Mi az a Microsoft Sentinel?

A Microsoft Sentinel egy skálázható, natív felhőbeli megoldás, amely a következőket biztosítja:

• Biztonságiadat- és eseménykezelés (SIEM)
• Biztonsági vezénylés, automatizálás és válasz (SOAR)

A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül. A Microsoft Sentinel egyetlen megoldást kínál a támadásészlelésre, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.

A Microsoft Sentinel a madártávlati nézet a vállalaton belül, amely enyhíti az egyre kifinomultabb támadások, a riasztások növekvő mennyisége és a hosszú megoldási időkeretek okozta stresszt.

Feljegyzés

A Microsoft Sentinel örökli az Azure Monitor illetéktelen hozzáférés-ellenőrző és módosíthatatlansági eljárásait. Bár az Azure Monitor egy csak hozzáfűző adatplatform, az adatok megfelelőségi célú törlésére vonatkozó rendelkezéseket is tartalmaz.

• Gyűjtsön felhőméretű adatokat az összes felhasználó, eszköz, alkalmazás és infrastruktúra esetében, mind a helyszíni, mind a több felhőben.

• Észlelje a korábban nem észlelt fenyegetéseket, és minimalizálja a hamis pozitív értékeket a Microsoft elemzési és páratlan fenyegetésfelderítési funkciójával.

• Mesterséges intelligenciával vizsgálja meg a fenyegetéseket, és nagy léptékben keressen gyanús tevékenységeket, és koppintson a Microsoft több éves kiberbiztonsági munkájára.

• Beépített vezényléssel és a gyakori feladatok automatizálásával reagálhat az incidensekre.

A Microsoft Sentinel natív módon olyan bevált Azure-szolgáltatásokat tartalmaz, mint a Log Analytics és a Logic Apps. A Microsoft Sentinel AI-vel bővíti a vizsgálatot és az észlelést. Ez biztosítja a Microsoft fenyegetésintelligencia-adatfolyamát, és lehetővé teszi, hogy saját fenyegetésfelderítést hozzon.

Feljegyzés

Ez a szolgáltatás támogatja az Azure Lighthouse-t, amely lehetővé teszi, hogy a szolgáltatók bejelentkezhessenek a saját bérlőjükbe az ügyfelek által delegált előfizetések és erőforráscsoportok kezeléséhez.

Adatok gyűjtése adatösszekötők használatával

A Microsoft Sentinel használatához először csatlakoznia kell az adatforrásokhoz.

A Microsoft Sentinel számos olyan összekötővel rendelkezik a Microsoft-megoldásokhoz, amelyek a dobozon kívül érhetők el, és valós idejű integrációt biztosítanak. Az összekötők némelyike a következők:

• Microsoft-források, például Microsoft Defender XDR, Felhőhöz készült Microsoft Defender, Office 365, Microsoft Defender for IoT stb.

• Olyan Azure-szolgáltatásforrások, mint a Microsoft Entra ID, az Azure Activity, az Azure Storage, az Azure Key Vault, az Azure Kubernetes service stb.

A Microsoft Sentinel beépített összekötőkkel rendelkezik a szélesebb körű biztonsági és alkalmazás-ökoszisztémákhoz a nem Microsoft-megoldásokhoz. Az adatforrások a Microsoft Sentinelhez való csatlakoztatásához gyakran használt eseményformátumot, Syslogot vagy REST-API-t is használhat.

További információért tekintse át az alábbi cikkeket:

• Microsoft Sentinel-adatösszekötők
• Az adatösszekötő megkeresése

Interaktív jelentések létrehozása munkafüzetek használatával

Miután bejelentkezett a Microsoft Sentinelbe, az Azure Monitor-munkafüzetekkel való integrációval monitorozza az adatokat.

A munkafüzetek másképp jelennek meg a Microsoft Sentinelben, mint az Azure Monitorban. Hasznos lehet azonban látni, hogyan hozhat létre munkafüzetet az Azure Monitorban. A Microsoft Sentinel lehetővé teszi egyéni munkafüzetek létrehozását az adatok között. A Microsoft Sentinel beépített munkafüzetsablonokkal is rendelkezik, amelyek lehetővé teszik, hogy az adatforrások csatlakoztatása után gyorsan betekintést nyerjen az adatokba.

A munkafüzetek az adatvizualizációt végző soc mérnököknek és elemzőknek készültek.

A munkafüzetek leginkább a Microsoft Sentinel-adatok magas szintű nézeteihez használhatók, és nem igényelnek kódolási ismereteket. A munkafüzetek azonban nem integrálhatók külső adatokkal.

Riasztások összefüggése incidensekkel elemzési szabályok használatával

A zaj csökkentése és a szükséges riasztások számának minimalizálása érdekében a Microsoft Sentinel elemzésekkel korrelálja a riasztásokat incidensekkel. Az incidensek olyan kapcsolódó riasztások csoportjai, amelyek együttesen egy végrehajtható lehetséges fenyegetést jeleznek, amelyet kivizsgálhat és megoldhat. Használja a beépített korrelációs szabályokat, vagy használja őket kiindulási pontként a saját összeállításához. A Microsoft Sentinel gépi tanulási szabályokat is biztosít a hálózati viselkedés leképezéséhez, majd az erőforrások rendellenességek kereséséhez. Ezek az elemzések összekapcsolják a pontokat a különböző entitásokra vonatkozó alacsony megbízhatósági riasztások lehetséges magas megbízhatóságú biztonsági incidensekkel való kombinálásával.

Gyakori feladatok automatizálása és vezénylése forgatókönyvek használatával

Automatizálhatja a gyakori feladatokat, és egyszerűbbé teheti a biztonsági vezénylést az Azure-szolgáltatásokkal és a meglévő eszközökkel integrálható forgatókönyvekkel .

A Microsoft Sentinel automatizálási és vezénylési megoldása rendkívül bővíthető architektúrát biztosít, amely lehetővé teszi a méretezhető automatizálást új technológiák és fenyegetések megjelenésekor. Forgatókönyvek Azure Logic Apps-lel való létrehozásához egy folyamatosan bővülő katalógusból választhat, amely több száz összekötőt biztosít a különböző szolgáltatásokhoz és rendszerekhez. Ezek az összekötők lehetővé teszik bármilyen egyéni logika alkalmazását a munkafolyamatban, például:

• ServiceNow
• Jira
• Zendesk
• HTTP-kérések
• Microsoft Teams
• Slack
• Microsoft Entra ID
• Microsoft Defender végponthoz
• Microsoft Defender for Cloud Apps

Ha például a ServiceNow jegykezelő rendszert használja, az Azure Logic Apps használatával automatizálhatja a munkafolyamatokat, és megnyithat egy jegyet a ServiceNow-ban minden egyes riasztás vagy incidens létrehozásakor.

A forgatókönyvek az SOC mérnökeinek és elemzőinek szólnak, hogy automatizálják és egyszerűsítsék a feladatokat, beleértve az adatbetöltést, a bővítést, a vizsgálatot és a szervizelést.

A forgatókönyvek egyetlen, megismételhető feladatokkal működnek a legjobban, és nem igényelnek kódolási ismereteket. A forgatókönyvek nem alkalmasak alkalmi vagy összetett feladatláncok, illetve bizonyítékok dokumentálására és megosztására.

A biztonsági fenyegetések hatókörének és kiváltó okának vizsgálata

A Microsoft Sentinel részletes vizsgálati eszközei segítenek megérteni a hatókört, és megtalálni a lehetséges biztonsági fenyegetések kiváltó okát. Az interaktív grafikonon kiválaszthat egy entitást, amely érdekes kérdéseket tehet fel egy adott entitással kapcsolatban, és részletezheti az entitást és kapcsolatait, hogy megismerje a fenyegetés kiváltó okát.

Biztonsági fenyegetések keresése beépített lekérdezések használatával

Használja a Microsoft Sentinel hatékony keresési és lekérdezési eszközeit a MITRE-keretrendszer alapján, amelyek lehetővé teszik a biztonsági fenyegetések proaktív keresését a szervezet adatforrásai között a riasztások aktiválása előtt. Hozzon létre egyéni észlelési szabályokat a keresési lekérdezés alapján. Ezután ezeket az elemzéseket riasztásként jelenítheti meg a biztonsági incidensek válaszadói számára.

A vadászat során hozzon létre könyvjelzőket, hogy később visszatérjen az érdekes eseményekhez. Könyvjelzővel megoszthatja az eseményeket másokkal. Vagy csoportosítsa az eseményeket más korreláló eseményekkel, hogy meggyőző incidenst hozzon létre a vizsgálathoz.

A fenyegetéskeresés javítása jegyzetfüzetekkel

A Microsoft Sentinel támogatja a Jupyter-jegyzetfüzeteket az Azure Machine Tanulás-munkaterületeken, beleértve a gépi tanuláshoz, vizualizációhoz és adatelemzéshez szükséges teljes kódtárakat.

A Microsoft Sentinel jegyzetfüzeteivel bővítheti a Microsoft Sentinel-adatokkal elvégezhető műveletek körét. Példa:

• Olyan elemzéseket végezhet, amelyek nem a Microsoft Sentinelbe vannak beépítve, például néhány Python-gépi tanulási funkciót.
• Olyan adatvizualizációkat hozhat létre, amelyek nem a Microsoft Sentinelbe épülnek, például egyéni ütemterveket és folyamatfákat.
• Integrálja a Microsoft Sentinelen kívüli adatforrásokat, például egy helyszíni adatkészletet.

A jegyzetfüzetek fenyegetésvadászoknak vagy 2–3. rétegbeli elemzőknek, incidensvizsgálóknak, adattudósoknak és biztonsági kutatóknak készültek. Magasabb tanulási görbét és kódolási ismereteket igényelnek. Korlátozott automatizálási támogatással rendelkeznek.

A Microsoft Sentinel jegyzetfüzetei a következőt biztosítják:

• Lekérdezések a Microsoft Sentinel és a külső adatok között
• Az adatdúsítás, a vizsgálat, a vizualizáció, a vadászat, a gépi tanulás és a big data-elemzés funkciói

A jegyzetfüzetek a legjobbak a következőkhöz:

• Megismételhető feladatok összetettebb láncai
• Alkalmi eljárási ellenőrzések
• Gépi tanulás és egyéni elemzés

A jegyzetfüzetek gazdag Python-kódtárakat támogatnak az adatok manipulálására és megjelenítésére. Hasznosak az elemzési bizonyítékok dokumentálásához és megosztásához.

Biztonsági tartalom letöltése a közösségtől

A Microsoft Sentinel-közösség hatékony erőforrás a fenyegetésészleléshez és az automatizáláshoz. A Microsoft biztonsági elemzői új munkafüzeteket, forgatókönyveket, keresési lekérdezéseket és egyebeket hoznak létre és adnak hozzá. Ezeket a tartalomelemeket közzétehetik a közösségnek, hogy a környezetében használhassa őket. Töltse le a mintatartalmakat a magánközösségi GitHub-adattárból egyéni munkafüzetek, keresési lekérdezések, jegyzetfüzetek és forgatókönyvek létrehozásához a Microsoft Sentinelhez.

Következő lépések

• A Microsoft Sentinel használatának megkezdéséhez a Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
• Megtudhatja, hogyan hozhatja be az adatokat a Microsoft Sentinelbe, és hogyan ismerheti meg az adatokat és a lehetséges fenyegetéseket.