Обучение Microsoft Sentinel
Эта статья посвящена обучению уровня 400, которое поможет вам получить навыки работы с Microsoft Sentinel. Учебный курс состоит из 21 самоуправляемых модулей, которые представляют соответствующую документацию по продукту, записи блога и другие ресурсы.
Перечисленные ниже модули разделены на пять частей в соответствии с жизненным циклом центра информационной безопасности (SOC).
- Модуль 0. Другие варианты обучения и поддержки
- Модуль 1. Начало работы с Microsoft Sentinel
- Модуль 2. Как используется Microsoft Sentinel?
Часть 2. Архитектура и развертывание
- Модуль 3. Архитектура рабочей области и клиента
- Модуль 4. Сбор данных
- Модуль 5. Управление журналами
- Модуль 6. Обогащение: аналитика угроз, списки отслеживания и многое другое
- Модуль 7. Преобразование журнала
- Модуль 8. Миграция
- Модуль 9. Расширенная информационная модель SIEM и нормализация
- Модуль 10. Язык запросов Kusto
- Модуль 11. Аналитика
- Модуль 12. Реализация SOAR
- Модуль 13. Книги, отчеты и визуализация
- Модуль 14. Записные книжки
- Модуль 15. Варианты использования и решения
- Модуль 16. Один день из жизни аналитика SOC, управление инцидентами и расследование
- Модуль 17. Охота на угрозы
- Модуль 18. Аналитика поведения пользователей и сущностей (UEBA)
- Модуль 19. Мониторинг работоспособности Microsoft Sentinel
- Модуль 20. Расширение и интеграция с помощью API Microsoft Sentinel
- Модуль 21. Создание собственных моделей машинного обучения
Часть 1. Обзор
Модуль 0. Другие варианты обучения и поддержки
Это обучение является обучением уровня 400 и основано на курсе Станьте экспертом в Microsoft Sentinel. Если вы не хотите углубляться или у вас есть конкретная проблема, другие ресурсы могут оказаться более подходящими.
- Несмотря на то, что это обширная программа обучения, она должна проходить по определенному сценарию и не может охватить все темы. Сведения о каждой статье см. в документации по ссылкам.
- Теперь вы можете получить новый сертификат SC-200: Microsoft Security Operations Analyst, который распространяется на Microsoft Sentinel. Вы также можете ознакомиться с документом SC-900. Основы безопасности, соответствия требованиям и идентификации в Майкрософт или AZ-500. Технологии безопасности Microsoft Azure, чтобы получить более широкое, высокоуровневое представление о пакете безопасности Майкрософт.
- Если у вас уже есть опыт работы с Microsoft Sentinel, следите за новыми возможностями или присоединяйтесь к программе Закрытое сообщество безопасности Microsoft Cloud для более раннего ознакомления с новыми выпусками.
- У вас есть идея для функции, которой вы хотите поделиться с нами? Сообщите нам об этом на странице отзывов пользователей Microsoft Sentinel.
- Являетесь клиентом уровня Premier? Вам может понадобиться очный или дистанционный четырехдневный семинар по основам Microsoft Sentinel. Свяжитесь со своим менеджером по обеспечению успеха клиента, чтобы получить дополнительные сведения.
- У вас есть конкретная проблема? Спросите (или ответьте другим) в техническом сообществе Microsoft Sentinel. Вы также можете отправить нам свой вопрос или проблему по адресу MicrosoftSentinel@microsoft.com.
Модуль 1. Начало работы с Microsoft Sentinel
Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования в рамках оркестрации событий безопасности (SOAR). Microsoft Sentinel предоставляет аналитику безопасности и аналитику угроз на предприятии. Оно представляет собой единое решение для обнаружения предупреждений, отображения угроз, упреждающего поиска угроз и реагирования на угрозы. Дополнительные сведения см. в статье о Microsoft Sentinel.
Если вы хотите получить первоначальное представление о технических возможностях Microsoft Sentinel, хорошей отправной точкой будет последняя презентация Ignite. Вам также может быть полезно Краткое руководство по началу работы с Microsoft Sentinel (требуется регистрация на сайте).
Более подробный обзор можно найти в этом вебинаре по Microsoft Sentinel: YouTube, MP4 или презентация.
Наконец, хотите ли вы попробовать это решение самостоятельно? Ускоритель Microsoft Sentinel All-In-One (блог, YouTube, MP4 или презентация) предлагает простой способ начать работу. Чтобы узнать, как приступить к работе, ознакомьтесь с документацией по подключению или посмотрите видео об установке и настройке Insight Microsoft Sentinel.
Перенимаем опыт других пользователей
Тысячи организаций и поставщиков услуг используют Microsoft Sentinel. Как обычно бывает с продуктами безопасности, большинство организаций не разглашают эту информацию. Но некоторые все же делают это.
- Найдите общедоступные варианты использования клиентами.
- Стюарт Грегг (Stuart Gregg), менеджер по обеспечению безопасности в ASOS, опубликовал гораздо более подробную запись блога об опыте использования Microsoft Sentinel, сосредоточившись на охоте.
Перенимаем опыт аналитиков
- Azure Sentinel занимает лидирующие позиции в рейтинге Forrester Wave и первое место в категории "Стратегия"
- Корпорация Майкрософт названа "провидцем" в Магическом квадранте Gartner 2021 года для SIEM для Microsoft Sentinel
Модуль 2. Как используется Microsoft Sentinel?
Многие организации используют Microsoft Sentinel в качестве основного решения SIEM. Большинство модулей в этом курсе охватывают этот вариант использования. В этом модуле мы предлагаем несколько дополнительных способов использования Microsoft Sentinel.
В рамках стека безопасности Майкрософт
Используйте Microsoft Sentinel, Microsoft Defender для облака и XDR в Microsoft Defender вместе для защиты рабочих нагрузок Майкрософт, включая Windows, Azure и Office:
- Дополнительные сведения о комплексном решении SIEM+XDR, объединяющем Microsoft Sentinel и XDR в Microsoft Defender.
- Прочтите Компас безопасности Azure (теперь называется рекомендациями по обеспечению безопасности Майкрософт), чтобы понять схему Майкрософт для операций безопасности.
- Прочтите и посмотрите, как такая настройка помогает обнаруживать атаки WebShell и реагировать на них: блог или демонстрационное видео.
- Посмотрите вебинар "Вместе лучше" Обнаружение и расследование атак OT и IoT, а также реагирование на них.
Мониторинг рабочих нагрузок с несколькими облаками
Облако (по-прежнему) является новым и часто не отслеживается столь же широко, как локальные рабочие нагрузки. Прочтите эту презентацию, чтобы узнать, как Microsoft Sentinel позволяет устранить пробелы в мониторинге облачных сред.
Параллельно с существующим решением SIEM
Если вы используете Microsoft Sentinel для своих облачных рабочих нагрузок, вы можете использовать Microsoft Sentinel наряду с существующим решением SIEM либо в переходный период, либо в долгосрочной перспективе. Вы также можете использовать оба варианта наряду с системой обработки запросов, такой как Service Now.
Дополнительные сведения о миграции из другого решения SIEM в Microsoft Sentinel см. в вебинаре по миграции: YouTube, MP4 или презентация.
Существует три распространенных сценария параллельного развертывания.
Если в вашем SOC есть система обработки запросов, рекомендуется отправлять оповещения или инциденты из обеих систем SIEM в систему обработки запросов, такую как Service Now. Примерами могут служить двунаправленная синхронизация инцидента Microsoft Sentinel с ServiceNow или отправка оповещений, обогащенных вспомогательными событиями, из Microsoft Sentinel в сторонние решения SIEM.
По крайней мере на начальном этапе многие пользователи отправляют оповещения из Microsoft Sentinel в локальную систему SIEM. Инструкции см. в разделе Отправка оповещений, обогащенных вспомогательными событиями, из Microsoft Sentinel в сторонние решения SIEM.
Со временем, когда Microsoft Sentinel охватит больше рабочих нагрузок, будет лучше изменить эту схему и отправлять оповещения из локальной системы SIEM в Microsoft Sentinel. Для этого:
- Если вы используете Splunk, см. статью Отправка данных и важных событий из Splunk в Microsoft Sentinel.
- Если вы используете QRadar, см. статью Отправка данных о нарушениях QRadar в Microsoft Sentinel.
- Если вы используете ArcSight, см. статью Переадресация Common Event Format (CEF).
Кроме того, можно отправлять оповещения из Microsoft Sentinel в стороннее решение SIEM или систему обработки запросов с помощью API безопасности Graph. Такой подход проще, но не позволит отправлять другие данные.
Для MSSP
Поскольку решение Microsoft Sentinel не требует затрат на настройку и не зависит от расположения, оно является популярным выбором для предоставления SIEM как услуги. Вы можете ознакомиться со списком поставщиков управляемых служб безопасности (MSSP), входящих в состав MISA (Ассоциация информационной безопасности Майкрософт) и использующих Microsoft Sentinel. Многие другие MSSP, особенно региональные и небольшие, используют Microsoft Sentinel, но не являются членами MISA.
Чтобы приступить к работе в качестве MSSP, прочитайте Технический сборник схем Microsoft Sentinel для MSSP. Дополнительные сведения о поддержке MSSP включены в следующий модуль, который охватывает облачную архитектуру и мультитенантную поддержку.
Часть 2. Архитектура и развертывание
Хотя в разделе "Часть 1. Обзор" предлагаются варианты, позволяющие начать использовать Microsoft Sentinel в считанные минуты, прежде чем приступить к развертыванию в рабочей среде, необходимо создать план.
В этом разделе рассматриваются области, которые необходимо учитывать при разработке архитектуры решения, и приводятся рекомендации по реализации проекта:
- Архитектура рабочей области и клиента
- сбор данных
- Управление журналами
- Получение аналитики угроз
Модуль 3. Архитектура рабочей области и клиента
Экземпляр Microsoft Sentinel называется рабочей областью. Рабочая область совпадает с рабочей областью Log Analytics и поддерживает любые возможности Log Analytics. Microsoft Sentinel можно рассматривать как решение, которое добавляет функции SIEM поверх рабочей области Log Analytics.
Часто необходимо несколько рабочих областей, которые могут работать вместе как единая система Microsoft Sentinel. Особым вариантом использования является предоставление службы с помощью Microsoft Sentinel, например MSSP (поставщика управляемых служб безопасности) или глобального SOC в крупной организации.
Дополнительные сведения об использовании нескольких рабочих областей в качестве одной системы Microsoft Sentinel см. в статье Расширение Microsoft Sentinel на рабочие области и клиенты или вебинаре: YouTube, MP4 или презентация.
При использовании нескольких рабочих областей учитывайте следующее:
- Важным фактором использования нескольких рабочих областей является место расположения данных. Дополнительные сведения см. в статье о месте расположения данных Microsoft Sentinel.
- Чтобы развернуть Microsoft Sentinel и эффективно управлять содержимым в нескольких рабочих областях, вы можете управлять Microsoft Sentinel как кодом с помощью технологии непрерывной интеграции и поставки (CI/CD). Рекомендуется включить непрерывное развертывание для Microsoft Sentinel. Дополнительные сведения см. в разделе Включение непрерывного развертывания в собственном коде с помощью репозиториев Microsoft Sentinel.
- При управлении несколькими рабочими областями в качестве MSSP может потребоваться защита интеллектуальной собственности MSSP в Microsoft Sentinel.
Технический сборник схем Microsoft Sentinel для MSSP содержит подробные рекомендации по многим из этих тем, а также полезен крупным организациям, а не только MSSP.
Модуль 4. Сбор данных
Основой SIEM является сбор данных телеметрии: событий, оповещений и информации о контекстном обогащении, такой как аналитика угроз, данные об уязвимостях и сведения о ресурсах. Ниже приведен список источников, к которым можно обращаться.
- Ознакомьтесь со статьей Соединители данных Microsoft Sentinel.
- Найдите соединитель данных Microsoft Sentinel, чтобы просмотреть все поддерживаемые и встроенные соединители данных. Вы найдете ссылки на универсальные процедуры развертывания и дополнительные действия, необходимые для определенных соединителей.
- Сценарии сбора данных: сведения о методах сбора, таких как Logstash, CEF и WEF. Другие распространенные сценарии — это ограничения разрешений для таблиц, фильтрации журналов, сбора журналов из Amazon Web Services (AWS) или Google Cloud Platform (GCP), необработанных журналов Microsoft 365 и т. д. Все это можно найти в вебинаре "Сценарии сбора данных": YouTube, MP4 или презентация.
Первый фрагмент информации, который можно увидеть для каждого соединителя, — это метод приема данных. Этот метод представляет собой ссылку на одну из следующих универсальных процедур развертывания, которые содержат большую часть сведений, необходимых для подключения источников данных к Microsoft Sentinel:
| Метод приема данных | Связанная статья |
|---|---|
| Интеграция между службами Azure | Подключение к службам Azure, Windows, Майкрософт и Amazon |
| В формате Common Event Format (CEF) с помощью Syslog | Передача журналов в формате CEF со своего устройства в Microsoft Sentinel |
| API сборщика данных Microsoft Sentinel | Подключение источника данных к API сборщика данных Microsoft Sentinel для приема данных |
| Функции Azure и REST API | Подключение Microsoft Sentinel к источнику данных в помощью Функций Azure |
| Системный журнал | Получение данных из источников на основе Linux с помощью системного журнала Syslog |
| Пользовательские журналы | Сбор данных в настраиваемых форматах журналов в Microsoft Sentinel с помощью агента Log Analytics |
Если источник недоступен, можно создать пользовательский соединитель. Пользовательские соединители используют API приема и, следовательно, похожи на прямые источники. Пользовательские соединители чаще всего реализуются с помощью службы Azure Logic Apps, предлагающей вариант без кода, или Функций Azure.
Модуль 5. Управление журналами
Первое решение в отношении архитектуры, которое необходимо принять при настройке Microsoft Sentinel, — сколько рабочих областей и какие из них следует использовать. Другие архитектурные решения по управлению журналами включают в себя следующее:
- где и как долго хранить данные;
- как лучше всего управлять доступом к данным и защищать их.
Прием, архивирование, поиск и восстановление данных в Microsoft Sentinel
Для начала посмотрите вебинар Управление жизненным циклом журнала с помощью новых методов приема, архивирования, поиска и восстановления.
Этот набор содержит следующие функции.
- Базовый уровень приема: новая ценовая категория для журналов Azure Monitor, которая позволяет принимать журналы по более низкой цене. Эти данные хранятся в рабочей области всего восемь дней.
- Архивный уровень: срок хранения журналов Azure Monitor увеличился с двух до семи лет. С помощью этого нового уровня можно хранить данные до семи лет в недорогом архивном состоянии.
- Задания поиска: задачи поиска, которые выполняют ограниченный код KQL для поиска и получения всех соответствующих журналов. Эти задания выполняют поиск данных на уровне аналитики и на базовом уровне, а также архивных данных.
- Восстановление данных: новая функция, позволяющая выбрать таблицу данных и диапазон времени для восстановления данных в рабочей области с помощью таблицы восстановления.
Дополнительные сведения об этих новых функциях см. в статье Прием, архивирование, поиск и восстановление данных в Microsoft Sentinel.
Альтернативные варианты хранения за пределами платформы Microsoft Sentinel
Если вы хотите хранить данные более двух лет или сократить затраты на хранение, можно использовать Azure Data Explorer для долгосрочного хранения журналов Microsoft Sentinel. См. слайды вебинара, запись вебинара или блог.
Хотите получить более подробные сведения? Посмотрите вебинар Повышение ширины охвата охоты на угрозы с помощью поддержки ADX, дополнительных типов сущностей и обновленной интеграции MITRE.
Если вы предпочитаете другое решение для долгосрочного хранения, см. раздел Экспорт данных из рабочей области Microsoft Sentinel или Log Analytics в службу хранилища Azure и Центры событий или Перемещение журналов в долгосрочное хранилище с помощью Azure Logic Apps. Преимущество использования службы Logic Apps заключается в том, что она позволяет экспортировать исторические данные.
Наконец, с помощью параметров хранения на уровне таблицы можно задать детализированные периоды хранения. Дополнительные сведения см. в статье Настройка политик хранения и архивации данных в журналах Azure Monitor (предварительная версия).
Безопасность журналов
Используйте управление доступом на основе ролей (RBAC) на уровне ресурсов или RBAC на уровне таблицы, чтобы несколько команд могли использовать одну рабочую область.
При необходимости удалите содержимое клиента из рабочих областей.
См. сведения о выполнении аудита запросов рабочей области и использования Microsoft Sentinel с помощью книг оповещений и запросов.
Используйте приватные каналы, чтобы журналы никогда не покидали частную сеть.
Выделенный кластер
Используйте выделенный кластер рабочей области, если запланировано получение данных объемом не менее 500 ГБ в день. Выделенный кластер позволяет защищать ресурсы для данных Microsoft Sentinel, что обеспечивает повышенную производительность запросов к большим наборам данных.
Модуль 6. Обогащение: аналитика угроз, списки отслеживания и многое другое
Одной из важных функций SIEM является применение контекстных сведений к потоку событий, что позволяет обнаруживать, и приоритизировать оповещения, а также расследовать инциденты. Контекстные сведения включают, например, аналитику угроз, аналитику IP-адресов, информацию об узле и пользователе, а также списки отслеживания.
Microsoft Sentinel предоставляет комплексные средства для импорта и использования аналитики угроз, а также управления ей. Для других типов контекстных сведений Microsoft Sentinel предоставляет списки отслеживания и другие альтернативные решения.
Аналитика угроз
Аналитика угроз является важным стандартным блоком SIEM. Посмотрите вебинар Исследование возможностей аналитики угроз в Microsoft Sentinel.
В Microsoft Sentinel можно интегрировать аналитику угроз с помощью встроенных соединителей с серверов TAXII (Trusted Automated eXchange of Indicator Information, доверенный автоматизированный обмен аналитической информацией) или с помощью API безопасности Microsoft Graph. Дополнительные сведения см. в статье Интеграция аналитики угроз в Microsoft Sentinel. Дополнительные сведения об импорте аналитики угроз см. в разделах Модуль 4. Сбор данных.
После импорта аналитика угроз широко используется в Microsoft Sentinel. В следующих функциях основное внимание уделяется использованию аналитики угроз.
Просмотр импортированных аналитических данных об угрозах и управление ими в журналах в новой области аналитики угроз Microsoft Sentinel.
Использование встроенных шаблонов правил аналитики угроз для создания оповещений и инцидентов системы безопасности с использованием импортированной аналитики угроз.
Визуализация важной информации об аналитике угроз в Microsoft Sentinel с помощью книги "Аналитика угроз".
Посмотрите вебинар "Автоматизация рассмотрения инцидентов Microsoft Sentinel с помощью аналитики угроз RiskIQ": YouTube или презентация.
Нет времени? Просмотрите материалы Ignite (28 минут).
Хотите получить более подробные сведения? Просмотрите вебинар "Подробный обзор аналитики угроз": YouTube, MP4 или презентация.
Списки отслеживания и другие механизмы подстановки
Для импорта любых типов контекстных сведений и управления ими Microsoft Sentinel предоставляет списки отслеживания. Списки отслеживания позволяют отправлять таблицы данных в формате CSV и использовать их в запросах KQL. Дополнительные сведения см. в статье Использование списков отслеживания в Microsoft Sentinel, или посмотрите вебинар "Использование списков отслеживания для управления оповещениями, сокращения объема оповещений и повышения эффективности SOC": YouTube или презентация.
Списки видео к просмотру могут помочь в следующих ситуациях:
Исследование угроз и оперативное реагирование на инциденты: быстро импортируйте IP-адреса, хэши файлов и других данных из CSV-файлов. После импорта данных пары "имя-значение" из списка видео к просмотру можно использовать для соединений и фильтров в правилах генерации оповещений, при поиске угроз, в книгах, записных книжках и общих запросах.
Импорт бизнес-данных в виде списка отслеживания. Например, можно импортировать списки пользователей с привилегированным доступом к системе или списки уволенных сотрудников. Затем используйте список видео к просмотру для создания списков разрешений и блокировок, применяемых для обнаружения пользователей в сети и предотвращения их входа в сеть.
Сокращение объема оповещений. Создайте списки разрешений для подавления оповещений от группы пользователей, например от пользователей с разрешенных IP-адресов, выполняющих задачи, которые обычно активируют оповещения. Предотвратите преобразование безопасных событий в оповещения.
Обогащение данных событий. Используйте списки отслеживания, чтобы дополнить данные событий с помощью сочетаний "имя-значение", полученных из внешних источников данных.
Помимо списков отслеживания, вы можете использовать оператор external-data в KQL, пользовательские журналы и функции KQL для запроса контекстных сведений и управления ими. Каждый из четырех методов имеет свои преимущества и недостатки, и вы можете прочитать больше о сравнении этих вариантов в записи блога Реализация подстановок в Microsoft Sentinel. Хотя каждый метод отличается друг от друга, использование результирующих сведений в запросах аналогично, что позволяет легко переключаться между ними.
Чтобы узнать об использовании списков отслеживания за пределами правил аналитики, ознакомьтесь со статьей Использование списков отслеживания для повышения эффективности во время расследований Microsoft Sentinel.
Посмотрите вебинар "Использование списков отслеживания для управления оповещениями, сокращения объема оповещений и повышения эффективности SOC": YouTube или презентация.
Модуль 7. Преобразование журнала
Microsoft Sentinel поддерживает две новые функции приема и преобразования данных. Эти функции, предоставляемые Log Analytics, применяются еще до записи данных в рабочую область. Функции перечислены ниже.
API приема журналов: позволяет отправлять журналы пользовательского формата из любого источника данных в рабочую область Log Analytics и хранить эти журналы в определенных стандартных таблицах или в создаваемых вами таблицах с пользовательским форматированием. Прием таких журналов можно выполнять с помощью прямых вызовов API. Правила сбора данных Log Analytics можно использовать для определения и настройки этих рабочих процессов.
Преобразование данных рабочей области для стандартных журналов. Эта функция использует правила сбора данных для фильтрации нерелевантных данных, обогащения и добавления тегов или скрытия конфиденциальной и личной информации. Преобразование данных можно настроить во время приема для следующих типов встроенных соединителей данных:
- соединители данных на основе нового агента Azure Monitor (AMA);
- соединители данных на основе Microsoft Monitoring Agent (MMA) (на основе устаревшего агента журналов Azure Monitor);
- соединители данных, использующие параметры диагностики.
- Соединители данных между службами
Дополнительные сведения см. в разделе:
- Преобразование или настройка данных во время приема данных в Microsoft Sentinel
- Найдите нужный соединитель данных Microsoft Sentinel
Модуль 8. Миграция
Во многих случаях (если не в большинстве) у вас уже есть SIEM, и необходимо выполнить миграцию в Microsoft Sentinel. Хотя сейчас, возможно, самое время начать все сначала и переосмыслить реализацию SIEM, имеет смысл использовать некоторые ресурсы, которые вы уже создали в текущей реализации. Просмотрите вебинар "Рекомендации по преобразованию правил обнаружения (из Splunk, QRadar и ArcSight в Azure Sentinel): YouTube, MP4, презентация или блог.
Рекомендуем также ознакомиться со следующими ниже статьями:
- Сопоставление Splunk Search Processing Language (SPL) с KQL
- Примеры сопоставления правил ArcSight и QRadar
Модуль 9. Расширенная информационная модель SIEM и нормализация
Совместная работа с различными типами данных и таблицами может представлять ряд проблем. Необходимо изучать эти типы данных и схемы в процессе написания и использования уникального набора правил аналитики, книг и запросов с целью охоты. Корреляция между типами данных, необходимыми для исследования и охоты, также может быть затруднена.
Расширенная информационная модель SIEM (ASIM) обеспечивает удобную работу с данными из разных источников в унифицированных, нормализованных представлениях. ASIM согласуется с общей информационной моделью метаданных событий безопасности с открытым исходным кодом (OSSEM), способствуя общеотраслевой нормализации, не зависящей от поставщика. Просмотрите вебинар "Расширенная информационная модель SIEM (ASIM): теперь в Microsoft Sentinel" YouTube или презентация.
Текущая реализация основана на нормализации времени запроса с помощью функций KQL.
Нормализованные схемы охватывают стандартные наборы предсказуемых типов событий, с которыми удобно работать и на основе которых легко создавать унифицированные возможности. Схема определяет, какие поля должны представлять событие, соглашение об именовании нормализованных столбцов и стандартный формат значений полей.
- Посмотрите вебинар "Знакомство с нормализацией в Microsoft Sentinel": YouTube или презентация.
- Посмотрите вебинар, посвященный средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel": YouTube, MP3 или презентация.
Средства синтаксического анализа сопоставляют существующие данные с нормализованными схемами. Средства синтаксического анализа реализуются с помощью функций KQL. Посмотрите вебинар "Расширение и администрирование ASIM: разработка, тестирование и развертывание средств синтаксического анализа": YouTube или презентация.
Содержимое для каждой нормализованной схемы включает правила аналитики, книги и запросы с целью охоты. Это содержимое работает со всеми нормализованными данными без необходимости создавать содержимое для определенного источника.
Использование ASIM обеспечивает следующие преимущества.
Обнаружение в нескольких источниках: нормализованные правила аналитики работают в разных источниках, локально и в облаке. Они обнаруживают атаки, например методом подбора, или невозможность перемещения по системам, включая Okta, AWS и Azure.
Разрешение независимого от источника содержимого: объем встроенного и пользовательского содержимого с помощью ASIM автоматически расширяется до любого источника, поддерживающего ASIM, даже если источник был добавлен после создания содержимого. Например, аналитика событий процесса поддерживает любой источник, который клиент может использовать для ввода данных, включая Microsoft Defender для конечной точки, Windows Events и Sysmon. Мы готовы добавить поддержку Sysmon для Linux и WEF после их выпуска.
Поддержка пользовательских источников во встроенной аналитике
Простота использования: после того как аналитик изучит ASIM, писать запросы становится намного проще, поскольку имена полей всегда одинаковы.
Дополнительные сведения об ASIM
Воспользуйтесь следующими ресурсами:
Посмотрите обзорный вебинар "Знакомство с нормализацией в Microsoft Sentinel": YouTube или презентация.
Посмотрите вебинар, посвященный средствам синтаксического анализа для нормализации и нормализованному содержимому Microsoft Sentinel: YouTube, MP3 или презентация.
Посмотрите вебинар "Оптимизация ASIM: как убедиться, что нормализация повышает производительность, а не мешает ей": YouTube, MP4 или презентация.
Ознакомьтесь с документацией по ASIM.
Развертывание ASIM
Разверните средства синтаксического анализа из папок, начинающихся с "ASIM*", в папке parsers на сайте GitHub.
Активируйте правила аналитики, использующие ASIM. Выполните поиск по слову normal в коллекции шаблонов, чтобы найти некоторые из них. Чтобы получить полный список, используйте этот поиск на GitHub.
Использование ASIM
Используйте запросы с целью охоты ASIM из GitHub.
Используйте запросы ASIM при использовании KQL на экране журнала.
Напишите собственные правила аналитики с помощью ASIM или преобразуйте существующие.
Напишите средства синтаксического анализа для пользовательских источников, чтобы сделать их совместимыми с ASIM и принять участие во встроенной аналитике.
Часть 3. Создание содержимого
Что такое содержимое Microsoft Sentinel?
Ценность безопасности Microsoft Sentinel заключается в сочетании встроенных возможностей и вашей способности создавать собственные и настраивать встроенные возможности. Среди встроенных возможностей — аналитика поведения пользователей и сущностей (UEBA), машинное обучение или готовые правила аналитики. Настраиваемые возможности часто называются "содержимым" и включают в себя правила аналитики, запросы с целью охоты, книги, сборники схем и т. д.
В этом разделе мы сгруппировали модули, которые помогут вам научиться создавать такое содержимое или изменять встроенное содержимое в соответствии с вашими потребностями. Начнем с языка KQL, являющегося лингва франка Azure Microsoft Sentinel. В следующих модулях рассматривается один из стандартных блоков содержимого, таких как правила, сборники схем и книги. В заключение рассматриваются варианты использования, которые охватывают элементы различных типов для решения конкретных задач безопасности, таких как обнаружение угроз, охота или управление.
Модуль 10. Язык запросов Kusto
Большинство возможностей Microsoft Sentinel используют язык запросов Kusto (KQL). При поиске в журналах, написании правил, создании запросов с целью охоты или разработке книг используется KQL.
В следующем разделе по написанию правил объясняется, как использовать KQL в определенном контексте правил SIEM.
Рекомендуемый путь изучения Microsoft Sentinel KQL
Курс KQL Pluralsight — основы
Изучение KQL: серия из 20 частей, в которой последовательно разбирается создание первого правила аналитики (включает оценку знаний и сертификацию)
Лаборатория KQL Microsoft Sentinel: интерактивное обучение KQL, ориентированное на то, что вам нужно для Microsoft Sentinel:
- Модуль обучения (SC-200, часть 4)
- Презентация или URL-адрес лаборатории
- Версия Jupyter Notebooks, которая позволяет тестировать запросы в записной книжке
- Обучающий вебинар: YouTube или MP4
- Вебинар по обзору решений лаборатории: YouTube или MP4
Вебинар "Оптимизация производительности запросов KQL в Microsoft Sentinel Azure": YouTube, MP4 или презентация
"Использование ASIM в запросах KQL": YouTube или презентация
Вебинар "Платформа KQL для Microsoft Sentinel: освоение тонкостей языка KQL": YouTube или презентация
При изучении KQL вам также могут пригодиться приведенные ниже ссылки.
Модуль 11. Аналитика
Написание запланированных правил аналитики
Microsoft Sentinel позволяет использовать встроенные шаблоны правил, настраивать шаблоны для вашей среды или создавать настраиваемые правила. Основой правил является KQL-запрос; однако в правиле можно настроить гораздо больше.
Сведения о процедуре создания правил см. в статье Создание настраиваемых правил аналитики для обнаружения угроз. Чтобы узнать, как писать правила (а именно, что должно в них входить, уделяя особое внимание KQL для правил), посмотрите вебинар: YouTube, MP4 или презентация.
Правила аналитики SIEM имеют определенные шаблоны. Сведения о реализации правил и написании KQL для этих шаблонов см. ниже.
Правила корреляции: см. использование списков и оператора in или использование оператора join
Агрегирование: см. использование списков и оператора in или более расширенный шаблон обработки скользящих окон
Уточняющие запросы: обычный или приблизительный, частичный и комбинированный запросы
Обработка ложноположительных результатов
Отложенные события — обычная реальность любого решения SIEM, с которой трудно бороться. Microsoft Sentinel помогает устранять задержки в правилах.
Использование функций KQL в качестве стандартных блоков: обогащение событий безопасности Windows с помощью параметризованных функций.
В записи блога Исследования хранилища BLOB-объектов и файлов приведен пошаговый пример написания полезного аналитического правила.
Использование встроенной аналитики
Прежде чем приступить к написанию собственных правил, следует воспользоваться встроенными возможностями аналитики. Они не требуют от вас многого, но узнать о них стоит.
Используйте встроенные шаблоны запланированных правил. Вы можете настроить эти шаблоны, изменив их так же, как и любое запланированное правило. Обязательно разверните шаблоны для подключаемых соединителей данных, перечисленных на вкладке Дальнейшие действия соединителя данных.
Дополнительные сведения о возможностях машинного обучения Microsoft Sentinel: YouTube, MP4 или презентация.
Получите список расширенных обнаружений многоэтапных атак (Fusion) Microsoft Sentinel, которые включены по умолчанию.
Просмотрите вебинар "Обнаружение атак Fusion на основе машинного обучения с помощью правил аналитики по расписанию": YouTube, MP4 или презентация.
Дополнительные сведения о встроенных аномалиях машинного обучения SOC в Microsoft Sentinel.
Просмотрите вебинар "Настраиваемые аномалии машинного обучения SOC и способы их использования": YouTube, MP4 или презентация.
Просмотрите вебинар "Обнаружение атак Fusion на основе машинного обучения для возникающих угроз и пользовательский интерфейс конфигурации": YouTube или презентация.
Модуль 12. Реализация SOAR
В современных системах SIEM, таких как Microsoft Sentinel, SOAR включает в себя весь процесс с момента возникновения инцидента до его разрешения. Этот процесс начинается с расследования инцидента и продолжается автоматическим реагированием. В записи блога "Использование Microsoft Sentinel для реагирования на инциденты, оркестрации и автоматизации" представлен обзор распространенных вариантов использования SOAR.
Правила автоматизации — это отправная точка для автоматизации Microsoft Sentinel. Они предоставляют упрощенный метод централизованной автоматической обработки инцидентов, включая подавление, обработку ложноположительных результатов и автоматическое назначение.
Чтобы обеспечить надежные возможности автоматизации на основе рабочих процессов, в правилах автоматизации используются сборники схем для Logic Apps. Чтобы получить дополнительные сведения, обратитесь к разделу
Посмотрите вебинар "Раскрытие джедайских приемов автоматизации и создание профессиональных сборников схем для Logic Apps": YouTube, MP4 или презентация.
Познакомьтесь с платформой Logic Apps, которая является основной технологией для сборников схем Microsoft Sentinel.
Ознакомьтесь с соединителем Logic Apps для Microsoft Sentinel — связующим звеном между Logic Apps и Microsoft Sentinel.
Вы можете найти десятки полезных сборников схем в папке Сборники схем на сайте Microsoft Sentinel GitHub или прочитать пошаговое руководство Сборник схем, использующий список отслеживания для информирования владельца подписки об оповещении.
Модуль 13. Книги, отчеты и визуализация
Workbooks
Microsoft Sentinel, являющийся мозговым центром вашего центра SOC, необходим для визуализации информации, которую он собирает и создает. Для визуализации данных в Microsoft Sentinel используйте книги.
Для получения инструкций по созданию книг ознакомьтесь с документацией по книгам Azure или просмотрите учебные материалы по книгам Билли Йорка (Billy York) (и сопутствующий текст).
Упомянутые ресурсы не относятся исключительно к Microsoft Sentinel. Они применяются к книгам в целом. Чтобы узнать больше о книгах в Microsoft Sentinel, просмотрите вебинар: YouTube, MP4 или презентация. Ознакомьтесь с документацией.
Книги могут быть интерактивными и поддерживать гораздо больше возможностей, чем просто создание диаграмм. С помощью книг вы можете создавать приложения или модули расширений для Microsoft Sentinel, дополняя встроенные функциональные возможности. Кроме того, книги используются для расширения возможностей Microsoft Sentinel. Ниже приведены несколько примеров таких приложений.
Книга "Аналитические сведения для исследования" предоставляет альтернативный подход к исследованию инцидентов.
Визуализация графов для совместной работы с внешними лицами в Microsoft Teams позволяет отслеживать рискованное использование Teams.
Книга карты путешествий пользователей позволяет исследовать оповещения о географическом расположении.
Книга по незащищенным протоколам Microsoft Sentinel (руководство по реализации, последние улучшения и видеообзор) позволяет определить использование незащищенных протоколов в сети.
Наконец, узнайте, как интегрировать информацию из любого источника с помощью вызовов API в книгу.
Десятки книг можно найти в папке Книги на сайте Microsoft Sentinel GitHub. Некоторые из них также доступны в коллекции книг Microsoft Sentinel.
Отчеты и другие параметры визуализации
Книги могут служить для создания отчетов. Для более сложных возможностей создания отчетов, таких как планирование и распределение отчетов или сводные таблицы, можно использовать следующие средства:
Power BI, который изначально интегрируется с журналами Azure Monitor и Microsoft Sentinel;
Excel, который может использовать журналы Azure Monitor и Microsoft Sentinel в качестве источника данных. Просмотрите видео Интеграция журналов Azure Monitor и Excel с Azure Monitor;
записные книжки Jupyter, которые описаны далее в модуле, посвященном охоте на угрозы, также являются отличным средством визуализации.
Модуль 14. Записные книжки
Записные книжки Jupyter полностью интегрированы с Microsoft Sentinel. Хотя они считаются важным инструментом в арсенале охотника и рассматриваются в вебинарах в разделе об охоте ниже, сфера их применения гораздо шире. Записные книжки могут служить для расширенной визуализации, в качестве руководства по исследованию, а также для сложной автоматизации.
Для более подробного ознакомления с ними посмотрите видео "Общие сведения о записных книжках". Приступите к работе с помощью вебинара о записных книжках (YouTube, MP4 или презентация) либо ознакомьтесь с документацией. Серия "Станьте экспертом по записным книжкам Microsoft Sentinel" — это непрерывная серия обучающих курсов, призванных повысить ваши навыки работы с записными книжками.
Важная часть интеграции реализована с помощью MSTICPY — библиотеки Python, разработанной нашей исследовательской группой для использования с записными книжками Jupyter. Она добавляет в записные книжки интерфейсы Microsoft Sentinel и расширенные возможности безопасности.
Модуль 15. Варианты использования и решения
Соединители, правила, сборники схем и книги позволяют реализовать варианты использования. Это термин SIEM для пакета содержимого, предназначенного для обнаружения угроз и реагирования на них. Встроенные варианты использования Microsoft Sentinel можно развернуть, активировав предлагаемые правила при подключении каждого соединителя. Решение — это группа вариантов использования, предназначенных для конкретной области угроз.
Вебинар "Устранение угроз идентификации" (YouTube, MP4 или презентация) объясняет, что такое вариант использования, как подойти к его разработке, и представляет несколько вариантов использования, которые в совокупности устраняют угрозы идентификации.
Еще одна соответствующая область решения — защита удаленной работы. Посмотрите материалы Ignite по защите удаленной работы и ознакомьтесь с дополнительными сведениями о конкретных вариантах использования.
Варианты использования охоты в Microsoft Teams и Визуализация графов для совместной работы с внешними лицами в Microsoft Teams
Мониторинг Zoom с помощью Microsoft Sentinel: настраиваемые соединители, правила аналитики и запросы с целью охоты.
Мониторинг виртуального рабочего стола Azure с помощью Microsoft Sentinel: используйте журналы входа Безопасность Windows, журналы входа Microsoft Entra, XDR в Microsoft Defender для конечных точек и журналы виртуальных рабочих столов Azure диагностика для обнаружения угроз виртуального рабочего стола Azure и поиска угроз виртуального рабочего стола Azure.
Мониторинг Microsoft Intune с помощью запросов и книг.
И, наконец, сосредоточившись на недавних атаках, узнайте, как отслеживать цепочку поставок программного обеспечения с помощью Microsoft Sentinel.
Решения Microsoft Sentinel обеспечивают возможность обнаружения в продукте, одноэтапное развертывание и включение комплексных сценариев (продукт, домен и (или) вертикаль) в Microsoft Sentinel. Дополнительные сведения см. в статье О содержимом и решениях Microsoft Sentinel, а также просмотрите вебинар "Создание собственных решений Microsoft Sentinel": YouTube или презентация.
Часть 4. Эксплуатация
Модуль 16. Обработка инцидентов
После создания SOC необходимо начать использовать его. Вебинар "Один день из жизни аналитика SOC" (YouTube, MP4 или презентация) расскажет вам об использовании Microsoft Sentinel в SOC с целью рассмотрения и исследования инцидентов, а также реагирования на них.
Чтобы узнать, как команды могут удобно сотрудничать внутри организации и с внешними заинтересованными лицами, см. статью Интеграция с Microsoft Teams непосредственно из Microsoft Sentinel. Кроме того, просмотрите вебинар Уменьшение MTTR (среднего времени ответа) вашего центра SOC путем интеграции Microsoft Sentinel с Microsoft Teams.
Вы также можете ознакомиться со статьей документации по исследованию инцидентов. В рамках исследования также следует использовать страницы сущностей, чтобы получить дополнительную информацию о сущностях, связанных с инцидентом или выявленных в ходе исследования.
Исследование инцидентов в Microsoft Sentinel выходит за рамки основных функций исследования инцидентов. Вы можете создавать дополнительные средства исследования с помощью книг и записных книжек (последние рассматриваются в следующем разделе Модуль 17. Охота на угрозы). Вы также можете создавать дополнительные средства исследования или изменять существующие в соответствии со своими потребностями. Вот некоторые примеры.
Книга "Аналитические сведения для исследования" предоставляет альтернативный подход к исследованию инцидентов.
Записные книжки повышают эффективность исследования. Прочтите статью Зачем использовать Jupyter для исследований в области безопасности? и узнайте, как проводить исследования с помощью Microsoft Sentinel и Jupyter Notebooks:
Модуль 17. Охота на угрозы
Хотя большинство из рассмотренных вопросов было посвящено обнаружению инцидентов и управлению ими, охота является еще одним важным вариантом использования Microsoft Sentinel. Охота — это упреждающий поиск угроз, а не реагирование на оповещения.
Панель мониторинга "Охота" постоянно обновляется. Здесь показаны все запросы, написанные аналитиками информационной безопасности корпорации Майкрософт, а также все дополнительные запросы, которые вы создали или изменили. Каждый запрос содержит описание цели охоты и сведения о типах данных, на которых он выполняется. Шаблоны группируются по методам. Значки справа классифицируют тип угрозы, например первоначальный доступ, сохраняемость и кража данных. Дополнительные сведения см. в разделе Охота на угрозы с помощью Microsoft Sentinel.
Для получения дополнительных сведений о том, что такое охота и как ее поддерживает Microsoft Sentinel, посмотрите вводный вебинар "Охота на угрозы": YouTube, MP4 или презентация. Вебинар начинается с обновления новых функций. Чтобы получить сведения об охоте, начните со слайда 12. Видео на YouTube уже настроено на начало с этого момента.
В то время как вводный вебинар посвящен средствам, охота посвящена безопасности. В вебинаре исследовательской группы безопасности, посвященном охоте (YouTube, MP4 или презентация), рассказывается о способе охоты.
Последующий вебинар "Охота на угрозы в AWS с помощью Microsoft Sentinel" (YouTube, MP4 или презентация) раскрывает тему полностью, демонстрируя комплексный сценарий охоты на ценную целевую среду.
Наконец, вы можете узнать, как проводить охоту по следам компрометации SolarWinds с помощью Microsoft Sentinel и охоту WebShell, мотивированные последними уязвимостями на локальных серверах Microsoft Exchange.
Модуль 18. Аналитика поведения пользователей и сущностей (UEBA)
Недавно представленный в Microsoft Sentinel модуль аналитики поведения пользователей и сущностей (UEBA) позволяет выявлять и исследовать угрозы внутри организации и их потенциальное влияние, будь то скомпрометированная сущность или злоумышленник.
Microsoft Sentinel собирает журналы и оповещения из всех подключенных источников данных, анализирует их и создает базовые профили поведения сущностей организации (пользователей, узлов, IP-адресов, приложений и т. д.) для одноранговых групп в динамике. Используя различные приемы и возможности машинного обучения, Microsoft Sentinel позволяет определить аномальную активность и понять, скомпрометирован ли ресурс. Кроме того, решение также позволяет определять относительную чувствительность конкретных активов, выявлять одноранговые группы активов и оценивать потенциальное влияние скомпрометированного актива («радиус поражения»). Используя эти сведения, можно эффективно определять приоритеты при расследовании и обработке инцидентов.
Чтобы получить дополнительные сведения об UEBA, просмотрите вебинар (YouTube, MP4 или презентация), а также прочитайте статью об использовании UEBA для исследований в SOC.
Чтобы узнать последние новости, просмотрите вебинар Будущее аналитики поведения пользователей и сущностей в Microsoft Sentinel.
Модуль 19. Мониторинг работоспособности Microsoft Sentinel
Часть эксплуатации SIEM заключается в обеспечении бесперебойной работы и развитии области в Azure Microsoft Sentinel. Используйте приведенные ниже советы для мониторинга работоспособности Microsoft Sentinel.
Измеряйте эффективность операций безопасности (видео).
Таблица данных по работоспособности Microsoft Sentinel предоставляет аналитические сведения об изменениях работоспособности, например актуальное число событий сбоя на соединитель или число соединителей с изменением состояния с рабочего на сбойное, которые можно использовать для генерации оповещений и других автоматических действий. Дополнительные сведения см. в статье Мониторинг работоспособности соединителей данных. Просмотрите видео Книга отслеживания работоспособности соединителей данных. Получайте уведомления об аномалиях.
Выполняйте мониторинг агентов с помощью решения для проверки работоспособности агентов (только для Windows) и таблицы пульса (Linux и Windows).
Выполняйте мониторинг рабочей области Log Analytics (YouTube, MP4 или презентация), включая выполнение запросов и прием данных по работоспособности.
Управление затратами также является важной операционной процедурой в SOC. Используйте сборник схем оповещений о затратах на прием данных, чтобы своевременно узнавать об увеличении затрат.
Часть 5. Дополнительно
Модуль 20. Расширение и интеграция с помощью API Microsoft Sentinel
Будучи облачной SIEM, Microsoft Sentinel — это система с доступом через API. Каждую функцию можно настроить и использовать с помощью API, что обеспечивает простую интеграцию с другими системами и расширение возможностей Microsoft Sentinel с помощью собственного кода. Если API звучит для вас пугающе, не волнуйтесь: все, что доступно с помощью API, также доступно с помощью PowerShell.
Чтобы узнать больше об API Microsoft Sentinel, посмотрите короткое вступительное видео и прочитайте запись блога. Чтобы получить более подробные сведения, просмотрите вебинар "Расширение и интеграция с Sentinel (API)" (YouTube, MP4 или презентация) и прочитайте запись блога Расширение Microsoft Sentinel: API, интеграция и автоматизация управления.
Модуль 21. Создание собственных моделей машинного обучения
Microsoft Sentinel предоставляет отличную платформу для реализации собственных алгоритмов машинного обучения. Мы называем это Создание собственных моделей машинного обучения (BYO ML). Модель BYO ML предназначена для опытных пользователей. Если вам нужна встроенная аналитика поведения, используйте наши правила аналитики на основе машинного обучения, модуль UEBA или напишите собственные правила аналитики поведения на основе KQL.
Чтобы начать добавление собственных моделей машинного обучения в Microsoft Sentinel, просмотрите видео Модель "Создание собственных моделей машинного обучения" и прочитайте запись блога Создание собственных моделей машинного обучения для обнаружения в SIEM Azure Sentinel на основе ИИ. Вы также можете ознакомиться с документацией по BYO ML.
Следующие шаги
- Действия, выполняемые перед развертыванием, и предварительные условия для развертывания Microsoft Sentinel
- Краткое руководство. Подключение к Microsoft Sentinel
- Новые возможности Microsoft Sentinel