Monitor incidenten in realtime met Microsoft 365 Security Center

Monitor incidenten in realtime met Microsoft 365 Security Center

03/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het bewaken en beheren van realtime beveiligingsincidenten met behulp van de Microsoft 365 Defender-portal (voorheen bekend als Microsoft 365 Security Center). Deze portal verenigt de zichtbaarheid en incidentresponsmogelijkheden van meerdere Microsoft-beveiligingsoplossingen, zoals Defender for Endpoint, Defender for Office 365, Defender for Identity en Defender for Cloud Apps, en biedt zo een gecentraliseerd platform voor beveiligingsoperaties [1].

Introductie

In een steeds evoluerende cyberdreigingsomgeving is het vermogen om beveiligingsincidenten snel en efficiënt te detecteren, te onderzoeken en erop te reageren cruciaal om de impact van een aanval te minimaliseren. De Microsoft 365 Defender-portal fungeert als een commando- en controlecentrum, waarbij beveiligingswaarschuwingen van verschillende Microsoft-producten worden gecorreleerd tot samenhangende incidenten. Hierdoor kunnen SecOps-teams (Security Operations) een holistisch beeld krijgen van een aanval, de kill-keten ervan begrijpen en effectiever corrigerende maatregelen nemen [2].

In deze handleiding wordt beschreven hoe u door de Microsoft 365 Defender-portal navigeert, de incidentwachtrij bewaakt, gecorreleerde waarschuwingen onderzoekt en de levenscyclus van een incident beheert. Er worden stapsgewijze instructies, voorbeelden van interfacegebruik en validatiemethoden verstrekt, zodat de lezer zijn beveiligingsactiviteiten kan optimaliseren en de mogelijkheden voor incidentrespons in zijn Microsoft 365-omgeving kan verbeteren.

Waarom Microsoft 365 Defender-portal voor incidentmonitoring?

  • Unified Visibility: Voegt beveiligingswaarschuwingen van meerdere Defender-producten (Endpoint, Office 365, Identity, Cloud Apps) samen in één dashboard.
  • Automatische correlatie: correleert automatisch gerelateerde waarschuwingen voor incidenten, waardoor een rijkere context over een aanval wordt geboden.
  • Uitgebreid onderzoek: Biedt diepgaande onderzoekshulpmiddelen, waaronder een tijdlijn van gebeurtenissen, aanvalsgrafieken en gedetailleerde informatie over getroffen entiteiten.
  • Gecoördineerde respons: Hiermee kunnen beveiligingsteams centraal reageren op incidenten, met geautomatiseerde en handmatige acties.
  • Automation of Response (SOAR): integreert met SOAR-mogelijkheden om incidentresponstaken te automatiseren, waardoor de gemiddelde time-to-respons (MTTR) wordt verkort.

Vereisten

Om incidenten in realtime te monitoren met de Microsoft 365 Defender-portal, hebt u de volgende items nodig:

  1. Licenties: passende licenties voor Microsoft 365 Defender-producten (bijvoorbeeld Microsoft 365 E5 Security, Microsoft 365 E5) die toegang tot de portal en detectiemogelijkheden omvatten [3].
  2. Beheerderstoegang: een account met machtigingen voor Beveiligingsbeheerder, Beveiligingsoperator of Beveiligingslezer in de Microsoft 365 Defender-portal (https://security.microsoft.com).
  3. Actieve Defender-producten: Ten minste één van de Defender-producten (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) moet actief zijn en geconfigureerd om waarschuwingen te genereren.
  4. Verbonden gegevensbronnen: Beveiligingsgegevens moeten worden opgenomen en gecontroleerd door de respectieve Defender-producten.

Stap voor stap: incidenten monitoren en beheren

Laten we de Microsoft 365 Defender-portalinterface en de belangrijkste functionaliteiten voor incidentmonitoring en -beheer verkennen.

1. Toegang tot de Microsoft 365 Defender Portal

  1. Open uw browser en navigeer naar https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.

2. Navigeren door de incidentwachtrij

De incidentwachtrij is het centrale punt voor SecOps-teams. Hier worden gerelateerde waarschuwingen gegroepeerd om een ​​gecontextualiseerd beeld van een aanval te bieden.

  1. Selecteer in het linkernavigatievenster Incidenten en waarschuwingen > Incidenten.
  2. De incidentwachtrij toont een lijst met alle gedetecteerde incidenten, met informatie zoals ernst, status, getroffen entiteiten en laatste activiteit.

3. Analyseren van een specifiek incident

Wanneer u op een incident klikt, krijgt u toegang tot een gedetailleerd overzicht met alle bijbehorende waarschuwingen, apparaten,getroffen gebruikers, gebruikers en bestanden.

  1. Klik in de incidentwachtrij op de Naam van een incident om de bijbehorende detailpagina te openen.
  2. De pagina met incidentdetails bestaat uit verschillende tabbladen:
    • Overzicht: Geeft een samenvatting van het incident, inclusief ernst, status, classificatie, getroffen gebruikers en apparaten.
    • Waarschuwingen: geeft een overzicht van alle waarschuwingen die verband hielden met dit incident. U kunt op elke waarschuwing klikken om de specifieke details ervan te bekijken.
    • Apparaten: Toont alle apparaten die bij het incident betrokken zijn.
    • Gebruikers: vermeldt betrokken of betrokken gebruikers.
    • Mailboxen: Toont de betrokken mailboxen (als er Defender voor Office 365-waarschuwingen zijn).
    • Onderzoeken: toont de geautomatiseerde onderzoeken die zijn gestart naar aanleiding van het incident.
    • Bewijs en reactie: presenteert het verzamelde bewijsmateriaal (bestanden, IP's, URL's) en de aanbevolen of ondernomen reactieacties.
    • Grafiek: een visuele weergave van de aanvalsketen, waarin de relatie tussen waarschuwingen, entiteiten en gebeurtenissen wordt weergegeven.

4. Beheer van de incidentlevenscyclus

Incidentbeheer omvat toewijzing, classificatie en oplossing.

  1. Incident toewijzen: Op de pagina met incidentdetails, in de sectie Overzicht, kunt u het incident aan een specifieke analist toewijzen. Klik op Toewijzen aan en selecteer een gebruiker.
  2. Status wijzigen: Wijzig de Status van het incident naarmate het onderzoek vordert (bijvoorbeeld 'Nieuw', 'In uitvoering', 'Opgelost').
  3. Incident classificeren: Wanneer u een incident oplost, moet u het classificeren voor leer- en rapportagedoeleinden. Klik op Classificatie en selecteer:
    • True Positive (als het een reële bedreiging is)
    • False Positive (als het een onjuiste waarschuwing is)
    • Verwachte activiteit (als het legitieme activiteit is die de waarschuwing heeft geactiveerd)
    • Voeg een Opmerking toe om de resolutie te documenteren.
  4. Opmerkingen toevoegen: gebruik het gedeelte Opmerkingen en geschiedenis om onderzoeksstappen, bevindingen en ondernomen acties vast te leggen.

5. Reactieacties uitvoeren

Op basis van het onderzoek kunt u direct vanuit de portal responsacties ondernemen.

  1. Selecteer op het tabblad Apparaten of Gebruikers binnen het incident een betrokken entiteit (bijvoorbeeld een apparaat).
  2. Beschikbare acties zijn onder meer:
    • Apparaat isoleren: Verbreekt de verbinding tussen het apparaat en het netwerk om de dreiging in te dammen.
    • Beperk de uitvoering van applicaties: Voorkomt dat ongeautoriseerde applicaties worden uitgevoerd.
    • Voer Antivirusscan uit: Start een volledige scan van het apparaat.
    • Onderzoekspakket verzamelen: verzamelt logboeken en forensische gegevens van het apparaat.
    • Gebruiker uitschakelen: schakelt het gebruikersaccount in azure AD uit.
    • Gebruikerswachtwoord opnieuw instellen: Forceert dat het gebruikerswachtwoord opnieuw wordt ingesteld.

Validatie en testen

Om incidentmonitoring te valideren, is het belangrijk om een aanvalsscenario te simuleren en te verifiëren dat de Microsoft 365 Defender-portal dit correct detecteert en correleert.

1. Simuleer een aanval (voorbeeld: EICAR-test)

Gebruik het EICAR-bestand (European Institute for Computer Antivirus Research) om een malwaredetectie te simuleren (zoals beschreven in Artikel 1 - Defender voor Endpoint).

  1. Probeer op een apparaat waarop Defender for Endpoint is geïnstalleerd een EICAR-bestand te downloaden of te maken (https://www.eicar.org/download/eicar.com.txt).
  2. Defender for Endpoint zou het bestand moeten detecteren en blokkeren.
  3. Ga in de Microsoft 365 Defender-portal naar Incidenten en waarschuwingen > Waarschuwingen.
  4. U zou een waarschuwing moeten zien met betrekking tot EICAR-detectie.
  5. Controleer of deze waarschuwing verband houdt met een bestaand incident of dat er een nieuw incident is ontstaan.

2. Controleer de responstijd en correlatie

Observeer de tijd die nodig is voordat een waarschuwing wordt gegenereerd en gecorreleerd aan een incident na de simulatie. Dit helpt u de effectiviteit van realtime monitoring te begrijpen.

Beveiligingstips en best practices

  • Integreer alle bronnen: Verbind zoveel mogelijk Defender-gegevensbronnen en -producten met de Microsoft 365 Defender-portal voor het meest complete overzicht en de beste incidentcorrelatie.
  • Definieer rollen en verantwoordelijkheden: leg duidelijk vast wie verantwoordelijk is voor het monitoren, onderzoeken en reageren op incidenten.
  • Automatiseer eenvoudige reacties: gebruik bronnenAutomatiseringstools (playbooks) om automatisch te reageren op waarschuwingen met een lage ernst of om aanvullende informatie te verzamelen over waarschuwingen met een hoge ernst.
  • Blijf op de hoogte: blijf op de hoogte van nieuwe functies en mogelijkheden in Microsoft 365 Defender, aangezien het platform voortdurend wordt verbeterd.
  • Voortdurende training: Investeer in het trainen van uw SecOps-team, zodat ze bekend zijn met de nieuwste tools en aanvalstactieken.
  • Simulatieoefeningen: Voer regelmatig incidentsimulatieoefeningen uit om de effectiviteit van uw processen en tools te testen.

Algemene probleemoplossing

  • Waarschuwingen verschijnen niet in de portal: Controleer of relevante Defender-producten actief zijn en correct zijn geconfigureerd. Zorg ervoor dat uw gegevensconnectoren werken en logboeken verzenden. Controleer de detectieregelinstellingen voor individuele Defender-producten.
  • Niet-gecorreleerde waarschuwingen voor incidenten: Microsoft 365 Defender correleert automatisch. Als gerelateerde waarschuwingen niet worden gegroepeerd, kan er een vertraging optreden bij het registreren of is de contextuele informatie (gebruiker, apparaat, IP) mogelijk niet voldoende voor automatische correlatie. Controleer auditlogboeken en opnametijd.
  • Portalprestatieproblemen: Wis de cache van uw browser, probeer een andere browser of controleer uw netwerkconnectiviteit. Bij grote datavolumes kan het laden van de interface enige tijd duren.
  • Reactieacties mislukken: Controleer de rechten van het account dat de actie probeert uit te voeren. Zorg ervoor dat het doelapparaat of de doelgebruiker online is en toegankelijk is voor Defender-services.

Conclusie

Het Microsoft 365 Defender-portaal is een onmisbaar hulpmiddel voor elke organisatie die op zoek is naar een effectieve proactieve en reactieve beveiligingsstrategie. Door het monitoren van incidenten te centraliseren, waarschuwingen uit meerdere bronnen te correleren en uitgebreide onderzoeks- en responsmogelijkheden te bieden, stelt het SecOps-teams in staat hun omgevingen in realtime te beschermen. Het implementeren en effectief gebruiken van dit platform verbetert niet alleen de zichtbaarheid van bedreigingen, maar verkort ook de responstijd aanzienlijk, waardoor de cyberweerbaarheid van de organisatie tegen de meest geavanceerde aanvallen wordt versterkt.

Referenties:

[1] Microsoft Leer. Microsoft 365 Defender-portal. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Leer. Overzicht incidenten in Microsoft 365 Defender. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Leer. Microsoft 365 Defender-licentievereisten. Beschikbaar op: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide