A Microsoft Sentinel működése
Ahogy azt már megtanulta, a Microsoft Sentinel segít a végpontok közötti biztonsági műveletek engedélyezésében. Ide tartozik a naplók betöltésétől kezdve a biztonsági riasztásokra adott automatikus válaszokig számos tevékenység.
A Microsoft Sentinel főbb funkciói és összetevői az alábbiak.
Adatösszekötők
Az első teendő az, hogy az adatok be legyenek osztva a Microsoft Sentinelbe. Az adatösszekötők lehetővé teszik, hogy ezt tegye. Mindössze egy gomb kiválasztásával hozzáadhat szolgáltatásokat, például az Azure-tevékenységnaplókat. Másokat konfigurálni is kell egy kicsit, ilyen például a syslog. Vannak olyan adatösszekötők, amelyek minden forgatókönyvet és erőforrást érintenek, ideértve többek között az alábbiakat is:
- syslog
- Common Event Format (CEF)
- Trusted Automated eXchange of Indicator Information (TAXII) (intelligens veszélyforrás-felderítéshez)
- Azure
- AWS-szolgáltatások
Napló megőrzése
A Microsoft Sentinelbe való betöltés után az adatok tárolása a Log Analytics használatával történik. A Log Analytics használatának számos előnye van, például lehetősége van a Kusto lekérdezési nyelvet (KQL) használni adatai lekérdezéséhez. A KQL sokoldalú lekérdezési nyelv, amelynek használatával Ön elmélyülhet az adatok elemzésében, és betekintő adatokat nyerhet belőlük.
Workbooks
Munkafüzetekkel jelenítheti meg az adatokat a Microsoft Sentinelben. A munkafüzeteket irányítópultokként is felfoghatjuk. Ezek minden egyes összetevője egy-egy háttérben futó KQL nyelven feltett, az Ön adataira vonatkozó lekérdezés felhasználásával készült. Használhatja a Microsoft Sentinel beépített munkafüzeteit, és szerkesztheti őket, hogy megfeleljen a saját igényeinek, vagy létrehozhat saját munkafüzeteket az alapoktól. Ha Azure Monitor-munkafüzeteket használt, ez a funkció ismerős lesz, mivel a Sentinel a Monitor-munkafüzetek implementációja.
Elemzési riasztások
Eddig rendelkezik naplókkal és néhány adatvizualizációval. Most jól jönne némi proaktív adatelemzés, hogy értesülhessen arról, ha valami gyanús esemény történik. A Sentinel-munkaterületen belül számos beépített elemzési riasztást engedélyezhet. A riasztásoknak különböző típusai vannak, van köztük olyan, amelyet saját igényei szerint szerkeszthet. Más riasztások a Microsoft saját gépi tanulási modelljeire épülnek. Létrehozhat teljesen új egyéni ütemezett riasztásokat is.
Veszélyforrás-keresés
Ebben a modulban nem vizsgáljuk meg részletesen a veszélyforrások felderítését. Ha azonban a SOC-elemzőknek gyanús tevékenység forrását kell megkeresniük, használhatják a beépített veszélyforrás-keresőket is. Az elemzők létrehozhatnak saját lekérdezéseket is. A Sentinel integrálható az Azure Notebooksszal is. Több példanotebookot is kínál a tapasztaltabb vadászok számára, akik egy programnyelv minden eszközét ki szeretnék használni az adatok átvizsgálása során.
Incidensek és vizsgálatok
Amikor egy Ön által engedélyezett riasztás aktiválódik, a rendszer incidenst hoz létre. A Microsoft Sentinelben szokásos incidenskezelési feladatokat végezhet, például módosíthatja az állapotot, vagy incidenseket rendelhet személyekhez vizsgálat céljából. A Microsoft Sentinel vizsgálati funkciókkal is rendelkezik, így vizuálisan is kivizsgálhatja az incidenseket úgy, hogy entitásokat térképez le a naplóadatok között egy idővonal mentén.
Automatizálási forgatókönyvek
Mivel képes incidensekre automatikusan válaszolni, automatizálhatja a biztonsági műveletek egy részét is, így növelheti a SOC hatékonyságát is. A Microsoft Sentinel lehetővé teszi automatizált munkafolyamatok vagy forgatókönyvek létrehozását az eseményekre válaszul. Ezzel a funkcióval létrehozhat incidenskezelést végrehajtó, bővítő, vizsgálatot végző vagy szervizelő munkafolyamatokat. Ezeket a képességeket gyakran biztonsági vezénylés, automatizálás és válaszadás (SOAR) néven említik.
SoC-elemzőként most már láthatja, hogyan segíthet a Microsoft Sentinel a céljai elérésében. Elvégezheti például az alábbiakat:
- Adatok betöltése felhőbeli vagy helyszíni környezetekből.
- Elemzés elvégzése ezeken az adatokon.
- Minden felmerülő incidens kezelése és kivizsgálása.
- Esetleg automatikus reagálás forgatókönyvek használatával.
Más szóval a Microsoft Sentinel egy végpontok közötti megoldást kínál a biztonsági műveletekhez.