Dokumentation zu Microsoft Sentinel

In diesem Artikel werden Anwendungsfälle für die ersten Schritte mit Microsoft Sentinel vorgestellt. Erkennen und stoppen Sie Bedrohungen, bevor sie Schaden anrichten – mit einer SIEM-Lösung, die für die moderne Welt neu erfunden wurde. Mit Microsoft Sentinel können Sie Ihr gesamtes Unternehmen sozusagen aus der Vogelperspektive beobachten.

Informationen zu Microsoft Sentinel

Überblick

• Was ist Microsoft Sentinel?
• Nützliche Ressourcen

Neuigkeiten

• Neuerungen in Microsoft Sentinel

Konzept

• Bewährte Methoden

Erste Schritte

Schnellstart

• Durchführen des Onboardings für Microsoft Sentinel

Konzept

• Voraussetzungen

Schrittanleitung

• Installieren von Microsoft Sentinel-Lösungen (Vorschau)
• Visualisieren gesammelter Daten
• Untersuchen von Incidents
• Microsoft 365 Defender-Integration in Microsoft Sentinel

Referenz

• Inhaltshubkatalog

Learn

• Erstellen von KQL-Abfragen für Microsoft Sentinel

Sammeln von Daten

Konzept

• Bewährte Methoden für die Datensammlung
• Normalisieren und Analysieren von Daten

Schrittanleitung

• Verbinden von Daten mit Microsoft Sentinel
• Herstellen einer Verbindung für Microsoft 365 Defender
• Erstellen eines benutzerdefinierten Connectors
• Überwachen der Connectorintegrität
• Integrieren von Azure Data Explorer

Referenz

• Referenz zu Datenconnectors
• Referenz zum Datenquellenschema
• CEF-Protokollfeldzuordnung
• Schema zur Netzwerknormalisierung

Kusto-Abfragesprache in Microsoft Sentinel

Konzept

• Kusto-Abfragesprache in Microsoft Sentinel

Tutorial

• Tutorial zur Kusto-Abfragesprache (Azure Monitor)

Learn

• Schreiben einer ersten Abfrage mit der Kusto-Abfragesprache
• Weitere KQL-Ressourcen zum Lernen und zur Befähigung

Referenz

• KQL-Kurzübersicht

Bedrohungsanalyse

Konzept

• Grundlegendes zu Threat Intelligence in Microsoft Sentinel
• Threat Intelligence-Integrationen

Schrittanleitung

• Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel
• Verbinden von Microsoft Sentinel mit STIX/TAXII-Feeds
• Verwenden von Bedrohungsindikatoren

Bedrohungserkennung

Konzept

• User and Entity Behavior Analytics (UEBA)
• Anpassbare Anomalien

Schrittanleitung

• Erkennen von Bedrohungen mithilfe integrierter Analysen
• Erstellen von benutzerdefinierten Erkennungsregeln

Referenz

• Entitätenverweis
• UEBA-Anreicherungen

Bedrohungssuche

Konzept

• Suchen nach Bedrohungen

Schrittanleitung

• Suchen mit Jupyter Notebook-Instanzen
• Suchen mit Lesezeichen
• Suchen mit Livestream

Untersuchen

Tutorial

• Untersuchen mit UEBA

Schrittanleitung

• Untersuchen von Incidents
• Überwachen Ihrer Daten

Referenz

• Häufig verwendete Microsoft Sentinel-Arbeitsmappen

Reagieren

Tutorial

• Automatische Reaktion auf Bedrohungen
• Aufspüren von Sicherheitsrisiken mit Jupyter Notebooks

Konzept

• Automatisierungsregeln
• Playbooks

Referenz

• SOAR-Inhaltskatalog

Verwalten von Microsoft Sentinel

Konzept

• Arbeitsbereichsarchitektur: Bewährte Methoden

Schrittanleitung

• Entwerfen Ihrer Arbeitsbereichsarchitektur
• Verwalten mehrerer Mandanten
• Arbeiten mit Vorfällen in mehreren Arbeitsbereichen
• Verwalten Ihres geistigen Eigentums