Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Uw analyseregels voorzien van uw bedreigingsindicatoren om automatisch waarschuwingen te genereren op basis van de bedreigingsinformatie die u hebt geïntegreerd.
Vereisten
- Bedreigingsindicatoren. Deze indicatoren kunnen afkomstig zijn van feeds voor bedreigingsinformatie, platformen voor bedreigingsinformatie, bulkimport uit een plat bestand of handmatige invoer.
- Gegevensbronnen. Gebeurtenissen van uw gegevensconnectors moeten naar uw Microsoft Sentinel werkruimte stromen.
- Een analyseregel van de indeling
TI map.... Deze indeling moet worden gebruikt, zodat de bedreigingsindicatoren die u hebt, kunnen worden toegewezen aan de gebeurtenissen die u hebt opgenomen.
Een regel configureren om beveiligingswaarschuwingen te genereren
In het volgende voorbeeld ziet u hoe u een regel voor het genereren van beveiligingswaarschuwingen inschakelt en configureert met behulp van de bedreigingsindicatoren die u hebt geïmporteerd in Microsoft Sentinel. Voor dit voorbeeld gebruikt u de regelsjabloon met de naam TI-toewijzing van IP-entiteit aan AzureActivity. Deze regel komt overeen met een bedreigingsindicator van het type IP-adres met al uw Azure activiteitsgebeurtenissen. Wanneer er een overeenkomst wordt gevonden, wordt er een waarschuwing gegenereerd samen met een bijbehorend incident voor onderzoek door uw beveiligingsteam.
Voor deze specifieke analyseregel is de Azure activiteitsgegevensconnector vereist (om uw Azure gebeurtenissen op abonnementsniveau te importeren). Er is ook een of beide bedreigingsinformatiegegevensconnectors vereist (voor het importeren van bedreigingsindicatoren). Deze regel wordt ook geactiveerd op basis van geïmporteerde of handmatig gemaakte indicatoren.
Ga in de Azure Portal naar Microsoft Sentinel.
Kies de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met behulp van de gegevensconnectors bedreigingsinformatie en Azure activiteitsgegevens met behulp van de gegevensconnector Azure Activiteit.
Selecteer in het menu Microsoft Sentinel onder de sectie Configuratiede optie Analyse.
Selecteer het tabblad Regelsjablonen om de lijst met beschikbare sjablonen voor analyseregels weer te geven.
Zoek de regel met de titel TI-toewijzing van IP-entiteit aan AzureActivity en zorg ervoor dat u alle vereiste gegevensbronnen hebt verbonden.
Selecteer de regel TI om IP-adres toe te wijzen aan AzureActivity . Selecteer vervolgens Regel maken om een wizard regelconfiguratie te openen. Configureer de instellingen in de wizard en selecteer vervolgens Volgende: Regellogica >instellen .
Het gedeelte van de regellogica van de wizard wordt vooraf ingevuld met de volgende items:
- De query die wordt gebruikt in de regel.
- Entiteitstoewijzingen, waarmee Microsoft Sentinel entiteiten zoals accounts, IP-adressen en URL's kunt herkennen. Incidenten en onderzoeken kunnen vervolgens begrijpen hoe u met de gegevens kunt werken in beveiligingswaarschuwingen die door deze regel zijn gegenereerd.
- De planning voor het uitvoeren van deze regel.
- Het aantal queryresultaten dat nodig is voordat een beveiligingswaarschuwing wordt gegenereerd.
De standaardinstellingen in de sjabloon zijn:
- Eén keer per uur uitvoeren.
- Match alle IP-adres bedreigingsindicatoren uit de
ThreatIntelligenceIndicatortabel met een IP-adres dat is gevonden in de laatste één uur gebeurtenissen uit deAzureActivitytabel. - Genereer een beveiligingswaarschuwing als de queryresultaten groter zijn dan nul om aan te geven dat er overeenkomsten zijn gevonden.
- Zorg ervoor dat de regel is ingeschakeld.
U kunt de standaardinstellingen laten staan of deze wijzigen om aan uw vereisten te voldoen. U kunt instellingen voor het genereren van incidenten definiëren op het tabblad Incidentinstellingen . Zie Aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie. Wanneer u klaar bent, selecteert u het tabblad Automatisch antwoord .
Configureer elke automatisering die u wilt activeren wanneer er een beveiligingswaarschuwing wordt gegenereerd op basis van deze analyseregel. Automatisering in Microsoft Sentinel maakt gebruik van combinaties van automatiseringsregels en playbooks die mogelijk worden gemaakt door Azure Logic Apps. Zie Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel voor meer informatie. Wanneer u klaar bent, selecteert u Volgende: Controleren > om door te gaan.
Wanneer u een bericht ziet waarin staat dat de regelvalidatie is geslaagd, selecteert u Maken.
Uw regels controleren
Zoek uw ingeschakelde regels op het tabblad Actieve regels van de sectie Analyse van Microsoft Sentinel. De actieve regel bewerken, inschakelen, uitschakelen, dupliceren of verwijderen. De nieuwe regel wordt direct na activering uitgevoerd en wordt vervolgens uitgevoerd volgens de gedefinieerde planning.
Volgens de standaardinstellingen wordt telkens wanneer de regel volgens de planning wordt uitgevoerd, een beveiligingswaarschuwing gegenereerd wanneer de gevonden resultaten worden gevonden. Als u beveiligingswaarschuwingen wilt zien in Microsoft Sentinel in de sectie Logboeken van Microsoft Sentinel, raadpleegt SecurityAlert u de tabel onder de groep Microsoft Sentinel.
In Microsoft Sentinel genereren de waarschuwingen die worden gegenereerd op basis van analyseregels ook beveiligingsincidenten. Selecteer in het menu Microsoft Sentinel onder Bedreigingsbeheerde optie Incidenten. Incidenten zijn wat uw beveiligingsteams sorteren en onderzoeken om de juiste reactieacties te bepalen. Zie Zelfstudie: Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.
Opmerking
Omdat analytische regels zoekopdrachten beperken tot meer dan 14 dagen, worden Microsoft Sentinel indicatoren elke zeven tot 10 dagen vernieuwd om ervoor te zorgen dat ze beschikbaar zijn voor overeenkomende doeleinden via de analyseregels.
Verwante onderwerpen
In dit artikel hebt u geleerd hoe u bedreigingsinformatie-indicatoren kunt gebruiken om bedreigingen te detecteren. Zie de volgende artikelen voor meer informatie over bedreigingsinformatie in Microsoft Sentinel:
- Werken met bedreigingsindicatoren in Microsoft Sentinel.
- Verbind Microsoft Sentinel met STIX/TAXII bedreigingsinformatiefeeds.
- Verbind platformen voor bedreigingsinformatie met Microsoft Sentinel.
- Bekijk welke TIP-platformen, TAXII-feeds en verrijkingen eenvoudig kunnen worden geïntegreerd met Microsoft Sentinel.