Mi az a Microsoft Sentinel?
A Microsoft Sentinel egy skálázható, natív felhőbeli megoldás, amely a következőket biztosítja:
- Biztonságiadat- és eseménykezelés (SIEM)
- Biztonsági vezénylés, automatizálás és válasz (SOAR)
A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül. A Microsoft Sentinel egyetlen megoldást kínál a támadásészlelésre, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.
A Microsoft Sentinel a madártávlati nézet a vállalaton belül, amely enyhíti az egyre kifinomultabb támadások, a riasztások növekvő mennyisége és a hosszú megoldási időkeretek okozta stresszt.
Feljegyzés
A Microsoft Sentinel örökli az Azure Monitor illetéktelen hozzáférés-ellenőrző és módosíthatatlansági eljárásait. Bár az Azure Monitor egy csak hozzáfűző adatplatform, az adatok megfelelőségi célú törlésére vonatkozó rendelkezéseket is tartalmaz.
Gyűjtsön felhőméretű adatokat az összes felhasználó, eszköz, alkalmazás és infrastruktúra esetében, mind a helyszíni, mind a több felhőben.
Észlelje a korábban nem észlelt fenyegetéseket, és minimalizálja a hamis pozitív értékeket a Microsoft elemzési és páratlan fenyegetésfelderítési funkciójával.
Mesterséges intelligenciával vizsgálja meg a fenyegetéseket, és nagy léptékben keressen gyanús tevékenységeket, és koppintson a Microsoft több éves kiberbiztonsági munkájára.
Beépített vezényléssel és a gyakori feladatok automatizálásával reagálhat az incidensekre.
A Microsoft Sentinel natív módon olyan bevált Azure-szolgáltatásokat tartalmaz, mint a Log Analytics és a Logic Apps. A Microsoft Sentinel AI-vel bővíti a vizsgálatot és az észlelést. Ez biztosítja a Microsoft fenyegetésintelligencia-adatfolyamát, és lehetővé teszi, hogy saját fenyegetésfelderítést hozzon.
Feljegyzés
Ez a szolgáltatás támogatja az Azure Lighthouse-t, amely lehetővé teszi, hogy a szolgáltatók bejelentkezhessenek a saját bérlőjükbe az ügyfelek által delegált előfizetések és erőforráscsoportok kezeléséhez.
Adatok gyűjtése adatösszekötők használatával
A Microsoft Sentinel használatához először csatlakoznia kell az adatforrásokhoz.
A Microsoft Sentinel számos olyan összekötővel rendelkezik a Microsoft-megoldásokhoz, amelyek a dobozon kívül érhetők el, és valós idejű integrációt biztosítanak. Az összekötők némelyike a következők:
Microsoft-források, például Microsoft Defender XDR, Felhőhöz készült Microsoft Defender, Office 365, Microsoft Defender for IoT stb.
Olyan Azure-szolgáltatásforrások, mint a Microsoft Entra ID, az Azure Activity, az Azure Storage, az Azure Key Vault, az Azure Kubernetes service stb.
A Microsoft Sentinel beépített összekötőkkel rendelkezik a szélesebb körű biztonsági és alkalmazás-ökoszisztémákhoz a nem Microsoft-megoldásokhoz. Az adatforrások a Microsoft Sentinelhez való csatlakoztatásához gyakran használt eseményformátumot, Syslogot vagy REST-API-t is használhat.
További információért tekintse át az alábbi cikkeket:
Interaktív jelentések létrehozása munkafüzetek használatával
Miután bejelentkezett a Microsoft Sentinelbe, az Azure Monitor-munkafüzetekkel való integrációval monitorozza az adatokat.
A munkafüzetek másképp jelennek meg a Microsoft Sentinelben, mint az Azure Monitorban. Hasznos lehet azonban látni, hogyan hozhat létre munkafüzetet az Azure Monitorban. A Microsoft Sentinel lehetővé teszi egyéni munkafüzetek létrehozását az adatok között. A Microsoft Sentinel beépített munkafüzetsablonokkal is rendelkezik, amelyek lehetővé teszik, hogy az adatforrások csatlakoztatása után gyorsan betekintést nyerjen az adatokba.
A munkafüzetek az adatvizualizációt végző soc mérnököknek és elemzőknek készültek.
A munkafüzetek leginkább a Microsoft Sentinel-adatok magas szintű nézeteihez használhatók, és nem igényelnek kódolási ismereteket. A munkafüzetek azonban nem integrálhatók külső adatokkal.
Riasztások összefüggése incidensekkel elemzési szabályok használatával
A zaj csökkentése és a szükséges riasztások számának minimalizálása érdekében a Microsoft Sentinel elemzésekkel korrelálja a riasztásokat incidensekkel. Az incidensek olyan kapcsolódó riasztások csoportjai, amelyek együttesen egy végrehajtható lehetséges fenyegetést jeleznek, amelyet kivizsgálhat és megoldhat. Használja a beépített korrelációs szabályokat, vagy használja őket kiindulási pontként a saját összeállításához. A Microsoft Sentinel gépi tanulási szabályokat is biztosít a hálózati viselkedés leképezéséhez, majd az erőforrások rendellenességek kereséséhez. Ezek az elemzések összekapcsolják a pontokat a különböző entitásokra vonatkozó alacsony megbízhatósági riasztások lehetséges magas megbízhatóságú biztonsági incidensekkel való kombinálásával.
Gyakori feladatok automatizálása és vezénylése forgatókönyvek használatával
Automatizálhatja a gyakori feladatokat, és egyszerűbbé teheti a biztonsági vezénylést az Azure-szolgáltatásokkal és a meglévő eszközökkel integrálható forgatókönyvekkel .
A Microsoft Sentinel automatizálási és vezénylési megoldása rendkívül bővíthető architektúrát biztosít, amely lehetővé teszi a méretezhető automatizálást új technológiák és fenyegetések megjelenésekor. Forgatókönyvek Azure Logic Apps-lel való létrehozásához egy folyamatosan bővülő katalógusból választhat, amely több száz összekötőt biztosít a különböző szolgáltatásokhoz és rendszerekhez. Ezek az összekötők lehetővé teszik bármilyen egyéni logika alkalmazását a munkafolyamatban, például:
- ServiceNow
- Jira
- Zendesk
- HTTP-kérések
- Microsoft Teams
- Slack
- Microsoft Entra ID
- Microsoft Defender végponthoz
- Microsoft Defender for Cloud Apps
Ha például a ServiceNow jegykezelő rendszert használja, az Azure Logic Apps használatával automatizálhatja a munkafolyamatokat, és megnyithat egy jegyet a ServiceNow-ban minden egyes riasztás vagy incidens létrehozásakor.
A forgatókönyvek az SOC mérnökeinek és elemzőinek szólnak, hogy automatizálják és egyszerűsítsék a feladatokat, beleértve az adatbetöltést, a bővítést, a vizsgálatot és a szervizelést.
A forgatókönyvek egyetlen, megismételhető feladatokkal működnek a legjobban, és nem igényelnek kódolási ismereteket. A forgatókönyvek nem alkalmasak alkalmi vagy összetett feladatláncok, illetve bizonyítékok dokumentálására és megosztására.
A biztonsági fenyegetések hatókörének és kiváltó okának vizsgálata
A Microsoft Sentinel részletes vizsgálati eszközei segítenek megérteni a hatókört, és megtalálni a lehetséges biztonsági fenyegetések kiváltó okát. Az interaktív grafikonon kiválaszthat egy entitást, amely érdekes kérdéseket tehet fel egy adott entitással kapcsolatban, és részletezheti az entitást és kapcsolatait, hogy megismerje a fenyegetés kiváltó okát.
Biztonsági fenyegetések keresése beépített lekérdezések használatával
Használja a Microsoft Sentinel hatékony keresési és lekérdezési eszközeit a MITRE-keretrendszer alapján, amelyek lehetővé teszik a biztonsági fenyegetések proaktív keresését a szervezet adatforrásai között a riasztások aktiválása előtt. Hozzon létre egyéni észlelési szabályokat a keresési lekérdezés alapján. Ezután ezeket az elemzéseket riasztásként jelenítheti meg a biztonsági incidensek válaszadói számára.
A vadászat során hozzon létre könyvjelzőket, hogy később visszatérjen az érdekes eseményekhez. Könyvjelzővel megoszthatja az eseményeket másokkal. Vagy csoportosítsa az eseményeket más korreláló eseményekkel, hogy meggyőző incidenst hozzon létre a vizsgálathoz.
A fenyegetéskeresés javítása jegyzetfüzetekkel
A Microsoft Sentinel támogatja a Jupyter-jegyzetfüzeteket az Azure Machine Tanulás-munkaterületeken, beleértve a gépi tanuláshoz, vizualizációhoz és adatelemzéshez szükséges teljes kódtárakat.
A Microsoft Sentinel jegyzetfüzeteivel bővítheti a Microsoft Sentinel-adatokkal elvégezhető műveletek körét. Példa:
- Olyan elemzéseket végezhet, amelyek nem a Microsoft Sentinelbe vannak beépítve, például néhány Python-gépi tanulási funkciót.
- Olyan adatvizualizációkat hozhat létre, amelyek nem a Microsoft Sentinelbe épülnek, például egyéni ütemterveket és folyamatfákat.
- Integrálja a Microsoft Sentinelen kívüli adatforrásokat, például egy helyszíni adatkészletet.
A jegyzetfüzetek fenyegetésvadászoknak vagy 2–3. rétegbeli elemzőknek, incidensvizsgálóknak, adattudósoknak és biztonsági kutatóknak készültek. Magasabb tanulási görbét és kódolási ismereteket igényelnek. Korlátozott automatizálási támogatással rendelkeznek.
A Microsoft Sentinel jegyzetfüzetei a következőt biztosítják:
- Lekérdezések a Microsoft Sentinel és a külső adatok között
- Az adatdúsítás, a vizsgálat, a vizualizáció, a vadászat, a gépi tanulás és a big data-elemzés funkciói
A jegyzetfüzetek a legjobbak a következőkhöz:
- Megismételhető feladatok összetettebb láncai
- Alkalmi eljárási ellenőrzések
- Gépi tanulás és egyéni elemzés
A jegyzetfüzetek gazdag Python-kódtárakat támogatnak az adatok manipulálására és megjelenítésére. Hasznosak az elemzési bizonyítékok dokumentálásához és megosztásához.
Biztonsági tartalom letöltése a közösségtől
A Microsoft Sentinel-közösség hatékony erőforrás a fenyegetésészleléshez és az automatizáláshoz. A Microsoft biztonsági elemzői új munkafüzeteket, forgatókönyveket, keresési lekérdezéseket és egyebeket hoznak létre és adnak hozzá. Ezeket a tartalomelemeket közzétehetik a közösségnek, hogy a környezetében használhassa őket. Töltse le a mintatartalmakat a magánközösségi GitHub-adattárból egyéni munkafüzetek, keresési lekérdezések, jegyzetfüzetek és forgatókönyvek létrehozásához a Microsoft Sentinelhez.
Következő lépések
- A Microsoft Sentinel használatának megkezdéséhez a Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Megtudhatja, hogyan hozhatja be az adatokat a Microsoft Sentinelbe, és hogyan ismerheti meg az adatokat és a lehetséges fenyegetéseket.