Jak Microsoft Sentinel funguje

  • 10 min

Jak jste se už naučili, Microsoft Sentinel vám pomůže povolit komplexní operace zabezpečení. Začíná s ingestováním (přijímáním) protokolů a pokračuje v procesu až po automatickou reakci na upozornění zabezpečení.

Tady jsou klíčové funkce a komponenty služby Microsoft Sentinel.

Konektory dat

První věcí, kterou je potřeba udělat, je ingestování dat do Služby Microsoft Sentinel. Datové konektory vám to umožňují. Některé služby, jako jsou protokoly aktivit Azure, můžete přidat pouhým výběrem tlačítka. Jiné, například syslog, vyžadují, abyste je trochu nakonfigurovali. Existují datové konektory, které pokrývají všechny scénáře a zdroje, mimo jiné tyto:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (pro analýzu hrozeb)
  • Azure
  • Služby AWS

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Uchovávání protokolů

Po ingestování do Microsoft Sentinelu se vaše data ukládají pomocí Log Analytics. Mezi výhody používání Log Analytics patří možnost použít dotazovací jazyk Kusto (KQL) k dotazování na data. KQL je propracovaný dotazovací jazyk, který přináší možnosti, jak z dat získávat podrobné informace a přehledy.

Screenshot showing the Log Analytics interface in the Azure portal.

Workbooks

Pomocí sešitů můžete vizualizovat data v Microsoft Sentinelu. Sešity si můžete představit jako řídicí panely. Jednotlivé komponenty na řídicím panelu jsou sestaveny pomocí podkladového dotazu KQL na vaše data. Můžete použít předdefinované sešity v Microsoft Sentinelu a upravit je tak, aby vyhovovaly vašim potřebám, nebo můžete vytvářet vlastní sešity úplně od začátku. Pokud jste sešity Azure Monitoru používali, bude vám tato funkce povědomá, protože se jedná o implementaci sešitů monitorování služby Sentinel.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Upozornění analýzy

Zatím máte protokoly a nějaké vizualizace dat. Teď by bylo skvělé mít k dispozici nějaké aktivní analýzy v rámci vašich dat, abyste dostali oznámení, když dojde k něčemu podezřelému. V pracovním prostoru služby Sentinel můžete zapnout integrovaná upozornění analýzy. Existují různé typy upozornění, z nichž některá můžete upravovat podle svých potřeb. Jiná jsou vytvořená na vlastních modelech strojového učení Microsoftu. Můžete také vytvářet nová vlastní plánovaná upozornění.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Proaktivní vyhledávání hrozeb

V tomto modulu se nebudeme podrobněji zabývat proaktivním vyhledáváním hrozeb. Pokud ale analytici centra operací zabezpečení (SOC) potřebují vyhledat podezřelou aktivitu, existuje několik integrovaných vyhledávacích dotazů, které můžou použít. Můžou také vytvořit svoje vlastní dotazy. Sentinel se také dá integrovat s Azure Notebooks. Poskytuje ukázkové poznámkové bloky pro pokročilé vyhledávače, kteří chtějí využít celou sílu programovacího jazyka k hledání ve svých datech.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Incidenty a prověřování

Incident se vytvoří, když se aktivuje upozornění, které jste zapnuli. V Microsoft Sentinelu můžete provádět standardní úlohy správy incidentů, jako je změna stavu nebo přiřazení incidentů jednotlivcům pro účely vyšetřování. Microsoft Sentinel má také funkce vyšetřování, takže můžete vizuálně prozkoumat incidenty namapováním entit napříč daty protokolů na časové ose.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Playbooky pro automatizaci

Když můžete na incidenty reagovat automaticky, můžete automatizovat některé operace zabezpečení a vaše centrum SOC může pracovat produktivněji. Microsoft Sentinel umožňuje vytvářet automatizované pracovní postupy nebo playbooky v reakci na události. Tuto funkci lze využít ke správě incidentů, rozšiřování, prověřování nebo odstraňování problémů. Tyto schopnosti se často označují jako řešení SOAR (Security Orchestration, Automation and Response) (orchestrace, automatizace a reakce zabezpečení).

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

Jako analytik SOC teď začínáte vidět, jak vám může Microsoft Sentinel pomoct dosáhnout vašich cílů. Mohli byste například:

  • Ingestovat data z vašeho cloudového a místního prostředí
  • Provádět analýzy těchto dat
  • Spravovat a zkoumat všechny incidenty, ke kterým dojde
  • Možná i automaticky reagovat pomocí playbooků

Jinými slovy, Microsoft Sentinel poskytuje ucelené řešení pro vaše operace zabezpečení.