Opis możliwości wykrywania zagrożeń i ograniczania ryzyka w usłudze Microsoft Sentinel

  • 7 min

Skuteczne zarządzanie obwodem zabezpieczeń sieci organizacji wymaga odpowiedniej kombinacji narzędzi i systemów. Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie SIEM/SOAR, które zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Zapewnia pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.

Diagram showing the four aspects of Microsoft Sentinel: collect, detect, investigate, and respond.

Na tym diagramie przedstawiono kompleksowe funkcje usługi Microsoft Sentinel.

  • Zbieranie danych na dużą skalę chmury we wszystkich użytkownikach, urządzeniach, aplikacjach i infrastrukturze, zarówno w środowisku lokalnym, jak i w wielu chmurach.
  • Wykrywanie wcześniej wykrytych zagrożeń i minimalizowanie wyników fałszywie dodatnich przy użyciu analizy i niezrównanej analizy zagrożeń.
  • Badanie zagrożeń za pomocą sztucznej inteligencji (AI) i polowanie na podejrzane działania na dużą skalę, wykorzystując dziesięciolecia pracy związanej z cyberbezpieczeństwem w firmie Microsoft.
  • Szybkie reagowanie na zdarzenia dzięki wbudowanej aranżacji i automatyzacji typowych zadań zabezpieczeń.

Usługa Microsoft Sentinel ułatwia kompleksowe operacje zabezpieczeń w nowoczesnym centrum operacji zabezpieczeń (SOC). Poniżej wymieniono niektóre z kluczowych funkcji usługi Microsoft Sentinel.

Połączenie Sentinel do danych

Aby podawać usługę Microsoft Sentinel, musisz najpierw połączyć się ze źródłami zabezpieczeń. Usługa Microsoft Sentinel oferuje wiele łączników dla rozwiązań firmy Microsoft, dostępnych poza urządzeniem i zapewnia integrację w czasie rzeczywistym. Dostępne są rozwiązania Microsoft Defender XDR i źródła platformy Microsoft 365, w tym Office 365, Microsoft Entra i inne. Ponadto istnieją wbudowane łączniki do szerszego ekosystemu zabezpieczeń rozwiązań innych niż microsoft. Źródła danych można również połączyć przy użyciu łączników danych utworzonych przez społeczność wymienionych w repozytorium GitHub usługi Microsoft Sentinel lub postępując zgodnie z ogólnymi procedurami wdrażania dotyczącymi łączenia źródła danych z usługą Microsoft Sentinel. Linki do informacji znajdują się w sekcji Dowiedz się więcej jednostki podsumowania i zasobów.

Skoroszyty

Po połączeniu źródeł danych z usługą Microsoft Sentinel można monitorować dane przy użyciu integracji usługi Microsoft Sentinel ze skoroszytami usługi Azure Monitor. Skoroszyty są przeznaczone dla inżynierów SOC i analityków wszystkich warstw w celu wizualizacji danych. Zobaczysz kanwę do analizy danych i tworzenia rozbudowanych raportów wizualnych w witrynie Azure Portal.

Dzięki tej integracji usługa Microsoft Sentinel umożliwia tworzenie niestandardowych skoroszytów na danych. Zawiera również wbudowane szablony skoroszytów, które umożliwiają szybki wgląd w dane zaraz po nawiązaniu połączenia ze źródłem danych.

Analiza

Usługa Microsoft Sentinel używa analizy do korelowania alertów ze zdarzeniami. Zdarzenia to grupy powiązanych alertów, które razem tworzą możliwe do działania zagrożenie, które można zbadać i rozwiązać. Dzięki analizie w usłudze Microsoft Sentinel możesz użyć wbudowanych reguł korelacji w stanie rzeczywistym lub użyć ich jako punktu wyjścia do utworzenia własnego. Usługa Microsoft Sentinel udostępnia również reguły uczenia maszynowego do mapowania zachowania sieci, a następnie wyszukiwania anomalii w zasobach. Te analizy łączą kropki, łącząc alerty o niskiej wierności dotyczące różnych jednostek w potencjalne zdarzenia zabezpieczeń o wysokiej wierności.

Zarządzanie zdarzeniami w usłudze Microsoft Sentinel

Zarządzanie zdarzeniami umożliwia zarządzanie cyklem życia zdarzenia. Wyświetl wszystkie powiązane alerty, które są agregowane do zdarzenia. Możesz również sklasyfikować i zbadać. Przejrzyj wszystkie powiązane jednostki w zdarzeniu i dodatkowe informacje kontekstowe istotne dla procesu klasyfikacji. Zbadaj alerty i powiązane jednostki, aby zrozumieć zakres naruszenia. Wyzwalaj podręczniki dotyczące alertów pogrupowanych w zdarzeniu, aby rozwiązać zagrożenie wykryte przez alert. Możesz również wykonywać standardowe zadania zarządzania zdarzeniami, takie jak zmiana stanu lub przypisywanie zdarzeń do osób na potrzeby badania.

Automatyzacja zabezpieczeń i aranżacja za pomocą podręczników

Za pomocą usługi Microsoft Sentinel możesz zautomatyzować niektóre operacje zabezpieczeń i zwiększyć produktywność centrum operacji zabezpieczeń (SOC). Usługa Microsoft Sentinel integruje się z usługą Azure Logic Apps, dzięki czemu można tworzyć zautomatyzowane przepływy pracy lub podręczniki w odpowiedzi na zdarzenia. Podręcznik zabezpieczeń to zbiór procedur, które mogą pomóc inżynierom SOC i analitykom wszystkich warstw w automatyzowaniu i upraszczaniu zadań oraz organizowaniu odpowiedzi. Podręczniki działają najlepiej z pojedynczymi, powtarzalnymi zadaniami i nie wymagają wiedzy na temat kodowania.

Badanie

Głębokie narzędzia do badania w usłudze Microsoft Sentinel pomagają zrozumieć zakres potencjalnego zagrożenia bezpieczeństwa i znaleźć główną przyczynę. Wybierz jednostkę na grafie interakcyjnym, aby zadawać konkretne pytania, a następnie przechodzić do szczegółów tej jednostki i jej połączeń, aby uzyskać główną przyczynę zagrożenia.

Wyszukiwanie zagrożeń

Użyj zaawansowanych narzędzi do wyszukiwania zagrożeń i zapytań w usłudze Microsoft Sentinel na podstawie struktury MITRE (globalnej bazy danych taktyki i technik niepożądanych), aby aktywnie wyszukiwać zagrożenia bezpieczeństwa w źródłach danych organizacji, zanim zostanie wyzwolony alert. Po odkryciu, które zapytanie wyszukiwania zagrożeń zapewnia wysoki poziom wglądu w możliwe ataki, można również utworzyć niestandardowe reguły wykrywania na podstawie zapytania i wyświetlić te szczegółowe informacje jako alerty dla osób reagujących na zdarzenia zabezpieczeń.

Podczas wyszukiwania zagrożeń możesz dodać zakładkę do interesujących zdarzeń. Zdarzenia tworzenia zakładek umożliwiają późniejsze powrót do nich, udostępnianie ich innym osobom i grupowanie ich z innymi korelacjami zdarzeń w celu utworzenia atrakcyjnego zdarzenia na potrzeby badania.

Notesy

Usługa Microsoft Sentinel obsługuje notesy Jupyter. Jupyter Notebook to aplikacja internetowa typu open source, która umożliwia tworzenie i udostępnianie dokumentów zawierających kod na żywo, równania, wizualizacje i tekst narracji. Możesz użyć notesów Jupyter w usłudze Microsoft Sentinel, aby rozszerzyć zakres działań, które można wykonać za pomocą danych usługi Microsoft Sentinel. Na przykład wykonaj analizy, które nie są wbudowane w usługę Microsoft Sentinel, takie jak niektóre funkcje uczenia maszynowego języka Python, twórz wizualizacje danych, które nie są wbudowane w usługę Microsoft Sentinel, takie jak niestandardowe osie czasu i drzewa procesów, lub integruj źródła danych poza usługą Microsoft Sentinel, takie jak lokalny zestaw danych.

Community

Społeczność usługi Microsoft Sentinel to zaawansowany zasób do wykrywania zagrożeń i automatyzacji. Analitycy zabezpieczeń firmy Microsoft stale tworzą i dodają nowe skoroszyty, podręczniki, zapytania wyszukiwania zagrożeń i nie tylko, publikując je w społeczności, aby można było ich używać w swoim środowisku. Przykładową zawartość można pobrać z repozytorium GitHub społeczności prywatnej, aby utworzyć niestandardowe skoroszyty, zapytania wyszukiwania zagrożeń, notesy i podręczniki dla usługi Microsoft Sentinel.

Centrum zawartości

Centrum zawartości usługi Microsoft Sentinel to centralna lokalizacja do odnajdywania wbudowanych rozwiązań i zarządzania nimi. Rozwiązania usługi Microsoft Sentinel to pakiety zawartości usługi Microsoft Sentinel lub integracji interfejsu API usługi Microsoft Sentinel, które zapewniają wdrażanie jednoetapowe i włączanie. Rozwiązania centrum zawartości, które spełniają kompleksowe scenariusze produktu, domeny lub branży w usłudze Microsoft Sentinel.

W centrum zawartości przefiltruj według kategorii i innych parametrów, aby znaleźć zawartość, która najlepiej odpowiada potrzebom i przypadkom użycia organizacji. Centrum zawartości wskazuje również model pomocy technicznej zastosowany do każdego rozwiązania i zawartości, ponieważ niektóre treści są obsługiwane przez firmę Microsoft, a inne są obsługiwane przez partnerów lub społeczność. Aktualizacje zawartości gotowej do użycia można również zarządzać za pośrednictwem centrum zawartości usługi Microsoft Sentinel.