Detectieregels

Onze Sentinel-dienst bevat een zorgvuldig samengestelde set detectieregels die zijn ontworpen om veelvoorkomende aanvalstechnieken op Microsoft 365- en Azure-omgevingen te identificeren. Waar mogelijk worden deze regels gekoppeld aan het MITRE ATT&CK-framework, zodat er transparantie en inzicht in dekking ontstaat.

Inbegrepen categorieën

Identity Threats

• Verdachte aanmeldingspatronen (authenticaties vanaf bekende malafide IP-adressen).
• Adversary-in-the-Middle (AiTM) phishing-detecties.

Email & Collaboration Threats

• Verdachte mailboxregelcreatie.
• Regels voor automatisch doorsturen of verwijderen.
• Misbruik van OAuth-applicaties voor persistentie.

Endpoint & Device Threats

• Alerts vanuit Defender for Endpoint.
• Aanmeldingen vanaf gecompromitteerde apparaten.
• Pogingen tot privilege-escalatie.

Cloud Resource Threats

• Wijzigingen in roltoewijzing.
• Ongebruikelijke activiteiten op kritieke resources.
• Verdacht gebruik van service principals.

Een volledige lijst van regels is beschikbaar in ons helpcenter onder Detection Rules.

Onderhoud van regels

• Regels worden actief onderhouden en bijgewerkt door ons team.
• Verouderde of ‘noisy’ regels worden afgestemd om false positives te minimaliseren.
• Nieuwe regels worden toegevoegd naarmate aanvalstechnieken zich ontwikkelen.
• Wij monitoren en stemmen regels continu af waar nodig.

Betrokkenheid van klanten

• Klanten kunnen verzoeken indienen voor nieuwe detectieregels.
• Indien een regel nuttig is voor alle klanten, voegen we deze kosteloos toe.
• Regels die niet relevant zijn voor alle klanten, kunnen nog steeds worden toegevoegd, maar vereisen consultancy.
• Samen stemmen we drempelwaarden en uitzonderingen af om onnodige alerts te beperken.
• Alle actieve regels worden gedocumenteerd en zijn zichtbaar in de Sentinel-werkruimte.