Připojení zdrojů dat

  • 10 min

Po povolení služby Microsoft Sentinel je dalším krokem jeho připojení ke službám, které chcete použít.

Datové konektory mezi službami

Existuje více než 200 předdefinovaných datových konektorů pro podporu běžných integrací zdrojů dat. Tyto konektory se klasifikují jako service-to-service (mezi službami), protože do těchto aplikací je integrována vrstva komunikační služby. Vrstva komunikační služby umožňuje službě konektoru v Microsoft Sentinelu komunikovat s komunikační službou zvolené aplikace.

Nativní konektory mezi službami

Microsoft Sentinel nativně spolupracuje s mnoha službami a produkty Mimo Azure, jako jsou následující:

  • Aktivity v Azure
  • Microsoft Entra ID (protokoly auditu a protokoly přihlašování)
  • Microsoft Defender for Cloud
  • Microsoft Entra ID Protection
  • Amazon Web Services CloudTrail
  • Microsoft Defender for Cloud Apps
  • Windows DNS
  • Office 365
  • Microsoft Defender XDR
  • Azure Web Application Firewall
  • Firewall v programu Windows Defender
  • Události zabezpečení systému Windows

Vzhledem k tomu, že tato řešení používají základ Azure pro připravenou interoperabilitu, můžete k nim Microsoft Sentinel připojit jen několika kroky.

Připojení externích řešení přes rozhraní API

Některé zdroje dat jsou připojeny přes rozhraní API, která poskytuje připojený zdroj dat. Většina technologií zabezpečení poskytuje sadu rozhraní API, pomocí kterých lze načítat protokoly událostí. Tato rozhraní API se například připojují k Microsoft Sentinelu, shromažďují konkrétní datové typy a ukládají data do vybraného pracovního prostoru služby Azure Monitor Log Analytics:

  • F5 BIG-IP
  • Forcepoint DLP
  • Protokoly aktivit Perimeter 81
  • Symantec ICDx
  • Zimperium Mobile Threat Defense

Připojení do Microsoft Entra ID

Nejpřímější způsob, jak shromažďovat data, je použít datové konektory dostupné jako součást řešení nebo jako samostatný obsah z centra obsahu v Microsoft Sentinelu.

V tomto příkladu se připojíme k ID Microsoft Entra z Microsoft Sentinelu:

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.

  2. V Microsoft Sentinelu v části Správa obsahu vyberte Centrum obsahu.

  3. Vyhledejte a vyberte řešení pro MICROSOFT Entra ID.

    Screenshot of the content hub page with Microsoft Entra ID selected.

  4. Na horním panelu nástrojů vyberte Instalovat/Aktualizovat.

  5. V nabídce na levé straně v části Konfigurace vyberte Připojení orům dat. Tato stránka obsahuje seznam všech nainstalovaných datových konektorů a jejich stav.

    Screenshot of the Microsoft Sentinel connector page with the list of connectors.

  6. Na stránce Data Připojení orů vyberte dlaždici Microsoft Entra ID. Otevře se stránka konektoru Microsoft Sentinel Microsoft Entra ID .

    Screenshot of the Microsoft Sentinel Microsoft Entra connector page.

  7. Přečtěte si požadavky a ujistěte se, že jste je splnili. Pak postupujte podle pokynů pro připojení zdroje dat.

  8. Vyberte protokoly přihlášení Microsoft Entra i protokoly auditu Microsoft Entra.

    Screenshot of the Microsoft Sentinel connector configuration options.

Ověření připojení zdroje dat

Po připojení zdrojů dat k Microsoft Sentinelu získáte vizualizace a analýzu dat, abyste věděli, co se stane ve všech připojených zdrojích dat.

Pokud chcete ověřit, že vaše konektory fungují, přejděte na web Azure Portal. Na webu Azure Portal vyberte Microsoft Sentinel a pak vyberte pracovní prostor, který jste použili při povolení služby Microsoft Sentinel.

Screenshot of the Microsoft Sentinel Analytics overview page.

V hlavní části stránky s přehledem se zobrazuje stav zabezpečení vašeho pracovního prostoru. Na následujícím screenshotu je část s událostmi a výstrahami v průběhu času.

Screenshot of the events and alerts over time section.

V části s událostmi a výstrahami v průběhu času se vypisuje počet událostí a počet výstrah, které byly z těchto událostí vytvořeny. Pokud se události registrují, pak to znamená, že vaše konektory fungují.

V závislosti na tom, ke které službě se správce organizace původně připojil, může dojít ke zpoždění před zobrazením některých upozornění. Jako první by se měly zobrazovat informativní výstrahy.

Šablony pravidel detekce hrozeb

Po připojení zdrojů dat k Microsoft Sentinelu budete chtít dostávat upozornění, když dojde k něčemu podezřelému. K tomu Microsoft Sentinel poskytuje šablony pravidel detekce hrozeb, které můžete použít tak, jak je, nebo přizpůsobit. Tyto šablony jsou navrženy odborníky na zabezpečení a analytiky ze společnosti Microsoft. Jsou založeny na známých hrozbách, běžných vektorech útoku a eskalačních řetězcích podezřelých aktivit.

Pravidla vytvořená z těchto šablon v celém prostředí automaticky zjišťují všechny aktivity, které vypadají podezřele. Mnoho z těchto šablon si můžete podle potřeby přizpůsobit tak, aby zjišťovaly nebo filtrovaly aktivity.

Microsoft Sentinel používá fúzní technologii ke korelaci výstrah, které tato pravidla generují do incidentů. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí incident s možností reakce, který přiřadíte a prošetříte ve svém prostředí. Můžete si prohlížet protokoly v předdefinovaných řídicích panelech a vytvářet dotazy ve službě Log Analytics k prošetřování dat.

Předefinované sešity

Microsoft Sentinel poskytuje sešity, které poskytují analýzy vašich protokolů a dotazů. Používají nástroje, které už jsou dostupné v Azure, spolu s předefinovanými tabulkami a grafy. Můžete použít předefinované sešity, přizpůsobit existující sešit nebo vytvořit nový sešit úplně od začátku.

Předpojené sešity poskytují integrovaná data z připojených zdrojů dat. Umožňují vám prošetřovat události, které tyto služby generují. Sešity zahrnují ID Microsoft Entra, události aktivit Azure a místní události. Do těchto místních událostí mohou patřit data událostí Windows ze serverů nebo z výstrah Microsoftu.

Události lze také shromažďovat z jiných služeb než od Microsoftu. Tyto události zahrnují protokoly přenosů přes firewall, Office 365 a protokoly, které nejsou zabezpečené a které jsou založené na událostech Windows.