Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een Security Operations Center (SOC) is een gecentraliseerde functie binnen een organisatie die mensen, processen en technologie integreert. Een SOC implementeert het algemene cyberbeveiligingsframework van de organisatie. Het SOC werkt samen aan de inspanningen van de organisatie om cyberbeveiligingsincidenten te bewaken, te waarschuwen, te voorkomen, te detecteren, te analyseren en erop te reageren. SOC-teams, onder leiding van een SOC-manager, kunnen bestaan uit incidentresponsers, SOC-analisten op niveau 1, 2 en 3, bedreigingsjagers en incidentresponsmanagers.
SOC-teams gebruiken telemetrie van de IT-infrastructuur van de organisatie, waaronder netwerken, apparaten, toepassingen, gedrag, apparaten en informatiearchieven. De teams werken vervolgens samen en analyseren de gegevens om te bepalen hoe de gegevens moeten worden beheerd en welke acties moeten worden ondernomen.
Als u wilt migreren naar Microsoft Sentinel, moet u niet alleen de technologie bijwerken die door de SOC wordt gebruikt, maar ook de SOC-taken en -processen. In dit artikel wordt beschreven hoe u uw SOC- en analistenprocessen bijwerkt als onderdeel van uw migratie naar Microsoft Sentinel.
Werkstroom van analisten bijwerken
Microsoft Sentinel biedt een reeks hulpprogramma's die zijn toegewezen aan een typische analistenwerkstroom, van incidenttoewijzing tot afsluiting. Analisten kunnen flexibel enkele of alle beschikbare hulpprogramma's gebruiken om incidenten te sorteren en te onderzoeken. Wanneer uw organisatie migreert naar Microsoft Sentinel, moeten uw analisten zich aanpassen aan deze nieuwe hulpprogramma's, functies en werkstromen.
Incidenten in Microsoft Sentinel
In Microsoft Sentinel is een incident een verzameling waarschuwingen die Microsoft Sentinel voldoende betrouwbaarheid heeft om het incident te activeren. Daarom analyseert de analist met Microsoft Sentinel eerst incidenten op de pagina Incidenten en gaat vervolgens verder met het analyseren van waarschuwingen als er een diepere analyse nodig is. Vergelijk de terminologie en beheergebieden van uw SIEM met Microsoft Sentinel.
Werkstroomfasen van analisten
In deze tabel worden de belangrijkste fasen in de analistenwerkstroom beschreven en worden de specifieke hulpprogramma's gemarkeerd die relevant zijn voor elke activiteit in de werkstroom.
| Toewijzen | Triage | Onderzoeken | Beantwoorden |
|---|---|---|---|
|
Incidenten toewijzen: • Handmatig, op de pagina Incidenten • Automatisch, met behulp van playbooks of automatiseringsregels |
Sorteer incidenten met behulp van: • De details van het incident op de pagina Incident • Entiteitsinformatie op de pagina Incident, onder het tabblad Entiteiten • Jupyter Notebooks |
Incidenten onderzoeken met behulp van: • De onderzoeksgrafiek • Microsoft Sentinel werkmappen • Het Log Analytics-queryvenster |
Reageren op incidenten met behulp van: • Playbooks en automatiseringsregels • Microsoft Teams War Room |
In de volgende secties worden zowel de terminologie als de analistenwerkstroom toegewezen aan specifieke Microsoft Sentinel functies.
Toewijzen
Gebruik de pagina Microsoft Sentinel Incidenten om incidenten toe te wijzen. De pagina Incidenten bevat een voorbeeld van incidenten en een gedetailleerde weergave voor afzonderlijke incidenten.
Een incident toewijzen:
- Handmatig. Stel het veld Eigenaar in op de relevante gebruikersnaam.
- Automatisch. Gebruik een aangepaste oplossing op basis van Microsoft Teams en Logic Apps, of een automatiseringsregel.
Triage
Als u een triage-oefening wilt uitvoeren in Microsoft Sentinel, kunt u beginnen met verschillende Microsoft Sentinel functies, afhankelijk van uw expertiseniveau en de aard van het incident dat wordt onderzocht. Als een typisch uitgangspunt selecteert u Volledige details weergeven op de pagina Incident . U kunt nu de waarschuwingen bekijken waaruit het incident bestaat, bladwijzers controleren, entiteiten selecteren om verder in te zoomen op specifieke entiteiten of opmerkingen toevoegen.
Hier volgen voorgestelde acties om uw incidentbeoordeling voort te zetten:
- Selecteer Onderzoek voor een visuele weergave van de relaties tussen de incidenten en de relevante entiteiten.
- Gebruik een Jupyter-notebook om een diepgaande triage-oefening uit te voeren voor een bepaalde entiteit. U kunt het notitieblok Incident triage gebruiken voor deze oefening.
Bespoediging
Gebruik deze functies en mogelijkheden om de sortering te versnellen:
- Voor snel filteren zoekt u op de pagina Incidentennaar incidenten die zijn gekoppeld aan een specifieke entiteit. Filteren op entiteit op de pagina Incidenten gaat sneller dan filteren op de entiteitskolom in verouderde SIEM-incidentwachtrijen.
- Voor een snellere triage gebruikt u het scherm Waarschuwingsgegevens om belangrijke incidentgegevens op te nemen in de naam en beschrijving van het incident, zoals de bijbehorende gebruikersnaam, IP-adres of host. Een incident kan bijvoorbeeld dynamisch worden gewijzigd in
Ransomware activity detected in DC01, waarbijDC01een kritieke asset is, dynamisch geïdentificeerd via de aanpasbare waarschuwingseigenschappen. - Voor een diepere analyse selecteert u op de pagina Incidenten een incident en selecteert u Gebeurtenissen onder Bewijs om specifieke gebeurtenissen weer te geven die het incident hebben geactiveerd. De gebeurtenisgegevens zijn zichtbaar als de uitvoer van de query die is gekoppeld aan de analyseregel, in plaats van de onbewerkte gebeurtenis. De regelmigratietechnicus kan deze uitvoer gebruiken om ervoor te zorgen dat de analist de juiste gegevens krijgt.
- Voor gedetailleerde entiteitsinformatie selecteert u op de pagina Incidenten een incident en selecteert u een entiteitsnaam onder Entiteiten om de directorygegevens, tijdlijn en inzichten van de entiteit weer te geven. Meer informatie over het toewijzen van entiteiten.
- Als u een koppeling wilt maken naar relevante werkmappen, selecteert u Voorbeeld van incident. U kunt de werkmap aanpassen om aanvullende informatie over het incident of de bijbehorende entiteiten en aangepaste velden weer te geven.
Onderzoeken
Gebruik de onderzoeksgrafiek om incidenten grondig te onderzoeken. Selecteer op de pagina Incidenten een incident en selecteer Onderzoeken om de onderzoeksgrafiek weer te geven.
Met de onderzoeksgrafiek kunt u het volgende doen:
- Begrijp het bereik en identificeer de hoofdoorzaak van potentiële beveiligingsrisico's door relevante gegevens te correleren met elke betrokken entiteit.
- Duik dieper in entiteiten en kies tussen verschillende uitbreidingsopties.
- Bekijk eenvoudig verbindingen tussen verschillende gegevensbronnen door relaties weer te geven die automatisch uit de onbewerkte gegevens zijn geëxtraheerd.
- Breid uw onderzoeksbereik uit met behulp van ingebouwde verkenningsquery's om het volledige bereik van een bedreiging naar boven te komen.
- Gebruik vooraf gedefinieerde verkenningsopties om u te helpen de juiste vragen te stellen tijdens het onderzoeken van een bedreiging.
Vanuit de onderzoeksgrafiek kunt u ook werkmappen openen om uw onderzoeksinspanningen verder te ondersteunen. Microsoft Sentinel bevat verschillende werkmapsjablonen die u kunt aanpassen aan uw specifieke gebruiksscenario.
Beantwoorden
Gebruik Microsoft Sentinel geautomatiseerde reactiemogelijkheden om te reageren op complexe bedreigingen en waarschuwingsmoeheid te verminderen. Microsoft Sentinel biedt geautomatiseerde respons met behulp van Logic Apps-playbooks en automatiseringsregels.
Gebruik een van de volgende opties voor toegang tot playbooks:
- Het tabblad Automation > Playbook-sjablonen
- De hub Microsoft Sentinel Inhoud
- De Microsoft Sentinel GitHub-opslagplaats
Deze bronnen omvatten een breed scala aan op beveiliging gerichte playbooks om een aanzienlijk deel van gebruiksvoorbeelden van verschillende complexiteit te dekken. Als u uw werk met playbooks wilt stroomlijnen, gebruikt u de sjablonen onder Automation > Playbook-sjablonen. Met sjablonen kunt u eenvoudig playbooks implementeren in het Microsoft Sentinel exemplaar en vervolgens de playbooks aanpassen aan de behoeften van uw organisatie.
Zie het SOC Process Framework om uw SOC-proces toe te wijzen aan Microsoft Sentinel mogelijkheden.
SIEM-concepten vergelijken
Gebruik deze tabel om de belangrijkste concepten van uw verouderde SIEM te vergelijken met Microsoft Sentinel concepten.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Gebeurtenis | Gebeurtenis | Gebeurtenis | Gebeurtenis |
| Correlatie-gebeurtenis | Correlatie-gebeurtenis | Belangrijke gebeurtenis | Waarschuwing |
| Incident | Overtreding | Belangrijke gebeurtenis | Incident |
| Lijst met overtredingen | Tags | Pagina Incidenten | |
| Labels | Aangepast veld in SOAR | Tags | Tags |
| Jupyter Notebooks | Jupyter Notebooks | Microsoft Sentinel notitieblokken | |
| Dashboards | Dashboards | Dashboards | Werkmappen |
| Correlatieregels | Bouwstenen | Correlatieregels | Analyseregels |
| Incidentwachtrij | Tabblad Overtredingen | Incidentbeoordeling | Incidentpagina |
Volgende stappen
Na de migratie kunt u de Microsoft Sentinel-resources van Microsoft verkennen om uw vaardigheden uit te breiden en optimaal gebruik te maken van Microsoft Sentinel.
Overweeg ook om uw bedreigingsbeveiliging te verhogen met behulp van Microsoft Sentinel naast Microsoft Defender XDR en Microsoft Defender voor cloud voor geïntegreerde bedreigingsbeveiliging. Profiteer van de breedte van de zichtbaarheid die Microsoft Sentinel biedt, terwijl u dieper ingaat op gedetailleerde bedreigingsanalyse.
Zie voor meer informatie:
- Best practices voor regelmigratie
- Webinar: Aanbevolen procedures voor het converteren van detectieregels
- Security Orchestration, Automation, and Response (SOAR) in Microsoft Sentinel
- Uw SOC beter beheren met metrische incidentgegevens
- Microsoft Sentinel leertraject
- SC-200 Microsoft Security Operations Analyst-certificering
- Microsoft Sentinel Ninja training
- Een aanval op een hybride omgeving onderzoeken met Microsoft Sentinel