Bedreigingen detecteren met Microsoft Sentinel (regels en waarschuwingen maken)

Bedreigingen detecteren met Microsoft Sentinel (regels en waarschuwingen maken)

01/03/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het proactief detecteren van bedreigingen met behulp van Microsoft Sentinel, Microsoft cloud-native SIEM (Security Information and Event Management) en SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel biedt een uniform beeld van de beveiliging in de hele onderneming door gegevens uit meerdere bronnen te verzamelen, bedreigingen te detecteren, incidenten te onderzoeken en er op geautomatiseerde wijze op te reageren [1].

Introductie

In een steeds complexer en omvangrijker cyberdreigingslandschap hebben organisaties tools nodig die niet alleen beveiligingsgegevens verzamelen, maar deze ook op intelligente wijze analyseren om kwaadwillige activiteiten te identificeren. Microsoft Sentinel overbrugt deze kloof door beveiligingsteams in staat te stellen bedreigingen in realtime te monitoren, detecteren en erop te reageren. Het creëren van analyseregels en waarschuwingen vormt de kern van de detectiemogelijkheden van Sentinel, waardoor grote hoeveelheden logboeken worden omgezet in bruikbare inzichten [2].

Deze praktische handleiding behandelt het configureren van analyseregels in Azure Sentinel, van het opnemen van gegevens tot het maken van aangepaste waarschuwingen en het valideren van de effectiviteit ervan. Er worden stapsgewijze instructies, voorbeeld KQL-query's (Kusto Query Language) en beschrijvingen gegeven, zodat de lezer de detectie van bedreigingen in zijn omgeving kan implementeren en optimaliseren, waardoor de beveiliging wordt versterkt en de respons op incidenten wordt versneld.

Waarom Azure Sentinel voor bedreigingsdetectie?

  • Cloud-schaalbaarheid: gebaseerd op Azure en biedt onbeperkte schaalbaarheid voor logboekopname en opslag.
  • Geïntegreerde bedreigingsinformatie: maakt gebruik van bedreigingsinformatie van Microsoft en partners om de detectie te verrijken.
  • Gedragsanalyse (UEBA): Identificeert afwijkingen en verdacht gedrag van gebruikers en entiteiten.
  • Automatisering (SOAR): Hiermee kunt u reacties op incidenten automatiseren via draaiboeken.
  • Uitgebreid inzicht: maakt verbinding met meerdere gegevensbronnen, waaronder Microsoft 365, Azure, AWS, Google Cloud en beveiligingsoplossingen van derden.

Vereisten

Als u bedreigingsdetectie wilt configureren met Azure Sentinel, hebt u de volgende items nodig:

  1. Azure-abonnement: een actief Microsoft Azure-abonnement.
  2. Beheerderstoegang: een account met Sentinel Contributor- of Log Analytics-beheerdersmachtigingen in de Azure-portal (portal.azure.com).
  3. Log Analytics-werkruimte: een geconfigureerde Log Analytics-werkruimte die dient als gegevensopslagplaats voor Sentinel.
  4. Microsoft Sentinel Active: Microsoft Sentinel moet zijn ingeschakeld in de Log Analytics-werkruimte.
  5. Geconfigureerde gegevensconnectoren: beveiligingsgegevens (logboeken) moeten worden opgenomen in de Log Analytics-werkruimte vanuit bronnen zoals Azure AD, Microsoft 365, Microsoft Defender voor Endpoint, firewalls, enz. [3].

Stap voor stap: analyseregels en waarschuwingen maken

Laten we een geplande analyseregel maken om een veelvoorkomend dreigingsscenario te detecteren: meerdere mislukte aanmeldingen in korte tijd, wat duidt op een brute force-poging.

1. Controleer dataconnectoren

Voordat u regels maakt, moet u ervoor zorgen dat de relevante gegevens worden opgenomen. Voor detectie van aanmeldingsfouten hebben we logboeken nodig van Azure Active Directory (Microsoft Entra ID).

  1. Ga naar de Azure-portal: https://portal.azure.com.
  2. Navigeer naar Microsoft Sentinel.
  3. Selecteer in het linkernavigatievenster Gegevensconnectoren.
  4. Zoek naar Azure Active Directory en controleer of de status Verbonden is.

2. Maak een geplande analyseregel

Laten we een regel maken die binnen 10 minuten vijf of meer aanmeldingsfouten vanaf hetzelfde IP-adres detecteert.

  1. Selecteer in Azure Sentinel in het linkernavigatievenster Analytics.
  2. Klik op + Maken > Geplande queryregel.

Stap 1: Algemeen

  1. Naam: Azure AD Brute Force-poging
  2. Beschrijving: Detecteert binnen korte tijd meerdere Azure AD-inlogfouten vanaf hetzelfde IP-adres, wat een mogelijke brute force-aanval aangeeft.
  3. Tactiek: Selecteer Inloggegevenstoegang.
  4. Ernst: Gemiddeld.
  5. Status: Ingeschakeld.
  6. Klik op Volgende: Defidefinieer regellogica.

Stap 2: Regellogica definiëren

  1. Regelquery: Voer de KQL-query in:
Aanmeldingslogboeken
| waarbij ResultType == "50126" // Referentievalidatie mislukt
| vat FailedLogins = count() samen op basis van IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| waarbij mislukte aanmeldingen >= 5
| uitbreiding AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Entiteitstoewijzing: wijs entiteiten toe om waarschuwingen te verrijken. Voeg onder Entiteitstoewijzing het volgende toe:

    • Account: AccountCustomEntity
    • IP-adres: IPCustomEntity

  2. Een afspraak plannen:

    • Voer elke query uit: 10 minuten
    • Laatste zoekgegevens: 10 Minuten

  3. Waarschuwingslimiet: Laat de standaardinstelling 'Genereer waarschuwing wanneer het aantal zoekopdrachtresultaten groter is dan 0' staan.

Stap 3: Incidentinstellingen

  1. Maak incidenten op basis van waarschuwingen die door deze analyseregel worden geactiveerd: Ingeschakeld.
  2. Waarschuwingsgroepering: 'Groepeer waarschuwingen in één incident als alle waarschuwingen door dezelfde entiteit worden gegenereerd'.

Stap 4: Geautomatiseerd antwoord

Optioneel kunt u een playbook (gebaseerd op Logic Apps) bijvoegen om acties te automatiseren, zoals het blokkeren van het IP-adres in de firewall of het uitschakelen van het gebruikersaccount.

Stap 5: Controleer en maak

Controleer alle instellingen en klik op Maken.

Waarschuwingen en incidenten onderzoeken

Wanneer de regel verdachte activiteit detecteert, wordt er een incident gecreëerd.

  1. Ga in Azure Sentinel naar Incidenten.
  2. Klik op het incident dat door uw regel is gegenereerd.
  3. Op de pagina met incidentdetails ziet u het volgende:
    • Tijdlijn: een chronologie van waarschuwingen.
    • Entiteiten: de in kaart gebrachte entiteiten (gebruiker en IP), die verder kunnen worden onderzocht.
    • Onderzoeksgrafiek: een grafische visualisatie van de verbindingen tussen entiteiten.

Gebruik deze tools om de omvang van de aanval te begrijpen en de nodige reactieacties te ondernemen.

Analytics-regelsjablonen gebruiken

Microsoft Sentinel wordt geleverd met honderden vooraf gebouwde regelsjablonen van Microsoft en zijn beveiligingsgemeenschap. Het gebruik ervan is een snelle manier om uw detectiecapaciteit te vergroten.

  1. Ga in Analyse naar het tabblad Regelsjablonen.
  2. Filter op gegevensbronnen, MITRE ATT&CK®-tactieken, enz.
  3. Selecteer een relevante sjabloon (bijvoorbeeld 'Anomale aanmeldingslocatie').
  4. Klik op Regel maken in het detailvenster. De wizard wordt gevuld met sjabloonlogica en instellingen, die u kunt aanpassen voordat u de actieve regel maakt.

Conclusie

Het maken van aangepaste analyseregels in Azure Sentinel is een essentiële mogelijkheid voor elk beveiligingsteam. Door ruwe data om te zetten in bruikbare detecties kunnen organisaties proactief bedreigingen identificeren, zoals brute force-aanvallen, laterale verplaatsing en data-exfiltratie. Gecombineerd met responsautomatisering en bestaande regelsjablonen stelt Sentinel analisten in staat zich te concentreren op wat het belangrijkst is: het beschermen van de organisatie.

Referenties

[1]Microsoft. (2023). Wat is Microsoft Sentinel? [2]Microsoft. (2023). Bekijk en onderzoek incidenten in Microsoft Sentinel. [3]Microsoft. (2023). Werken met Microsoft Sentinel-dataconnectoren.