你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
合作伙伴进行 Microsoft Sentinel 集成的最佳做法
本文介绍了创建自己的 Microsoft Sentinel 集成解决方案的最佳做法和参考。
安全运营 (SOC) 团队使用 Microsoft Sentinel 生成检测并调查和修正威胁。 通过 Microsoft Sentinel 集成,为客户提供你的数据、检测、自动化、分析和打包的专业知识,为 SOC 团队提供处理获知的安全响应所需的信息。
例如,你的集成可以为以下任何目标添加值:
用半结构化数据创建检测。 例如,你的集成可以引入新的日志数据、可操作情报、分析规则、搜寻规则、引导式搜寻体验或机器学习分析
参与 Microsoft Sentinel 调查。 例如,你的集成可以添加新的检测、查询、或历史数据和支持数据,如额外的数据库、漏洞数据、合规性、数据等等。
Microsoft Sentinel 中的自动化。 例如,你的集成可以包含客户的环境和基础结构内的扩充、修正或编排安全活动的规则。
我们建议你将集成打包并发布为 Microsoft Sentinel 解决方案,以便联合客户能够发现、部署和最大化合作伙伴集成的价值。 Microsoft Sentinel 解决方案发布在 Azure 市场中,并显示在 Microsoft Sentinel 内容中心。
用于收集数据的集成
大多数 Microsoft Sentinel 集成都基于数据,并同时使用常规检测引擎和全功能调查引擎。 这两个引擎都运行引入到 Microsoft Sentinel 数据存储库中的数据。
Microsoft Sentinel 使用以下类型的数据:
| 类型 | 说明 |
|---|---|
| 未处理数据 | 支持检测和搜寻过程。 分析原始操作数据,其中可能存在恶意活动的迹象。 将未处理的数据引入 Microsoft Sentinel,使用 Microsoft Sentinel 的内置搜寻和检测功能来识别新的威胁等。 示例:Syslog 数据、通过 Syslog 的 CEF 数据、应用程序、防火墙、身份验证或访问日志等。 |
| 安全结论 | 创建警报可见性和关联机会。 警报和检测是已对威胁做出的结论。 将检测置于 Microsoft Sentinel 调查中可见的所有活动和其他检测的上下文中,为分析师节省时间并创建一个更完整的事件画面,从而确定更好的优先级和更好的决策。 示例:反恶意软件警报、可疑进程、与已知坏主机的通信、阻止的流量和阻止原因、可疑登录、检测到的密码喷射攻击、识别的网络钓鱼攻击、数据渗透事件等。 |
| 引用数据 | 构建引用环境上下文,从而节省调查工作量和提高效率。 示例:CMDB、高价值资产数据库、应用程序依赖关系数据库、IP 分配日志、威胁情报扩充集合等。 |
| 威胁情报 | 通过贡献已知威胁的指示器来增强威胁检测。 威胁情报可以包含表示即时威胁的当前指示器或为将来的防护而保留的历史指示器。 通常情况下,历史数据集很大,最好是就地即时引用,而不是将它们直接导入 Microsoft Sentinel。 |
每种类型的数据支持 Microsoft Sentinel 中的不同活动,许多安全产品同时使用多种类型的数据。
用于监视和检测的集成
Microsoft Sentinel 的监视和检测功能创建自动检测,以帮助客户扩展其 SOC 团队的专业知识。
以下各节介绍了可包含在集成解决方案中的监视和检测元素:
威胁检测规则
威胁检测或分析规则是可以创建准确、有意义警报的复杂检测。
将分析规则添加到你的集成,以帮助你的客户利用 Microsoft Sentinel 中系统的数据。 例如,分析规则可帮助提供有关可在你的集成所提供的数据中检测到的活动的专业知识和见解。
分析是基于查询的规则,可以在客户的 Microsoft Sentinel 工作区中运行数据,并且可以:
- 输出警报(值得注意的事件)
- 输出事件(调查单元)
- 触发器自动化 playbook
可以通过将分析规则包含在解决方案中,也可以通过 Microsoft Sentinel ThreatHunters 社区,来添加分析规则。 通过社区贡献,鼓励社区对来自合作伙伴的数据的创造力,从而帮助客户获得更可靠和更有效的检测。
搜寻规则和笔记本
Microsoft Sentinel 提供了一组丰富的搜寻能力,可用于帮助客户在所提供的数据中找到未知的威胁。 可以在你的集成中包含战术性搜寻查询,以突出显示特定知识,甚至完成引导式搜寻体验。
可视化效果
你创建的集成还可以包含可视化效果,以帮助客户管理和理解你的数据,即用图形视图说明数据流入 Microsoft Sentinel 的表现及其对检测的贡献效果。
可自定义仪表板上的可视化效果提供的清晰度可以向客户突出显示你的合作伙伴价值。
用于调查的集成
Microsoft Sentinel 调查图在调查人员需要时为其提供相关的数据,从而通过连接的实体提供有关安全事件和警报的可见性。 调查人员可以使用调查图来查找与正在调查的威胁关联或相关的贡献事件。
合作伙伴可通过提供以下内容来参与调查图:
- Microsoft Sentinel 警报和事件,通过合作伙伴解决方案中的分析规则创建
- 自定义探索查询,用于合作伙伴提供的数据。 自定义探索查询为安全调查人员提供丰富的探索和数据与见解之间的连接。
用于响应的集成
Microsoft Sentinel 的协调和修正功能支持需要快速且准确地协调和激活修正的客户。
在你的集成解决方案中包含自动化 playbook,以支持具有丰富自动化的工作流,从而跨客户环境运行与安全相关的任务。 例如,集成 playbook 可通过以下任一方式和更多方式来提供帮助:
- 帮助客户配置合作伙伴产品的安全策略
- 收集额外数据以做出明智的调查决策
- 将 Microsoft Sentinel 事件链接到外部管理系统
- 跨合作伙伴解决方案集成警报生命周期管理
要在集成中包含哪些内容?
以下部分介绍常用的合作伙伴集成方案,并针对每种方案提供要在解决方案中包含哪些内容的建议。
你的产品生成对安全调查非常重要的数据
方案:你的产品生成可为安全调查提供信息或对安全调查非常重要的数据。 你的产品可能包含也可能不包含开箱即用检测。
示例:提供某种形式的日志数据的产品包括防火墙、云应用程序安全中转站、物理访问系统、Syslog 输出、商用和企业构建的 LOB 应用程序、服务器、网络元数据、可通过 SYSLOG 以 SYSLOG 或 CEF 格式或者通过 REST API 以 JSON 格式传送的任何内容。
如何在 Microsoft sentinel 中使用你的数据:通过数据连接器将产品的数据导入 Microsoft Sentinel 中,以提供分析、搜寻、调查、可视化效果等。
要构建什么:对于此方案,在解决方案中包含以下元素:
| 类型 | 要包含的元素 |
|---|---|
| 必需 | - Microsoft Sentinel 数据连接器,用于传送数据并链接门户中的其他自定义项。 示例数据查询 |
| 推荐 | - 工作簿 - 分析规则,用于根据你在 Microsoft Sentinel 中的数据构建检测 |
| 可选 | - 搜寻查询,为搜寻者提供在搜寻时使用的开箱即用查询 - 笔记本,提供完全引导式可重复搜寻体验 |
你的产品提供检测
方案:你的产品提供检测,补充来自其他系统的警报和事件
示例:反恶意软件、企业检测和响应解决方案、网络检测和响应解决方案、邮件安全解决方案,如反网络钓鱼产品、漏洞扫描、移动设备管理解决方案、UEBA 解决方案、信息保护服务等。
如何在 Microsoft sentinel 中使用你的数据:使你的检测、警报或事件在 Microsoft Sentinel 中可用,以便在客户环境中可能发生的其他警报和事件的上下文中显示。 还应考虑提供为检测提供支持的日志和元数据,作为调查的额外上下文。
要构建什么:对于此方案,在解决方案中包含以下元素:
| 类型 | 要包含的元素 |
|---|---|
| 必需 | Microsoft Sentinel 数据连接器,用于传送数据并链接门户中的其他自定义项。 |
| 推荐 | 分析规则,用于根据有助于调查的检测创建 Microsoft Sentinel 事件 |
你的产品提供威胁情报指示器
方案:你的产品提供威胁情报指示器,可为客户环境中发生的安全事件提供上下文
示例:TIP 平台、STIX/TAXII 集合和公共或许可的威胁情报源。 参考数据,例如 WhoIS、GeoIP 或新观察到的域。
如何在 Microsoft Sentinel 中使用你的数据:将当前指示器传送给 Microsoft Sentinel,供跨 Microsoft 检测平台使用。 通过远程访问将大规模或历史数据集用于扩充方案。
要构建什么:对于此方案,在解决方案中包含以下元素:
| 类型 | 要包含的元素 |
|---|---|
| 当前威胁情报 | 构建 GSAPI 数据连接器,以将指示器推送到 Microsoft Sentinel。 提供一个 STIX 2.0 或 2.1 TAXII 服务器,客户可以将该服务器与开箱即用 TAXII 数据连接器一起使用。 |
| 历史指示器和/或参考数据集 | 提供用于访问数据的逻辑应用连接器和将数据引导到正确位置的扩充工作流 playbook。 |
你的产品为调查提供额外的上下文
方案:你的产品提供额外的上下文数据,用于基于 Microsoft Sentinel 的调查。
示例:额外的上下文 CMDB、高价值资产数据库、VIP 数据库、应用程序依赖关系数据库、事件管理系统、票证系统
如何在 Microsoft Sentinel 中使用你的数据:在 Microsoft Sentinel 中使用你的数据来扩充警报和事件。
要构建什么:对于此方案,在解决方案中包含以下元素:
- 逻辑应用连接器
- 扩充工作流 playbook
- 外部事件生命周期管理工作流(可选)
你的产品可以实现安全策略
方案:你的产品可以在 Azure Policy 和其他系统中实现安全策略
示例:防火墙、NDR、EDR、MDM、标识解决方案、条件访问解决方案、物理访问解决方案、或者其他支持阻止/允许或其他可操作安全策略的产品
如何在 Microsoft Sentinel 中使用你的数据:启用威胁修正和响应的 Microsoft Sentinel 操作和工作流
要构建什么:对于此方案,在解决方案中包含以下元素:
- 逻辑应用连接器
- 操作工作流 playbook
入门参考
所有 Microsoft Sentinel 技术集成都从 Microsoft Sentinel GitHub存储库和贡献指导开始。
准备好开始开发 Microsoft Sentinel 解决方案后,请在构建 Microsoft Sentinel 解决方案的指南中查找有关提交、打包和发布的说明。
进入市场
Microsoft 提供计划来帮助合作伙伴接触 Microsoft 客户:
Microsoft 合作伙伴网络 (MPN) 与 Microsoft 合作的主要程序是 Microsoft 合作伙伴网络。 需要 MPN 的成员身份来成为一个 Azure 市场发布者,所有 Microsoft Sentinel 解决方案都发布在这里。
Azure 市场。 Microsoft Sentinel 解决方案通过 Azure 市场提供,客户可以在这里发现和部署 Microsoft 和合作伙伴提供的常规 Azure 集成。
Microsoft Sentinel 解决方案是市场中可以找到的多种产品/服务之一。 还可以在 Microsoft Sentinel 内容中心找到嵌入的解决方案产品/服务
Microsoft 智能安全关联 (MISA)。 MISA 为 Microsoft 安全合作伙伴提供帮助,使 Microsoft 客户建立对合作伙伴创建的集成的认知,并帮助为 Microsoft 安全产品集成提供可发现性。
加入 MISA 计划需要获得参与的 Microsoft 安全产品团队的提名。 构建以下任何集成都可以使合作伙伴有资格获得提名:
- Microsoft Sentinel 数据连接器和关联内容,例如工作簿、示例查询和分析规则
- 已发布的逻辑应用连接器和 Microsoft Sentinel playbook。
- API 集成(根据具体情况)
若要请求 MISA 提名评审或提问,请联系 AzureSentinelPartner@microsoft.com。
后续步骤
有关详细信息,请参阅:
数据收集:
威胁检测:
- 在 Microsoft Sentinel 中使用自动化规则自动处理事件
- 利用 Microsoft Sentinel 调查事件
- 在 Microsoft Sentinel 中使用 playbook 自动响应威胁
搜寻和笔记本
可视化效果:可视化收集的数据。
调查:通过 Microsoft Sentinel 调查事件。
响应: