A Microsoft Sentinel működése

  • 10 perc

Ahogy azt már megtanulta, a Microsoft Sentinel segít a végpontok közötti biztonsági műveletek engedélyezésében. Ide tartozik a naplók betöltésétől kezdve a biztonsági riasztásokra adott automatikus válaszokig számos tevékenység.

A Microsoft Sentinel főbb funkciói és összetevői az alábbiak.

Adatösszekötők

Az első teendő az, hogy az adatok be legyenek osztva a Microsoft Sentinelbe. Az adatösszekötők lehetővé teszik, hogy ezt tegye. Mindössze egy gomb kiválasztásával hozzáadhat szolgáltatásokat, például az Azure-tevékenységnaplókat. Másokat konfigurálni is kell egy kicsit, ilyen például a syslog. Vannak olyan adatösszekötők, amelyek minden forgatókönyvet és erőforrást érintenek, ideértve többek között az alábbiakat is:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (intelligens veszélyforrás-felderítéshez)
  • Azure
  • AWS-szolgáltatások

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Napló megőrzése

A Microsoft Sentinelbe való betöltés után az adatok tárolása a Log Analytics használatával történik. A Log Analytics használatának számos előnye van, például lehetősége van a Kusto lekérdezési nyelvet (KQL) használni adatai lekérdezéséhez. A KQL sokoldalú lekérdezési nyelv, amelynek használatával Ön elmélyülhet az adatok elemzésében, és betekintő adatokat nyerhet belőlük.

Screenshot showing the Log Analytics interface in the Azure portal.

Workbooks

Munkafüzetekkel jelenítheti meg az adatokat a Microsoft Sentinelben. A munkafüzeteket irányítópultokként is felfoghatjuk. Ezek minden egyes összetevője egy-egy háttérben futó KQL nyelven feltett, az Ön adataira vonatkozó lekérdezés felhasználásával készült. Használhatja a Microsoft Sentinel beépített munkafüzeteit, és szerkesztheti őket, hogy megfeleljen a saját igényeinek, vagy létrehozhat saját munkafüzeteket az alapoktól. Ha Azure Monitor-munkafüzeteket használt, ez a funkció ismerős lesz, mivel a Sentinel a Monitor-munkafüzetek implementációja.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Elemzési riasztások

Eddig rendelkezik naplókkal és néhány adatvizualizációval. Most jól jönne némi proaktív adatelemzés, hogy értesülhessen arról, ha valami gyanús esemény történik. A Sentinel-munkaterületen belül számos beépített elemzési riasztást engedélyezhet. A riasztásoknak különböző típusai vannak, van köztük olyan, amelyet saját igényei szerint szerkeszthet. Más riasztások a Microsoft saját gépi tanulási modelljeire épülnek. Létrehozhat teljesen új egyéni ütemezett riasztásokat is.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Veszélyforrás-keresés

Ebben a modulban nem vizsgáljuk meg részletesen a veszélyforrások felderítését. Ha azonban a SOC-elemzőknek gyanús tevékenység forrását kell megkeresniük, használhatják a beépített veszélyforrás-keresőket is. Az elemzők létrehozhatnak saját lekérdezéseket is. A Sentinel integrálható az Azure Notebooksszal is. Több példanotebookot is kínál a tapasztaltabb vadászok számára, akik egy programnyelv minden eszközét ki szeretnék használni az adatok átvizsgálása során.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Incidensek és vizsgálatok

Amikor egy Ön által engedélyezett riasztás aktiválódik, a rendszer incidenst hoz létre. A Microsoft Sentinelben szokásos incidenskezelési feladatokat végezhet, például módosíthatja az állapotot, vagy incidenseket rendelhet személyekhez vizsgálat céljából. A Microsoft Sentinel vizsgálati funkciókkal is rendelkezik, így vizuálisan is kivizsgálhatja az incidenseket úgy, hogy entitásokat térképez le a naplóadatok között egy idővonal mentén.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Automatizálási forgatókönyvek

Mivel képes incidensekre automatikusan válaszolni, automatizálhatja a biztonsági műveletek egy részét is, így növelheti a SOC hatékonyságát is. A Microsoft Sentinel lehetővé teszi automatizált munkafolyamatok vagy forgatókönyvek létrehozását az eseményekre válaszul. Ezzel a funkcióval létrehozhat incidenskezelést végrehajtó, bővítő, vizsgálatot végző vagy szervizelő munkafolyamatokat. Ezeket a képességeket gyakran biztonsági vezénylés, automatizálás és válaszadás (SOAR) néven említik.

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

SoC-elemzőként most már láthatja, hogyan segíthet a Microsoft Sentinel a céljai elérésében. Elvégezheti például az alábbiakat:

  • Adatok betöltése felhőbeli vagy helyszíni környezetekből.
  • Elemzés elvégzése ezeken az adatokon.
  • Minden felmerülő incidens kezelése és kivizsgálása.
  • Esetleg automatikus reagálás forgatókönyvek használatával.

Más szóval a Microsoft Sentinel egy végpontok közötti megoldást kínál a biztonsági műveletekhez.