Kurz: okamžité zjištění hrozebTutorial: Detect threats out-of-the-box

Důležité

Předem připravená detekce hrozeb je aktuálně ve verzi Public Preview.Out-of-the-box threat detection is currently in public preview. Tato funkce se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy.This feature is provided without a service level agreement, and it's not recommended for production workloads. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Po připojení zdrojů dat ke službě Azure Sentinel chcete být upozorněni, když dojde k nějaké podezřelé situaci.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Pokud to chcete povolit, Azure Sentinel vám poskytne předem připravené předdefinované šablony.To enable you to do this, Azure Sentinel provides you with out-of-the-box built-in templates. Tyto šablony byly navržené týmem společnosti Microsoft pro odborníky na zabezpečení a analytikům na základě známých hrozeb, běžných vektorů útoku a řetězů eskalace útoků na podezřelé aktivity.These templates were designed by Microsoft's team of security experts and analysts based on known threats, common attack vectors, and suspicious activity escalation chains. Po povolení těchto šablon budou automaticky vyhledávat všechny aktivity, které vypadají podezřele napříč vaším prostředím.After enabling these templates, they will automatically search for any activity that looks suspicious across your environment. Mnohé z šablon můžete přizpůsobit tak, aby vyhledaly nebo odfiltroval aktivity podle vašich potřeb.Many of the templates can be customized to search for, or filter out, activities, according to your needs. Výstrahy vygenerované pomocí těchto šablon vytvoří incidenty, které můžete přiřadit a prozkoumat ve svém prostředí.The alerts generated by these templates will create incidents that you can assign and investigate in your environment.

Tento kurz vám pomůže detekovat hrozby pomocí služby Azure Sentinel:This tutorial helps you detect threats with Azure Sentinel:

  • Použití předem připravených detekcíUse out-of-the-box detections
  • Automatizace odpovědí na hrozbyAutomate threat responses

Informace o předem připravených detekcíchAbout out-of-the-box detections

Pokud chcete zobrazit všechna připravená zjišťování, pokračujte na analýzy a pak na šablony pravidel.To view all the out-of-the-box detections, go to Analytics and then Rule templates. Tato karta obsahuje všechna předdefinovaná pravidla Azure Sentinel.This tab contains all the Azure Sentinel built-in rules.

Použití vestavěných detekcí k nalezení hrozeb pomocí Sentinel Azure

K dispozici jsou následující typy šablon:The following template types are available:

  • Microsoft Security – šablony zabezpečení Microsoftu automaticky vytvářejí incidenty Sentinel Azure z výstrah vygenerovaných jinými řešeními zabezpečení Microsoftu v reálném čase.Microsoft security - Microsoft security templates automatically create Azure Sentinel incidents from the alerts generated in other Microsoft security solutions, in real time. Pravidla zabezpečení Microsoftu můžete použít jako šablonu k vytvoření nových pravidel s podobnou logikou.You can use Microsoft security rules as a template to create new rules with similar logic. Další informace o pravidlech zabezpečení najdete v tématu Automatické vytváření incidentů z výstrah zabezpečení společnosti Microsoft.For more information about security rules, see Automatically create incidents from Microsoft security alerts.
  • Syntéza založená na technologii Fusion, Pokročilá detekce útoků s více fázemi v Azure Sentinel používá škálovatelné algoritmy strojového učení, které mohou korelovat mnoho výstrah a událostí s nízkou kvalitou v různých produktech na vysoce věrné a napadnutelné incidenty.Fusion - Based on Fusion technology, advanced multistage attack detection in Azure Sentinel uses scalable machine learning algorithms that can correlate many low-fidelity alerts and events across multiple products into high-fidelity and actionable incidents. Fusion je ve výchozím nastavení povolená.Fusion is enabled by default. Vzhledem k tomu, že je logika skrytá, nemůžete ji použít jako šablonu k vytvoření více než jednoho pravidla.Because the logic is hidden, you cannot use this as a template to create more than one rule.
  • Analýza chování ve strojovém učení – tyto šablony jsou založené na vlastních algoritmech strojového učení od Microsoftu, takže nemůžete vidět interní logiku, jak fungují a kdy se spouštějí.Machine learning behavioral analytics - These templates are based on proprietary Microsoft machine learning algorithms, so you cannot see the internal logic of how they work and when they run. Vzhledem k tomu, že je logika skrytá, nemůžete ji použít jako šablonu k vytvoření více než jednoho pravidla.Because the logic is hidden, you cannot use this as a template to create more than one rule.
  • Plánovaná – plánovaná analytická pravidla jsou naplánované dotazy napsané odborníky na zabezpečení Microsoftu.Scheduled – Scheduled analytic rules are scheduled queries written by Microsoft security experts. Můžete zobrazit logiku dotazu a provést změny.You can see the query logic and make changes to it. Můžete použít plánovaná pravidla jako šablonu a vytvořit nová pravidla s podobnou logikou.You can use scheduled rules as a template to create new rules with similar logic.

Použití předem připravených detekcíUse out-of-the-box detections

  1. Pokud chcete použít předdefinovanou šablonu, klikněte na vytvořit pravidlo a vytvořte nové aktivní pravidlo založené na této šabloně.In order to use a built-in template, click on Create rule to create a new active rule based on that template. Každá položka má seznam požadovaných zdrojů dat, které jsou automaticky zkontrolovány, a výsledkem může být zakázané Vytvoření pravidla .Each entry has a list of required data sources that are automatically checked and this can result in Create rule being disabled.

    Použití vestavěných detekcí k nalezení hrozeb pomocí Sentinel Azure

  2. Otevře se Průvodce vytvořením pravidla v závislosti na vybrané šabloně.This opens the rule creation wizard, based on the selected template. Všechny podrobnosti jsou vyplněné a pro plánovaná pravidla nebo pravidla zabezpečení Microsoftumůžete logiku přizpůsobit tak, aby lépe vyhovovala vaší organizaci, nebo vytvořit další pravidla založená na předdefinované šabloně.All the details are autofilled, and for Scheduled rules or Microsoft security rules, you can customize the logic to better suit your organization, or create additional rules based on the built-in template. Po provedení kroků v Průvodci vytvořením pravidla a dokončení vytvoření pravidla na základě šablony se nové pravidlo zobrazí na kartě aktivní pravidla .After following the steps in the rule creation wizard and finished creating a rule based on the template, the new rule appears in the Active rules tab.

Další informace o polích v průvodci najdete v tématu kurz: vytvoření vlastních pravidel pro analytiky k detekci podezřelých hrozeb.For more information on the fields in the wizard, see Tutorial: Create custom analytic rules to detect suspicious threats.

Další krokyNext steps

V tomto kurzu jste zjistili, jak začít s detekcí hrozeb pomocí funkce Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Pokud se chcete dozvědět, jak automatizovat vaše odezvy na hrozby, nastavte v Azure Sentinelu automatické odpovědi na hrozby.To learn how to automate your responses to threats, Set up automated threat responses in Azure Sentinel.