Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel is een CLOUD-systeemeigen SIEM-oplossing (Security Information and Event Management) waarmee bedreigingsinformatie uit verschillende bronnen kan worden opgenomen, gecureerd en beheerd.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Inleiding tot bedreigingsinformatie
Cyber threat intelligence (CTI) is informatie die bestaande of potentiële bedreigingen voor systemen en gebruikers beschrijft. Deze intelligentie neemt vele vormen aan, zoals geschreven rapporten die de motivaties, infrastructuur en technieken van een bepaalde bedreigingsacteur beschrijven. Het kan ook specifieke waarnemingen van IP-adressen, domeinen, bestands-hashes en andere artefacten zijn die verband houden met bekende cyberbedreigingen.
Organisaties gebruiken CTI om essentiële context te bieden voor ongebruikelijke activiteiten, zodat beveiligingspersoneel snel actie kan ondernemen om hun personen, informatie en activa te beschermen. U kunt CTI op veel plaatsen bronen, zoals:
- Opensource-gegevensfeeds
- Community's voor het delen van bedreigingsinformatie
- Feeds voor commerciële intelligentie
- Lokale informatie verzameld tijdens beveiligingsonderzoeken binnen een organisatie
Voor SIEM-oplossingen zoals Microsoft Sentinel zijn de meest voorkomende vormen van CTI bedreigingsindicatoren, die ook wel indicatoren van inbreuk (IOC's) of aanvalsindicatoren worden genoemd. Bedreigingsindicatoren zijn gegevens die waargenomen artefacten, zoals URL's, bestands hashes of IP-adressen, koppelen aan bekende bedreigingsactiviteiten, zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd. Het wordt toegepast op beveiligingsproducten en automatisering op grote schaal om potentiële bedreigingen voor een organisatie te detecteren en u ertegen te beschermen.
Een ander facet van bedreigingsinformatie vertegenwoordigt bedreigingsactoren, hun technieken, tactieken en procedures (TTLP's), hun infrastructuur en de identiteit van hun slachtoffers. Microsoft Sentinel ondersteunt het beheren van deze facetten samen met IOC's, uitgedrukt met behulp van de open source standaard voor het uitwisselen van CTI's die bekend staat als Structured Threat Information Expression (STIX). Bedreigingsinformatie uitgedrukt als STIX-objecten verbetert de interoperabiliteit en stelt organisaties in staat efficiënter te zoeken. Gebruik STIX-objecten voor bedreigingsinformatie in Microsoft Sentinel om schadelijke activiteiten te detecteren die in uw omgeving worden waargenomen en om de volledige context van een aanval te bieden om beslissingen te nemen over reacties.
De volgende tabel bevat een overzicht van de activiteiten die nodig zijn om de integratie van bedreigingsinformatie (TI) optimaal te benutten in Microsoft Sentinel:
| Actie | Omschrijving |
|---|---|
| Bedreigingsinformatie opslaan in de werkruimte van Microsoft Sentinel |
|
| Bedreigingsinformatie beheren |
|
| Bedreigingsinformatie gebruiken |
|
Bedreigingsinformatie biedt ook nuttige context binnen andere Microsoft Sentinel ervaringen, zoals notebooks. Zie Aan de slag met notebooks en MSTICPy voor meer informatie.
Opmerking
Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.
Bedreigingsinformatie importeren en verbinden
De meeste bedreigingsinformatie wordt geïmporteerd via gegevensconnectors of een API. Configureer opnameregels voor gegevensconnectors om ruis te verminderen en ervoor te zorgen dat uw intelligence-feeds zijn geoptimaliseerd. Dit zijn de oplossingen die beschikbaar zijn voor Microsoft Sentinel.
- Microsoft Defender-bedreigingsinformatie gegevensconnector om bedreigingsinformatie van Microsoft op te nemen
- Bedreigingsinformatie - TAXII-gegevensconnector voor standaard STIX/TAXII-feeds
- Api voor het uploaden van bedreigingsinformatie voor geïntegreerde en gecureerde TI-feeds met behulp van een REST API om verbinding te maken (hiervoor is geen gegevensconnector vereist)
- Threat Intelligence Platform-gegevensconnector verbindt ook TI-feeds met behulp van een verouderde REST API, maar is op het pad voor afschaffing
Gebruik deze oplossingen in elke combinatie, afhankelijk van waar uw organisatie bedreigingsinformatie gebruikt. Al deze gegevensconnectors zijn beschikbaar in Content Hub als onderdeel van de oplossing Bedreigingsinformatie . Zie de Azure Marketplace-vermelding Bedreigingsinformatie voor meer informatie over deze oplossing.
Zie ook deze catalogus met integraties van bedreigingsinformatie die beschikbaar zijn met Microsoft Sentinel.
Bedreigingsinformatie toevoegen aan Microsoft Sentinel met de Defender Threat Intelligence-gegevensconnector
Breng openbare, opensource- en hoogwaardige IOC's die zijn gegenereerd door Defender Threat Intelligence naar uw Microsoft Sentinel werkruimte met behulp van de Defender Threat Intelligence-gegevensconnectors. Met een eenvoudige installatie met één klik gebruikt u de bedreigingsinformatie van de standaard- en premium Defender Threat Intelligence-gegevensconnectors om te bewaken, te waarschuwen en te zoeken.
Er zijn twee versies van de gegevensconnector beschikbaar: Standard en Premium. Er is ook een gratis beschikbare Defender Threat Intelligence-bedreigingsanalyseregel die u een voorbeeld geeft van wat de premium Defender Threat Intelligence-gegevensconnector biedt. Met overeenkomende analyses worden echter alleen indicatoren opgenomen die overeenkomen met de regel in uw omgeving.
De premium Defender Threat Intelligence-gegevensconnector neemt door Microsoft verrijkte open source intelligence en de gecureerde IOC's van Microsoft op. Deze premium-functies maken analyses van meer gegevensbronnen mogelijk met meer flexibiliteit en inzicht in die bedreigingsinformatie. Hier volgt een tabel die laat zien wat u kunt verwachten wanneer u een licentie voor de Premium-versie krijgt en inschakelt.
| Gratis | Premium |
|---|---|
| Openbare IOC's | |
| Opensource-intelligentie (OSINT) | |
| Microsoft IOC's | |
| Door Microsoft verrijkte OSINT |
Zie de volgende artikelen voor meer informatie:
- Zie Defender Threat Intelligence-licenties verkennen voor meer informatie over het verkrijgen van een Premium-licentie en het verkennen van alle verschillen tussen de Standard- en Premium-versies.
- Zie Introductie van gratis Defender Threat Intelligence-ervaring voor Microsoft Defender XDR voor meer informatie over de gratis Defender Threat Intelligence-ervaring.
- Zie De Defender Threat Intelligence-gegevensconnector inschakelen voor meer informatie over het inschakelen van de gegevensconnectors Defender Threat Intelligence en de premium Defender Threat Intelligence-gegevensconnectors.
- Zie Overeenkomende analyses gebruiken om bedreigingen te detecteren voor meer informatie over overeenkomende analyses.
Bedreigingsinformatie toevoegen aan Microsoft Sentinel met de upload-API
Veel organisaties gebruiken oplossingen van het platform voor bedreigingsinformatie (TIP) om feeds van bedreigingsindicatoren uit verschillende bronnen te aggregeren. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met behulp van de upload-API kunt u deze oplossingen gebruiken om STIX-objecten voor bedreigingsinformatie te importeren in Microsoft Sentinel.
De nieuwe upload-API vereist geen gegevensconnector en biedt de volgende verbeteringen:
- De velden voor bedreigingsindicatoren zijn gebaseerd op de gestandaardiseerde STIX-indeling.
- Voor de Microsoft Entra-toepassing is de rol Microsoft Sentinel Inzender vereist.
- Het eindpunt van de API-aanvraag heeft een bereik op het niveau van de werkruimte. De vereiste Microsoft Entra toepassingsmachtigingen staan gedetailleerde toewijzing op werkruimteniveau toe.
Zie Uw platform voor bedreigingsinformatie verbinden met behulp van upload-API voor meer informatie.
Bedreigingsinformatie toevoegen aan Microsoft Sentinel met de threat intelligence platform-gegevensconnector
Opmerking
Deze gegevensconnector wordt afgeschaft.
Net als bij de upload-API maakt de Threat Intelligence Platform-gegevensconnector gebruik van een API waarmee uw TIP of aangepaste oplossing bedreigingsinformatie naar Microsoft Sentinel kan verzenden. Deze gegevensconnector is echter beperkt tot alleen indicatoren en wordt afgeschaft. Profiteer van de optimalisaties die de upload-API te bieden heeft.
De TIP-gegevensconnector maakt gebruik van de Microsoft Graph Security tiIndicators-API die geen ondersteuning biedt voor andere STIX-objecten. Gebruik deze met een aangepaste TIP die communiceert met de tiIndicators-API om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Defender XDR).
Zie Geïntegreerde platformproducten voor bedreigingsinformatie voor meer informatie over de TIP-oplossingen die zijn geïntegreerd met Microsoft Sentinel. Zie Uw platform voor bedreigingsinformatie verbinden met Microsoft Sentinel voor meer informatie.
Bedreigingsinformatie toevoegen aan Microsoft Sentinel met de gegevensconnector Bedreigingsinformatie - TAXII
De meest gebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsinformatie verkrijgt van oplossingen die ondersteuning bieden voor de huidige STIX/TAXII-versie (2.0 of 2.1), gebruikt u de bedreigingsinformatie - TAXII-gegevensconnector om uw bedreigingsinformatie in Microsoft Sentinel te brengen. Met behulp van de bedreigingsinformatie - TAXII-gegevensconnector heeft Microsoft Sentinel een ingebouwde TAXII-client die bedreigingsinformatie importeert van TAXII 2.x-servers.
Bedreigingsinformatie in STIX-indeling importeren in Microsoft Sentinel van een TAXII-server:
- Haal de API-hoofdmap en verzamelings-id van de TAXII-server op.
- Schakel de bedreigingsinformatie - TAXII-gegevensconnector in Microsoft Sentinel in.
Zie Connect Microsoft Sentinel to STIX/TAXII threat intelligence feeds (Connect Microsoft Sentinel to STIX/TAXII threat intelligence feeds) voor meer informatie.
Bedreigingsinformatie maken en beheren
Bedreigingsinformatie mogelijk gemaakt door Microsoft Sentinel wordt beheerd naast Microsoft Defender-bedreigingsinformatie (MDTI) en Threat Analytics in de Microsoft Defender portal.
Opmerking
U hebt nog steeds toegang tot bedreigingsinformatie in de Azure Portal vanuit Microsoft Sentinel>Threat management>Bedreigingsinformatie.
Twee van de meest voorkomende bedreigingsinformatietaken zijn het maken van nieuwe bedreigingsinformatie met betrekking tot beveiligingsonderzoeken en het toevoegen van tags. De beheerinterface stroomlijnt het handmatige proces voor het samenstellen van individuele bedreigingsinformatie met behulp van enkele belangrijke functies.
- Opnameregels configureren om bedreigingsinformatie van gegevensconnectorbronnen te optimaliseren.
- Definieer relaties terwijl u nieuwe STIX-objecten maakt.
- Bestaande TI cureren met behulp van de opbouwfunctie voor relaties.
- Kopieer algemene metagegevens van een nieuw of bestaand TI-object met behulp van de dubbele functie.
- Voeg vrije-formuliertags toe aan objecten met behulp van meervoudige selectie.
De volgende STIX-objecten zijn beschikbaar in Microsoft Sentinel: 
| STIX-object | Beschrijving |
|---|---|
| Bedreigingsacteur | Van script kiddies tot natiestaten, bedreigingsacteurobjecten beschrijven motivaties, verfijning en bronnenniveaus. |
| Aanvalspatroon | Aanvalspatronen, ook wel technieken, tactieken en procedures genoemd, beschrijven een specifiek onderdeel van een aanval en de MITRE ATT&CK-fase waarin deze wordt gebruikt. |
| Indicator |
Domain name, URL, IPv4 address, IPv6 addressenFile hashesX509 certificates worden gebruikt om de identiteit van apparaten en servers te verifiëren voor veilige communicatie via internet.
JA3 vingerafdrukken zijn unieke id's die worden gegenereerd door het TLS/SSL-handshakeproces. Ze helpen bij het identificeren van specifieke toepassingen en hulpprogramma's die worden gebruikt in netwerkverkeer, waardoor het gemakkelijker is om schadelijke activiteitenJA3S te detecteren vingerafdrukken de mogelijkheden van JA3 uitbreiden door ook serverspecifieke kenmerken op te geven in het vingerafdrukproces. Deze extensie biedt een uitgebreidere weergave van het netwerkverkeer en helpt bij het identificeren van bedreigingen aan de client- en serverzijde.
User agents informatie verstrekken over de clientsoftware die aanvragen naar een server indient, zoals de browser of het besturingssysteem. Ze zijn handig bij het identificeren en profileren van apparaten en toepassingen die toegang hebben tot een netwerk. |
| Identiteit | Beschrijf slachtoffers, organisaties en andere groepen of individuen, samen met de bedrijfssectoren die het nauwst met hen zijn verbonden. |
| Relatie | De threads die bedreigingsinformatie verbinden, waarmee verbindingen kunnen worden gemaakt tussen verschillende signalen en gegevenspunten, worden beschreven met relaties. |
Opnameregels configureren
U kunt bedreigingsinformatie van gegevensconnectors optimaliseren door objecten te filteren en te verbeteren voordat ze aan uw werkruimte worden geleverd. Opnameregels zijn alleen van toepassing op gegevensconnectors en hebben geen invloed op bedreigingsinformatie die is toegevoegd via de upload-API of handmatig is gemaakt. Opnameregels werken kenmerken bij of filteren objecten helemaal uit. De volgende tabel bevat enkele use cases:
| Use case voor opnameregels | Beschrijving |
|---|---|
| Ruis verminderen | Filter oude bedreigingsinformatie die zes maanden niet is bijgewerkt en die ook een lage betrouwbaarheid heeft. |
| Geldigheidsdatum verlengen | Promoot hoogwaardige IOC's van vertrouwde bronnen door hun Valid until met 30 dagen te verlengen. |
| De oude tijd herinneren | De nieuwe taxonomie van bedreigingsacteur is geweldig, maar sommige analisten willen er zeker van zijn dat ze de oude namen taggen. |
Houd rekening met de volgende tips bij het gebruik van opnameregels:
- Alle regels zijn op volgorde van toepassing. Bedreigingsinformatieobjecten die worden opgenomen, worden door elke regel verwerkt totdat er een
Deleteactie wordt uitgevoerd. Als er geen actie wordt ondernomen op een object, wordt het opgenomen uit de bron zoals deze is. - De
Deleteactie betekent dat het bedreigingsinformatieobject wordt overgeslagen voor opname, wat betekent dat het uit de pijplijn wordt verwijderd. Eerdere versies van het object dat al is opgenomen, worden niet beïnvloed. - Het duurt maximaal 15 minuten voordat nieuwe en bewerkte regels van kracht worden.
Zie Werken met opnameregels voor bedreigingsinformatie voor meer informatie.
Relaties maken
U kunt de detectie en reactie op bedreigingen verbeteren door verbindingen tussen objecten tot stand te brengen met behulp van de opbouwfunctie voor relaties. De volgende tabel bevat een aantal use-cases:
| Use case voor relaties | Beschrijving |
|---|---|
| Een bedreigingsacteur verbinden met een aanvalspatroon | De bedreigingsacteur APT29Gebruikt het aanvalspatroon Phishing via Email om de eerste toegang te krijgen. |
| Een indicator koppelen aan een bedreigingsacteur | Een domeinindicator allyourbase.contoso.com wordt toegeschreven aan de bedreigingsacteur APT29. |
| Een identiteit (slachtoffer) koppelen aan een aanvalspatroon | Het aanvalspatroon Phishing via Emailis gericht op de FourthCoffee organisatie. |
In de volgende afbeelding ziet u hoe de opbouwfunctie voor relaties al deze use cases met elkaar verbindt.
Bedreigingsinformatie samenstellen
Configureer welke TI-objecten u kunt delen met de juiste doelgroepen door een gevoeligheidsniveau aan te wijzen met de naam Traffic Light Protocol (TLP).
| TLP-kleur | Gevoeligheid |
|---|---|
| Witte | Informatie kan vrij en openbaar worden gedeeld zonder enige beperking. |
| Groene | Informatie kan worden gedeeld met collega's en partnerorganisaties binnen de community, maar niet openbaar. Het is bedoeld voor een breder publiek binnen de community. |
| Amber | Informatie kan worden gedeeld met leden van de organisatie, maar niet openbaar. Het is bedoeld om binnen de organisatie te worden gebruikt om gevoelige informatie te beschermen. |
| Rode | Informatie is zeer gevoelig en mag niet worden gedeeld buiten de specifieke groep of vergadering waar deze oorspronkelijk is vrijgegeven. |
Stel TLP-waarden in voor TI-objecten in de gebruikersinterface wanneer u ze maakt of bewerkt. Het instellen van TLP via de API is minder intuïtief en vereist het kiezen van een van de vier marking-definition object-GUID's. Zie object_marking_refs in de Algemene eigenschappen van de upload-API voor meer informatie over het configureren van TLP via de API.
Een andere manier om TI te cureren is met behulp van tags. Het taggen van bedreigingsinformatie is een snelle manier om objecten samen te groeperen, zodat ze gemakkelijker te vinden zijn. Normaal gesproken kunt u tags toepassen die betrekking hebben op een bepaald incident. Maar als een object bedreigingen van een bepaalde bekende actor of een bekende aanvalscampagne vertegenwoordigt, kunt u overwegen een relatie te maken in plaats van een tag. Nadat u de bedreigingsinformatie hebt gezocht en gefilterd waarmee u wilt werken, tagt u ze afzonderlijk of selecteert u ze meerdere selecties en tagt u ze allemaal tegelijk. Omdat taggen een vrije vorm heeft, maakt u standaard naamconventies voor bedreigingsinformatietags.
Zie Werken met bedreigingsinformatie in Microsoft Sentinel voor meer informatie.
Uw bedreigingsinformatie weergeven
Bekijk uw bedreigingsinformatie vanuit de beheerinterface of met behulp van query's:
Gebruik vanuit de beheerinterface geavanceerde zoekopdrachten om uw bedreigingsinformatieobjecten te sorteren en te filteren zonder een Log Analytics-query te schrijven.
Gebruik query's om bedreigingsinformatie weer te geven vanuit logboeken in de Azure Portal of Geavanceerde opsporing in de Defender-portal.
In beide gevallen worden in de
ThreatIntelligenceIndicatortabel onder het Microsoft Sentinel-schema al uw Microsoft Sentinel bedreigingsindicatoren opgeslagen. Deze tabel is de basis voor bedreigingsinformatiequery's die worden uitgevoerd door andere Microsoft Sentinel functies, zoals analyses, opsporingsquery's en werkmappen.
Belangrijk
Op 3 april 2025 hebben we een openbare preview van twee nieuwe tabellen gemaakt ter ondersteuning van STIX-indicator- en objectschema's: ThreatIntelIndicators en ThreatIntelObjects. Microsoft Sentinel neemt alle bedreigingsinformatie op in deze nieuwe tabellen, terwijl dezelfde gegevens tot 31 juli 2025 in de verouderde ThreatIntelligenceIndicator tabel worden opgenomen.
Zorg ervoor dat u uw aangepaste query's, analyse- en detectieregels, werkmappen en automatisering voor 31 juli 2025 bijwerkt om de nieuwe tabellen te gebruiken. Na deze datum stopt Microsoft Sentinel met het opnemen van gegevens in de verouderde ThreatIntelligenceIndicator tabel. We werken alle out-of-the-box oplossingen voor bedreigingsinformatie in Content Hub bij om gebruik te maken van de nieuwe tabellen. Zie ThreatIntelIndicators en ThreatIntelObjects voor meer informatie over de nieuwe tabelschema's.
Zie Werken met STIX-objecten om bedreigingsinformatie en opsporing van bedreigingen in Microsoft Sentinel (preview) te verbeteren voor meer informatie over het gebruik en migreren naar de nieuwe tabellen.
Levenscyclus van bedreigingsinformatie
Microsoft Sentinel slaat gegevens over bedreigingsinformatie op in uw bedreigingsinformatietabellen en neemt alle gegevens elke zeven tot 10 dagen automatisch opnieuw op om de query-efficiëntie te optimaliseren.
Wanneer een indicator wordt gemaakt, bijgewerkt of verwijderd, maakt Microsoft Sentinel een nieuwe vermelding in de tabellen. Alleen de meest recente indicator wordt weergegeven op de beheerinterface. Microsoft Sentinel ontdubbelt indicatoren op basis van de Id eigenschap (de IndicatorId eigenschap in de verouderde ThreatIntelligenceIndicator) en kiest de indicator met de nieuwste TimeGenerated[UTC].
De Id eigenschap is een samenvoeging van de met base64 gecodeerde SourceSystem waarde ( --- drie streepjes) en de stixId (de Data.Id waarde).
Uw GeoLocation- en WhoIs-gegevensverrijkingen weergeven (openbare preview)
Microsoft verrijkt IP- en domeinindicatoren met extra GeoLocation en WhoIs gegevens om meer context te bieden voor onderzoeken waar het geselecteerde IOC wordt gevonden.
Bekijk GeoLocation en WhoIs gegevens in het deelvenster Bedreigingsinformatie voor deze typen bedreigingsindicatoren die zijn geïmporteerd in Microsoft Sentinel.
Gebruik GeoLocation bijvoorbeeld gegevens om informatie te vinden, zoals de organisatie of het land of de regio voor een IP-indicator. Gebruik WhoIs gegevens om gegevens te vinden zoals registrar en gegevens voor het maken van records uit een domeinindicator.
Bedreigingen detecteren met analyse van bedreigingsindicatoren
De belangrijkste use-case voor bedreigingsinformatie in SIEM-oplossingen, zoals Microsoft Sentinel, is power analytics-regels voor bedreigingsdetectie. Deze op indicator gebaseerde regels vergelijken onbewerkte gebeurtenissen uit uw gegevensbronnen met uw bedreigingsindicatoren om beveiligingsrisico's in uw organisatie te detecteren. In Microsoft Sentinel Analytics maakt u analyseregels op basis van query's die volgens een schema worden uitgevoerd en beveiligingswaarschuwingen genereren. Samen met configuraties bepalen ze hoe vaak de regel moet worden uitgevoerd, welk type queryresultaten beveiligingswaarschuwingen en -incidenten moeten genereren en, optioneel, wanneer een geautomatiseerd antwoord moet worden geactiveerd.
Hoewel u altijd nieuwe analyseregels kunt maken, biedt Microsoft Sentinel een set ingebouwde regelsjablonen, gemaakt door Beveiligingstechnici van Microsoft, om te profiteren van uw bedreigingsindicatoren. Deze sjablonen zijn gebaseerd op het type bedreigingsindicatoren (domein, e-mail, bestands-hash, IP-adres of URL) en gegevensbron-gebeurtenissen die u wilt overeenkomen. Elke sjabloon bevat de vereiste bronnen die nodig zijn om de regel te laten functioneren. Met deze informatie kunt u eenvoudig bepalen of de benodigde gebeurtenissen al zijn geïmporteerd in Microsoft Sentinel.
Wanneer deze ingebouwde regels worden geactiveerd, wordt standaard een waarschuwing gemaakt. In Microsoft Sentinel genereren de waarschuwingen die worden gegenereerd op basis van analyseregels ook beveiligingsincidenten. Selecteer in het menu Microsoft Sentinel onder Bedreigingsbeheerde optie Incidenten. Incidenten zijn wat uw beveiligingsteams sorteren en onderzoeken om de juiste reactieacties te bepalen. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.
Zie Bedreigingsinformatie gebruiken om bedreigingen te detecteren voor meer informatie over het gebruik van bedreigingsindicatoren in uw analyseregels.
Microsoft biedt toegang tot de bedreigingsinformatie via de Defender Threat Intelligence-analyseregel. Zie Matching Analytics gebruiken om bedreigingen te detecteren voor meer informatie over hoe u kunt profiteren van deze regel, waarmee waarschuwingen en incidenten met hoge kwaliteit worden gegenereerd.
Werkmappen bieden inzichten over uw bedreigingsinformatie
Werkmappen bieden krachtige interactieve dashboards die u inzicht geven in alle aspecten van Microsoft Sentinel, en bedreigingsinformatie is geen uitzondering. Gebruik de ingebouwde werkmap Bedreigingsinformatie om belangrijke informatie over uw bedreigingsinformatie te visualiseren. Pas de werkmap aan op basis van de behoeften van uw bedrijf. Maak nieuwe dashboards door veel gegevensbronnen te combineren om uw gegevens op unieke manieren te visualiseren.
Omdat Microsoft Sentinel werkmappen zijn gebaseerd op Azure Werkmappen bewaken, zijn er al uitgebreide documentatie en nog veel meer sjablonen beschikbaar. Zie Interactieve rapporten maken met Azure Werkmappen bewaken voor meer informatie.
Er is ook een uitgebreide resource voor Azure Werkmappen bewaken op GitHub, waar u meer sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.
Zie Bedreigingsinformatie visualiseren met werkmappen voor meer informatie over het gebruik en aanpassen van de werkmap Bedreigingsinformatie.
Verwante onderwerpen
In dit artikel hebt u geleerd over mogelijkheden voor bedreigingsinformatie die mogelijk worden gemaakt door Microsoft Sentinel. Zie de volgende artikelen voor meer informatie: