notebooktaken
Jupyter-notebooktaken bieden krachtige hulpprogramma's voor het uitvoeren van complexe gegevenstransformaties en het uitvoeren van machine learning-modellen met behulp van Spark-taken in Sentinel Data Lake. Ze kunnen door Security Copilot agents worden gebruikt om een deterministische en efficiënte manier te bieden om gegevensanalyse en samenvatting uit te voeren en doorlopend uit te voeren. Notebooktaken kunnen aangepaste gegevenstabellen schrijven naar de analytische laag en Data Lake om te worden gebruikt door downstream-onderdelen, zoals agents, werkmappen, opsporingsquery's en andere.
Analyseregels
Analyseregels zijn geavanceerde detecties die nauwkeurige, zinvolle waarschuwingen kunnen maken.
Voeg analyseregels toe aan uw oplossing om uw klanten te helpen profiteren van gegevens van uw systeem in Microsoft Sentinel. Analyseregels kunnen bijvoorbeeld helpen bij het bieden van expertise en inzicht in de activiteiten die kunnen worden gedetecteerd in de gegevens die uw integratie levert.
Ze kunnen waarschuwingen (opvallende gebeurtenissen), incidenten (onderzoekseenheden) uitvoeren of automation-playbooks activeren.
U kunt analyseregels toevoegen door ze op te slaan in een oplossing en via de Microsoft Sentinel ThreatHunters-community. Draag bij via de community om creativiteit van de community te stimuleren met behulp van gegevens van partners, zodat klanten betrouwbaardere en effectievere detecties kunnen uitvoeren.
Opsporingsquery's
Met opsporingsquery's kunnen SOC-analisten proactief zoeken naar nieuwe afwijkingen die niet worden gedetecteerd door de momenteel geplande analyseregels. Opsporingsquery's helpen SOC-analisten bij het stellen van de juiste vragen om problemen te vinden op basis van de gegevens die al beschikbaar zijn in Microsoft Sentinel en helpen hen potentiële bedreigingsscenario's te identificeren. Door opsporingsquery's op te halen, kunt u klanten helpen onbekende bedreigingen te vinden in de gegevens die u opgeeft.
Werkmappen
Werkmappen bieden interactieve rapporten en dashboards waarmee gebruikers beveiligingsgegevens kunnen visualiseren en patronen in gegevens kunnen identificeren. De noodzaak van werkmappen is afhankelijk van de specifieke use-case. Denk bij het ontwerpen van uw oplossing aan scenario's die het beste visueel kunnen worden uitgelegd, met name voor scenario's om prestaties bij te houden.
Onderzoek
De Sentinel onderzoeksgrafiek biedt onderzoekers relevante gegevens wanneer ze deze nodig hebben, waardoor ze inzicht krijgen in beveiligingsincidenten en waarschuwingen via verbonden entiteiten. Onderzoekers kunnen de onderzoeksgrafiek gebruiken om relevante of gerelateerde gebeurtenissen te vinden die bijdragen aan de bedreiging die wordt onderzocht.
Partners kunnen bijdragen aan de onderzoeksgrafiek door het volgende op te geven:
- Microsoft Sentinel waarschuwingen en incidenten, gemaakt via analyseregels in partneroplossingen.
- Aangepaste verkenningsquery's voor door de partner geleverde gegevens. Aangepaste verkenningsquery's bieden uitgebreide verkenning en connectiviteit tussen gegevens en inzichten voor beveiligingsonderzoekers.
Antwoord
Playbooks ondersteunen werkstromen met uitgebreide automatisering, waarbij beveiligingsgerelateerde taken worden uitgevoerd in klantomgevingen. Ze zijn essentieel om ervoor te zorgen dat de SOC-analisten niet worden overbelast door tactische items en zich kunnen richten op de meer strategische en diepere hoofdoorzaak van de beveiligingsproblemen. Als er bijvoorbeeld een waarschuwing met hoge ernst wordt gedetecteerd, kan een playbook automatisch een reeks acties initiëren, zoals het informeren van het beveiligingsteam, het isoleren van betrokken systemen en het verzamelen van relevante logboeken voor verdere analyse.
Playbooks kunnen bijvoorbeeld helpen op een van de volgende manieren, en meer:
- Klanten helpen bij het configureren van beveiligingsbeleid in partnerproducten
- Extra gegevens verzamelen om onderzoeksbeslissingen te kunnen nemen
- Microsoft Sentinel incidenten koppelen aan externe beheersystemen
- Levenscyclusbeheer voor waarschuwingen integreren in partneroplossingen
Denk bij het ontwerpen van uw oplossing aan de geautomatiseerde acties die kunnen worden uitgevoerd om incidenten op te lossen die zijn gemaakt door de analyseregels die in uw oplossing zijn gedefinieerd.
voorbeelden van siem-scenario's Sentinel
In de volgende secties worden veelvoorkomende partnerscenario's en aanbevelingen beschreven voor wat u in een oplossing voor elk scenario kunt opnemen.
Uw product genereert gegevens die belangrijk zijn voor beveiligingsonderzoeken
Scenario: Uw product genereert gegevens die kunnen worden gebruikt voor beveiligingsonderzoeken.
Voorbeeld: Producten die een bepaalde vorm van logboekgegevens leveren, zijn onder andere firewalls, cloudtoepassingsbeveiligingsmakelaars, fysieke toegangssystemen, Syslog-uitvoer, commercieel beschikbare en zakelijke LOB-toepassingen, servers, netwerkmetagegevens, alles wat kan worden geleverd via Syslog in Syslog- of CEF-indeling, of via REST API in JSON-indeling.
Uw gegevens gebruiken in Microsoft Sentinel: importeer de gegevens van uw product in Microsoft Sentinel via een gegevensconnector om analyses, opsporing, onderzoeken, visualisaties en meer te bieden.
Wat u moet bouwen: neem voor dit scenario de volgende elementen op in uw oplossing:
| Type | Elementen die moeten worden opgenomen |
|---|---|
| Vereist | - Een Microsoft Sentinel gegevensconnector om de gegevens te leveren en andere aanpassingen in de portal te koppelen. Voorbeeldgegevensquery's |
| Aanbevolen | -Werkmappen - Analyseregels, om detecties te bouwen op basis van uw gegevens in Microsoft Sentinel |
| Optionele | - Opsporingsquery's, om jagers te voorzien van out-of-the-box query's om te gebruiken bij het jagen - Notebooks, voor een volledig begeleide, herhaalbare opsporingservaring |
Uw product biedt detecties
Scenario: Uw product biedt detecties die waarschuwingen en incidenten van andere systemen aanvullen
Voorbeelden: Antimalware, oplossingen voor bedrijfsdetectie en -respons, oplossingen voor netwerkdetectie en -respons, oplossingen voor e-mailbeveiliging, zoals antiphishingproducten, scannen op beveiligingsproblemen, oplossingen voor het beheer van mobiele apparaten, UEBA-oplossingen, informatiebeveiligingsservices, enzovoort.
Uw gegevens gebruiken in Microsoft Sentinel: maak uw detecties, waarschuwingen of incidenten beschikbaar in Microsoft Sentinel om ze weer te geven in context met andere waarschuwingen en incidenten die zich kunnen voordoen in de omgevingen van uw klanten. Overweeg ook het leveren van de logboeken en metagegevens die uw detecties mogelijk maken, als extra context voor onderzoeken.
Wat u moet bouwen: neem voor dit scenario de volgende elementen op in uw oplossing:
| Type | Elementen die moeten worden opgenomen |
|---|---|
| Vereist | Een Microsoft Sentinel gegevensconnector om de gegevens te leveren en andere aanpassingen in de portal te koppelen. |
| Aanbevolen | Analyseregels om Microsoft Sentinel incidenten van uw detecties te maken die nuttig zijn bij onderzoeken |
Uw product levert bedreigingsinformatieindicatoren
Scenario: Uw product levert bedreigingsinformatie-indicatoren die context kunnen bieden voor beveiligingsincidenten die plaatsvinden in de omgevingen van klanten
Voorbeelden: TIP-platforms, STIX/TAXII-verzamelingen en openbare of gelicentieerde bedreigingsinformatiebronnen. Referentiegegevens, zoals WhoIS, GeoIP of nieuw waargenomen domeinen.
Uw gegevens gebruiken in Microsoft Sentinel: huidige indicatoren leveren aan Microsoft Sentinel voor gebruik op alle Microsoft-detectieplatforms. Gebruik grootschalige of historische gegevenssets voor verrijkingsscenario's, via externe toegang.
Wat u moet bouwen: neem voor dit scenario de volgende elementen op in uw oplossing:
| Type | Elementen die moeten worden opgenomen |
|---|---|
| Huidige bedreigingsinformatie | Bouw een GSAPI-gegevensconnector om indicatoren naar Microsoft Sentinel te pushen. Geef een STIX 2.0- of 2.1 TAXII-server op die klanten kunnen gebruiken met de out-of-the-box TAXII-gegevensconnector. |
| Historische indicatoren en/of referentiegegevenssets | Geef een logische app-connector op voor toegang tot de gegevens en een playbook voor verrijkingswerkstroom dat de gegevens naar de juiste plaatsen leidt. |
Uw product biedt extra context voor onderzoeken
Scenario: Uw product biedt extra, contextuele gegevens voor onderzoeken op basis van Microsoft Sentinel.
Voorbeelden: CMDB's met extra context, waardevolle assetdatabases, VIP-databases, toepassingsafhankelijkheidsdatabases, incidentbeheersystemen, ticketingsystemen
Uw gegevens gebruiken in Microsoft Sentinel: gebruik uw gegevens in Microsoft Sentinel om zowel waarschuwingen als incidenten te verrijken.
Wat u moet bouwen: neem voor dit scenario de volgende elementen op in uw oplossing:
- Een logische app-connector
- Een playbook voor verrijkingswerkstroom
- Een werkstroom voor het beheer van de levenscyclus van externe incidenten (optioneel)
Uw product kan beveiligingsbeleid implementeren
Scenario: Uw product kan beveiligingsbeleid implementeren in Azure Policy en andere systemen
Voorbeelden: Firewalls, NDR, EDR, MDM, identiteitsoplossingen, oplossingen voor voorwaardelijke toegang, oplossingen voor fysieke toegang of andere producten die ondersteuning bieden voor blokkeren/toestaan of ander uitvoerbaar beveiligingsbeleid
Uw gegevens gebruiken in Microsoft Sentinel: acties en werkstromen Microsoft Sentinel die herstelbewerkingen en reacties op bedreigingen mogelijk maken
Wat u moet bouwen: neem voor dit scenario de volgende elementen op in uw oplossing:
- Een logische app-connector
- Een actiewerkstroomplaybook
Verwijzingen om aan de slag te gaan
Alle Microsoft Sentinel SIEM-integraties beginnen met de Microsoft Sentinel GitHub-opslagplaats en richtlijnen voor bijdragen.
Wanneer u klaar bent om aan de slag te gaan met uw Microsoft Sentinel-oplossing, vindt u instructies voor het indienen, verpakken en publiceren in de Handleiding voor het bouwen van Microsoft Sentinel oplossingen.
Op de markt komen
Microsoft biedt de programma's om partners te helpen Microsoft-klanten te benaderen:
Microsoft Partner Network (MPN). Het primaire programma voor samenwerking met Microsoft is het Microsoft Partner Network. Lidmaatschap van MPN is vereist om een Azure Marketplace-uitgever te worden. Hier worden alle Microsoft Sentinel oplossingen gepubliceerd.
Azure Marketplace. Microsoft Sentinel oplossingen worden geleverd via de Azure Marketplace, waar klanten algemene Azure-integraties kunnen ontdekken en implementeren die door Microsoft en partners worden geleverd.
Microsoft Sentinel oplossingen zijn een van de vele soorten aanbiedingen in Marketplace. U kunt ook de oplossingsaanbiedingen vinden die zijn ingesloten in de inhoudshub van Microsoft Sentinel
Microsoft Intelligent Security Association (MISA). MISA biedt Microsoft Security Partners hulp bij het creëren van bewustzijn over door partners gemaakte integraties met Microsoft-klanten en helpt bij het bieden van vindbaarheid voor Microsoft Security-productintegraties.
Voor deelname aan het MISA-programma is een nominatie van een deelnemend Microsoft Security Product Team vereist. Het bouwen van een van de volgende integraties kan partners kwalificeren voor nominatie:
- Een Microsoft Sentinel gegevensconnector en bijbehorende inhoud, zoals werkmappen, voorbeeldquery's en analyseregels
- Gepubliceerde Logic Apps-connector en Microsoft Sentinel playbooks
- API-integraties, per geval
Als u een MISA-nominatiebeoordeling wilt aanvragen of voor vragen, neemt u contact op met AzureSentinelPartner@microsoft.com.
Volgende stappen
Zie voor meer informatie:
Gegevensverzameling:
- Best practices voor gegevensverzameling
- Microsoft Sentinel gegevensconnectors
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Inzicht in bedreigingsinformatie in Microsoft Sentinel
Detectie van bedreigingen:
- Incidentafhandeling automatiseren in Microsoft Sentinel met automatiseringsregels
- Incidenten onderzoeken met Microsoft Sentinel
- Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
Opsporing en notitieblokken:
- Bedreigingen opsporen met Microsoft Sentinel
- Opsporingsquery's beheren in Microsoft Sentinel met behulp van REST API
- Jupyter-notebooks gebruiken om te zoeken naar beveiligingsrisico's
Visualisatie: verzamelde gegevens visualiseren.
Onderzoek: incidenten onderzoeken met Microsoft Sentinel.
Antwoord: