Sdílet prostřednictvím

Školení k dovednostem v Microsoft Sentinelu

  • Článek

Tento článek vás provede školením na úrovni 400, které vám pomůžou získat dovednosti v Microsoft Sentinelu. Školení zahrnuje 21 modulů s vlastním tempem, které představují relevantní dokumentaci k produktu, blogové příspěvky a další zdroje informací.

Zde uvedené moduly jsou rozdělené na pět částí po životním cyklu služby Security Operation Center (SOC):

Část 1: Přehled

Část 2: Návrh a nasazení

Část 3: Vytvoření obsahu

Část 4: Provoz

Část 5: Upřesnit

Část 1: Přehled

Modul 0: Další možnosti výuky a podpory

Toto školení dovedností je školení na úrovni 400, které je založené na trénování Ninja služby Microsoft Sentinel. Pokud nechcete pokračovat do hloubky nebo máte konkrétní problém, který byste měli vyřešit, můžou být vhodnější další prostředky:

Modul 1: Začínáme s Microsoft Sentinelem

Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa událostí zabezpečení (SIEM) a řešení automatické orchestrace zabezpečení (SOAR). Microsoft Sentinel poskytuje analýzy zabezpečení a analýzu hrozeb v celém podniku. Poskytuje jedno řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby. Další informace najdete v tématu Co je Microsoft Sentinel?.

Pokud chcete získat počáteční přehled o technických možnostech Microsoft Sentinelu, je dobrým výchozím bodem nejnovější prezentace Ignite. Můžete také najít úvodní příručku k Microsoft Sentinelu (vyžaduje se registrace webu).

Podrobnější přehled najdete v tomto webináři Microsoft Sentinelu: YouTube, MP4 nebo prezentaci.

A konečně, chcete to vyzkoušet sami? Akcelerátor All-In-One služby Microsoft Sentinel (blog, YouTube, MP4 nebo prezentace) nabízí snadný způsob, jak začít. Pokud chcete zjistit, jak začít, projděte si dokumentaci k onboardingu nebo si prohlédněte video o nastavení a konfiguraci služby Insight v Microsoft Sentinelu.

Seznámení s jinými uživateli

Tisíce organizací a poskytovatelů služeb používají Microsoft Sentinel. Jak je obvyklé u bezpečnostních produktů, většina organizací o tom neběží veřejně. Přesto tady je několik uživatelů:

Naučte se od analytiků

Modul 2: Jak se používá Microsoft Sentinel?

Mnoho organizací používá Microsoft Sentinel jako primární SIEM. Většina modulů v tomto kurzu se zabývá tímto případem použití. V tomto modulu představujeme několik dalších způsobů, jak používat Microsoft Sentinel.

Jako součást zásobníku zabezpečení Microsoftu

K ochraně úloh Microsoftu, včetně Windows, Azure a Office, použijte Microsoft Sentinel, Microsoft Defender for Cloud a XDR v programu Microsoft Defender:

Monitorování úloh s více cloudy

Cloud je (stále) nový a často se nemonitoruje tak široce jako místní úlohy. V této prezentaci se dozvíte, jak vám Může Microsoft Sentinel pomoct zavřít mezeru v monitorování cloudu napříč cloudy.

Vedle stávajícího SIEM

Pokud používáte Microsoft Sentinel pro cloudové úlohy, můžete v přechodném období nebo delším období používat Microsoft Sentinel společně se stávajícím SIEM. Možná také používáte systém lístků, jako je například Služba.

Další informace o migraci z jiného SYSTÉMU SIEM na Microsoft Sentinel najdete na webináři migrace: YouTube, MP4 nebo prezentace.

Existují tři běžné scénáře pro souběžné nasazení:

Upozornění z Microsoft Sentinelu můžete také odeslat do systému SIEM třetí strany nebo systému lístků pomocí graphu Rozhraní API pro zabezpečení. Tento přístup je jednodušší, ale neumožňuje odesílání jiných dat.

Pro msSPs

Vzhledem k tomu, že eliminuje náklady na nastavení a je nezávislá na poloze, je Microsoft Sentinel oblíbenou volbou pro poskytování SIEM jako služby. Najděte seznam poskytovatelů služeb zabezpečení spravovaných členy (MSSPs) služby MISA (Microsoft Intelligent Security Association), kteří používají Microsoft Sentinel. Mnoho dalších poskytovatelů msSP, zejména regionálních a menších, používá Microsoft Sentinel, ale nejsou členy MISA.

Pokud chcete začít svou cestu jako MSSP, přečtěte si technické playbooky Microsoft Sentinelu pro MSSP. Další informace o podpoře MSSP najdete v dalším modulu, který se zabývá cloudovou architekturou a podporou víceklientských služeb.

Část 2: Návrh a nasazení

I když část 1: Přehled nabízí způsoby, jak začít používat Microsoft Sentinel během několika minut, než začnete s produkčním nasazením, je důležité vytvořit plán.

Tato část vás provede oblastmi, které je potřeba vzít v úvahu při návrhu řešení, a obsahuje pokyny k implementaci návrhu:

  • Architektura pracovního prostoru a tenanta
  • Shromažďování dat
  • Správa protokolů
  • Získání analýzy hrozeb

Modul 3: Architektura pracovního prostoru a tenanta

Instance Microsoft Sentinelu se nazývá pracovní prostor. Pracovní prostor je stejný jako pracovní prostor služby Log Analytics a podporuje všechny funkce Log Analytics. Microsoft Sentinel si můžete představit jako řešení, které přidává funkce SIEM nad pracovní prostor služby Log Analytics.

Často je potřeba mít více pracovních prostorů a může fungovat společně jako jeden systém Microsoft Sentinel. Speciální případ použití poskytuje službu pomocí Služby Microsoft Sentinelu (například poskytovatelem spravované služby zabezpečení MSSP ) nebo globálního SOC ve velké organizaci.

Další informace o používání více pracovních prostorů jako jednoho systému Microsoft Sentinel najdete v tématu Rozšíření Služby Microsoft Sentinel mezi pracovními prostory a tenanty nebo zobrazení webináře: YouTube, MP4 nebo prezentace.

Pokud používáte více pracovních prostorů, zvažte následující:

  • Důležitým faktorem pro použití více pracovních prostorů je rezidence dat. Další informace najdete v tématu Rezidenci dat služby Microsoft Sentinel.
  • Pokud chcete nasadit Microsoft Sentinel a efektivně spravovat obsah napříč několika pracovními prostory, můžete Microsoft Sentinel spravovat jako kód pomocí technologie kontinuální integrace a průběžného doručování (CI/CD). Doporučeným postupem pro Microsoft Sentinel je povolení průběžného nasazování. Další informace najdete v tématu Povolení průběžného nasazování nativně s úložišti Microsoft Sentinel.
  • Při správě více pracovních prostorů jako poskytovatele MSSP můžete chtít chránit duševní vlastnictví programu MSSP ve službě Microsoft Sentinel.

Technický playbook Microsoft Sentinelu pro MSSP poskytuje podrobné pokyny pro mnoho z těchto témat a je užitečný pro velké organizace, nejen pro MSSP .

Modul 4: Shromažďování dat

Základem SIEM je shromažďování telemetrie: události, výstrahy a kontextové informace o rozšiřování, jako jsou analýzy hrozeb, data ohrožení zabezpečení a informace o prostředcích. Tady je seznam zdrojů, na které se chcete odkazovat:

  • Přečtěte si datové konektory Microsoft Sentinelu.
  • Pokud chcete zobrazit všechny podporované a předdefinované datové konektory, přejděte na vyhledání datového konektoru Microsoft Sentinelu. Najdete odkazy na obecné postupy nasazení a další kroky potřebné pro konkrétní konektory.
  • Scénáře shromažďování dat: Seznamte se s metodami shromažďování, jako jsou Logstash, CEF/WEF. Další běžné scénáře jsou omezení oprávnění pro tabulky, filtrování protokolů, shromažďování protokolů z Amazon Web Services (AWS) nebo Google Cloud Platform (GCP), nezpracovaných protokolů Microsoftu 365 atd. Vše najdete na webináři "Scénáře shromažďování dat": YouTube, MP4 nebo prezentace.

První informace, které vidíte pro každý konektor, je metoda příjmu dat. Zobrazená metoda obsahuje odkaz na jeden z následujících obecných postupů nasazení, které obsahují většinu informací, které potřebujete pro připojení zdrojů dat k Microsoft Sentinelu:

Metoda příjmu dat Přidružený článek
Integrace mezi službami Azure Připojení do služeb Azure, Windows, Microsoft a Amazon
Common Event Format (CEF) over Syslog Ingestování zpráv Syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor
Rozhraní API kolektoru dat služby Microsoft Sentinel Připojení zdroj dat do rozhraní API kolektoru dat Microsoft Sentinelu k ingestování dat
Azure Functions a rozhraní REST API Připojení Služby Microsoft Sentinel ke zdroji dat pomocí Azure Functions
Syslog Ingestování zpráv Syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor
Vlastní protokoly Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics

Pokud zdroj není dostupný, můžete vytvořit vlastní konektor. Vlastní konektory používají rozhraní API pro příjem dat, a proto se podobají přímým zdrojům. Vlastní konektory nejčastěji implementujete pomocí Azure Logic Apps, která nabízí možnost bez kódu nebo Azure Functions.

Modul 5: Správa protokolů

První rozhodnutí o architektuře, které je potřeba vzít v úvahu při konfiguraci služby Microsoft Sentinel, je počet pracovních prostorů a těch, které se mají použít. Mezi další rozhodnutí o architektuře správy protokolů klíčů, která je potřeba zvážit, patří:

  • Kde a jak dlouho se mají data uchovávat.
  • Jak nejlépe spravovat přístup k datům a zabezpečit je.

Ingestování, archivace, vyhledávání a obnovení dat v Microsoft Sentinelu

Začněte tím, že si prohlédnete webinář "Správa životního cyklu protokolu pomocí nových metod pro příjem dat, archivaci, vyhledávání a obnovení" .

Tato sada funkcí obsahuje:

  • Úroveň základního příjmu dat: Nová cenová úroveň pro protokoly služby Azure Monitor, která umožňuje ingestovat protokoly s nižšími náklady. Tato data se uchovávají v pracovním prostoru pouze po dobu osmi dnů.
  • Archivní úroveň: Protokoly služby Azure Monitor rozšířily své možnosti uchovávání ze dvou let na sedm let. S touto novou úrovní můžete uchovávat data po dobu až sedmi let v archivačním stavu s nízkými náklady.
  • Úlohy hledání: Prohledat úlohy, které spouštějí omezený počet KQL, aby vyhledaly a vrátily všechny relevantní protokoly. Tyto úlohy prohledávají data napříč analytickou úrovní, úrovní Basic a archivovanými daty.
  • Obnovení dat: Nová funkce, která umožňuje vybrat tabulku dat a časový rozsah, abyste mohli obnovit data do pracovního prostoru prostřednictvím tabulky obnovení.

Další informace o těchto nových funkcích najdete v tématu Ingestování, archivace, vyhledávání a obnovení dat v Microsoft Sentinelu.

Alternativní možnosti uchovávání informací mimo platformu Microsoft Sentinel

Pokud chcete uchovávat data déle než dva roky nebo snížit náklady na uchovávání, zvažte použití Azure Data Exploreru pro dlouhodobé uchovávání protokolů Služby Microsoft Sentinel. Podívejte se na snímky webináře, nahrávání webináře nebo blog.

Chcete podrobnější informace? Prohlédni si webinář "Vylepšení šířky a pokrytí proaktivního vyhledávání hrozeb pomocí podpory ADX, dalších typů entit a aktualizované integrace MITRE".

Pokud dáváte přednost jinému řešení dlouhodobého uchovávání, přečtěte si téma Export z pracovního prostoru Microsoft Sentinel / Log Analytics do služby Azure Storage a event Hubs nebo přesun protokolů do dlouhodobého úložiště pomocí Azure Logic Apps. Výhodou použití Logic Apps je, že může exportovat historická data.

Nakonec můžete nastavit jemně odstupňované doby uchovávání pomocí nastavení uchovávání na úrovni tabulky. Další informace najdete v tématu Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor (Preview).

Zabezpečení protokolu

Vyhrazený cluster

Pokud je váš předpokládaný příjem dat přibližně nebo více než 500 GB za den, použijte vyhrazený cluster pracovního prostoru. S vyhrazeným clusterem můžete zabezpečit prostředky pro data Microsoft Sentinelu, což umožňuje lepší výkon dotazů pro velké datové sady.

Modul 6: Rozšiřování: Analýza hrozeb, seznamy ke zhlédnutí a další

Jednou z důležitých funkcí SIEM je použití kontextových informací na páru událostí, která umožňuje detekci, stanovení priorit výstrah a vyšetřování incidentů. Kontextové informace zahrnují například analýzu hrozeb, analýzu IP adres, informace o hostiteli a uživatelích a seznamy ke zhlédnutí.

Microsoft Sentinel poskytuje komplexní nástroje pro import, správu a používání analýzy hrozeb. Pro další typy kontextových informací poskytuje Microsoft Sentinel seznamy ke zhlédnutí a další alternativní řešení.

Analýza hrozeb

Analýza hrozeb je důležitým stavebním blokem SIEM. Podívejte se na webinář "Prozkoumání výkonu analýzy hrozeb v Microsoft Sentinelu" .

V Microsoft Sentinelu můžete integrovat analýzu hrozeb pomocí integrovaných konektorů ze serverů TAXII (Trusted Automated eXchange of Indicator Information) nebo prostřednictvím služby Microsoft Graph Rozhraní API pro zabezpečení. Další informace najdete v tématu Integrace analýzy hrozeb v Microsoft Sentinelu. Další informace o importu analýzy hrozeb najdete v částech Modul 4: Shromažďování dat.

Po importu se analýza hrozeb používá ve velkém rozsahu v rámci Microsoft Sentinelu. Následující funkce se zaměřují na použití analýzy hrozeb:

  • Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech v nové oblasti Analýzy hrozeb v Microsoft Sentinelu

  • Pomocí předdefinovaných šablon pravidel analýzy hrozeb můžete generovat výstrahy zabezpečení a incidenty pomocí importované analýzy hrozeb.

  • Vizualizujte klíčové informace o inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.

Podívejte se na webinář "Automatizace úsilí o třídění z Microsoft Sentinelu pomocí analýzy hrozeb RiskIQ": YouTube nebo prezentace.

Je čas na krátkou dobu? Prohlédněte si relaci Ignite (28 minut).

Chcete podrobnější informace? Podívejte se na webinář "Hloubková analýza hrozeb": YouTube, MP4 nebo prezentace.

Kontrolní seznamy a další mechanismy vyhledávání

K importu a správě libovolného typu kontextových informací poskytuje Microsoft Sentinel kontrolní seznamy. Pomocí seznamů ke zhlédnutí můžete nahrávat tabulky dat ve formátu CSV a používat je v dotazech KQL. Další informace najdete v tématu Použití seznamů ke zhlédnutí v Microsoft Sentinelu nebo na webináři "Použití seznamů ke zhlédnutí ke správě výstrah, snížení únavy výstrah a zlepšení efektivity SOC": YouTube nebo prezentace.

Seznam ke zhlédnutí vám pomůže s následujícími scénáři:

  • Rychlé zkoumání hrozeb a reakce na incidenty: Rychle naimportujte IP adresy, hodnoty hash souborů a další data ze souborů CSV. Po importu dat použijte páry název-hodnota seznamu ke zhlédnutí pro spojení a filtry v pravidlech upozornění, proaktivního vyhledávání hrozeb, sešitech, poznámkových blocích a obecných dotazech.

  • Import obchodních dat jako seznamu ke zhlédnutí: Například import seznamů uživatelů s privilegovaným přístupem k systému nebo ukončení zaměstnanců. Pak pomocí seznamu ke zhlédnutí vytvořte seznamy povolených a blokovaných seznamů, abyste zjistili nebo zabránili těmto uživatelům v přihlášení k síti.

  • Snížení únavy výstrah: Vytvořte seznamy povolených, které potlačí výstrahy ze skupiny uživatelů, jako jsou uživatelé z autorizovaných IP adres, kteří provádějí úlohy, které by výstrahu normálně aktivovaly. Zabránit tomu, aby se neškodné události staly výstrahami.

  • Obohacení dat událostí: Pomocí seznamů ke zhlédnutí můžete data událostí rozšířit pomocí kombinací názvu a hodnoty odvozených z externích zdrojů dat.

Kromě seznamů ke zhlédnutí můžete ke správě a dotazování kontextových informací použít operátor externích dat KQL, vlastní protokoly a funkce KQL. Každá ze čtyř metod má své výhody a nevýhody a můžete si přečíst další informace o porovnání mezi nimi v blogovém příspěvku "Implementace vyhledávání v Microsoft Sentinelu". I když se jednotlivé metody liší, použití výsledných informací v dotazech je podobné a umožňuje snadné přepínání mezi nimi.

Nápady na používání seznamů ke zhlédnutí mimo analytická pravidla najdete v tématu Využití seznamů ke zhlédnutí ke zvýšení efektivity během vyšetřování Microsoft Sentinelu.

Podívejte se na webinář "Použití seznamů ke zhlédnutí ke správě výstrah, snížení únavy výstrah a zlepšení efektivity SOC": YouTube nebo prezentace.

Modul 7: Transformace protokolu

Microsoft Sentinel podporuje dvě nové funkce pro příjem a transformaci dat. Tyto funkce, které poskytuje Log Analytics, fungují s vašimi daty i před tím, než jsou uložena ve vašem pracovním prostoru. Mezi funkce patří:

  • Rozhraní API pro příjem protokolů: Umožňuje odesílat protokoly vlastního formátu z libovolného zdroje dat do pracovního prostoru služby Log Analytics a pak tyto protokoly ukládat buď v určitých standardních tabulkách, nebo ve vlastních formátovaných tabulkách, které vytvoříte. Skutečný příjem těchto protokolů můžete provést pomocí přímých volání rozhraní API. K definování a konfiguraci těchto pracovních postupů můžete použít pravidla shromažďování dat služby Azure Monitor.

  • Transformace dat pracovního prostoru pro standardní protokoly: Používá pravidla shromažďování dat k vyfiltrování irelevantních dat, rozšiřování nebo označování dat nebo skrytí citlivých nebo osobních údajů. Transformace dat můžete nakonfigurovat v době příjmu dat pro následující typy předdefinovaných datových konektorů:

    • Datové konektory založené na agentovi Azure Monitoru (AMA) (na základě nového agenta Služby Azure Monitor)
    • Datové konektory založené na agentovi Microsoft Monitoring Agent (MMA) (na základě starší verze agenta protokolů služby Azure Monitor)
    • Datové konektory, které používají nastavení diagnostiky
    • Datové konektory service-to-service

Další informace naleznete v tématu:

Modul 8: Migrace

V mnoha (pokud ne) případech už máte SIEM a potřebujete migrovat na Microsoft Sentinel. I když může být dobrý čas začít znovu a promyslit implementaci SIEM, dává smysl využít některé prostředky, které jste už vytvořili ve své aktuální implementaci. Prohlédněte si webinář "Osvědčené postupy pro převod pravidel detekce" (od Splunk, QRadar a ArcSight do Azure Microsoft Sentinelu): YouTube, MP4, prezentace nebo blog.

Může vás také zajímat následující zdroje informací:

Modul 9: Rozšířený informační model SIEM a normalizace

Spolupráce s různými datovými typy a tabulkami může představovat výzvu. Při psaní a používání jedinečné sady analytických pravidel, sešitů a dotazů proaktivního vyhledávání se musíte seznámit s těmito datovými typy a schématy. Korelace mezi datovými typy, které jsou nezbytné pro šetření a proaktivní vyhledávání, může být také složité.

Pokročilý informační model SIEM (ASIM) poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných normalizovaných zobrazeních. ASIM je v souladu s běžným informačním modelem OSSEM (Open-Source Security Events Metadata) a podporuje normalizaci nezávislou na dodavateli a celé odvětví. Podívejte se na webinář "Advanced SIEM information model (ASIM): Nyní integrovaný do Služby Microsoft Sentinel: YouTube nebo prezentace.

Aktuální implementace je založená na normalizaci doby dotazu, která používá funkce KQL:

  • Normalizovaná schémata pokrývají standardní sady předvídatelných typů událostí, které se dají snadno pracovat s jednotnými funkcemi a vytvářet je. Schéma definuje, která pole mají představovat událost, normalizovanou konvenci pojmenování sloupců a standardní formát hodnot polí.
    • Podívejte se na webinář "Principy normalizace v Microsoft Sentinelu": YouTube nebo prezentace.
    • Podívejte se na webinář "Podrobné informace o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu": YouTube, MP3 nebo prezentace.

  • Analyzátory mapují existující data na normalizovaná schémata. Implementujete analyzátory pomocí funkcí KQL. Prohlédněte si webinář "Rozšíření a správa ASIM: Vývoj, testování a nasazení analyzátorů": YouTube nebo prezentace.

  • Obsah pro každé normalizované schéma zahrnuje analytická pravidla, sešity a dotazy proaktivního vyhledávání. Tento obsah funguje na všech normalizovaných datech bez nutnosti vytvářet zdrojový obsah.

Použití ASIM poskytuje následující výhody:

  • Detekce mezi zdroji: Normalizovaná analytická pravidla fungují napříč zdroji místně i v cloudu. Pravidla detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.

  • Umožňuje nezávislý zdrojový obsah: Pokrytí integrovaného a vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, i když byl zdroj přidán po vytvoření obsahu. Analýza událostí procesu například podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, včetně programu Microsoft Defender for Endpoint, událostí windows a sysmonu. Po vydání jsme připraveni přidat Sysmon pro Linux a WEF.

  • Podpora vlastních zdrojů v integrovaných analytických funkcích

  • Snadné použití: Analytici, kteří se učí ASIM, mají mnohem jednodušší psát dotazy, protože názvy polí jsou vždy stejné.

Další informace o ASIM

Využijte tyto prostředky:

  • Podívejte se na webinář s přehledem "Principy normalizace ve službě Azure Sentinel": YouTube nebo prezentace.

  • Prohlédněte si webinář "Podrobné informace o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu": YouTube, MP3 nebo prezentace.

  • Podívejte se na webinář "Turbocharge ASIM: Ujistěte se, že normalizace pomáhá výkonu, a ne dopad na něj": YouTube, MP4 nebo prezentace.

  • Přečtěte si dokumentaci k ASIM.

Nasazení ASIM

  • Nasaďte analyzátory ze složek počínaje "ASIM*" ve složce analyzátorů na GitHubu.

  • Aktivujte analytická pravidla, která používají ASIM. V galerii šablon vyhledejte normální hodnoty, abyste našli některé z nich. Pokud chcete získat úplný seznam, použijte toto hledání na GitHubu.

Použití ASIM

Část 3: Vytvoření obsahu

Co je obsah Microsoft Sentinelu?

Hodnota zabezpečení Microsoft Sentinelu je kombinací jejích integrovaných funkcí a možností vytvářet vlastní funkce a přizpůsobovat předdefinované možnosti. Mezi integrované funkce patří analýza chování uživatelů a entit (UEBA), strojové učení nebo předem definovaná analytická pravidla. Přizpůsobené funkce se často označují jako "obsah" a zahrnují analytická pravidla, dotazy proaktivního vyhledávání, sešity, playbooky atd.

V této části jsme seskupili moduly, které vám pomůžou naučit se vytvářet takový obsah nebo upravovat předdefinovaný obsah podle vašich potřeb. Začneme s KQL, lingua franca služby Azure Microsoft Sentinel. Následující moduly diskutují o jednom z stavebních bloků obsahu, jako jsou pravidla, playbooky a sešity. Zahrnou se do diskuze o případech použití, které zahrnují prvky různých typů, které řeší konkrétní cíle zabezpečení, jako je detekce hrozeb, proaktivní vyhledávání nebo zásady správného řízení.

Modul 10: dotazovací jazyk Kusto

Většina funkcí Microsoft Sentinelu používá dotazovací jazyk Kusto (KQL). Při hledání v protokolech, psaní pravidel, vytváření dotazů proaktivního vyhledávání nebo návrhových sešitů použijete KQL.

Další část věnovaná psaní pravidel vysvětluje, jak používat jazyk KQL v konkrétním kontextu pravidel SIEM.

Když se seznámíte s KQL, můžou být užitečné i následující odkazy:

Modul 11: Analýza

Psaní naplánovaných analytických pravidel

S Microsoft Sentinelem můžete použít předdefinované šablony pravidel, přizpůsobit šablony pro vaše prostředí nebo vytvořit vlastní pravidla. Jádrem pravidel je dotaz KQL; Existuje však mnohem více, než je možné nakonfigurovat v pravidle.

Informace o postupu vytváření pravidel najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb. Pokud chcete zjistit, jak psát pravidla (to znamená, co by mělo jít do pravidla, zaměřit se na KQL pro pravidla), podívejte se na webinář: YouTube, MP4 nebo prezentace.

Analytická pravidla SIEM mají specifické vzory. Naučte se implementovat pravidla a psát KQL pro tyto vzory:

  • Pravidla korelace: Zobrazení seznamů a operátoru in nebo použití operátoru join

  • Agregace: Zobrazení seznamů a operátoru "in" nebo pokročilejšího zpracování posuvných oken

  • Vyhledávání: Pravidelné nebo přibližné, částečné a kombinované vyhledávání

  • Zpracování falešně pozitivních výsledků

  • Zpožděné události: Fakt života v libovolném SYSTÉMU SIEM a je těžké se vypořádat. Microsoft Sentinel vám může pomoct zmírnit zpoždění ve vašich pravidlech.

  • Funkce KQL používejte jako stavební bloky: Obohacení událostí Zabezpečení Windows pomocí parametrizovaných funkcí.

Blogový příspěvek "Vyšetřování objektů blob a úložiště souborů" obsahuje podrobný příklad zápisu užitečného analytického pravidla.

Použití předdefinovaných analýz

Než začnete psát vlastní pravidlo, zvažte využití integrovaných analytických možností. Nevyžadují od vás mnoho, ale stojí za to se o nich dozvědět:

  • Použijte předdefinované šablony naplánovaných pravidel. Tyto šablony můžete vyladit tak, že je upravíte stejným způsobem, jak upravit jakékoli naplánované pravidlo. Nezapomeňte nasadit šablony pro datové konektory, které připojíte, které jsou uvedené na kartě Další kroky datového konektoru.

  • Přečtěte si další informace o možnostech strojového učení microsoft Sentinelu: YouTube, MP4 nebo prezentace.

  • Získejte seznam pokročilých a vícefázových detekcí útoků Microsoft Sentinelu (Fusion), které jsou ve výchozím nastavení povolené.

  • Prohlédněte si webinář "Detekce fúzního strojového učení s naplánovanými analytickými pravidly": YouTube, MP4 nebo prezentace.

  • Přečtěte si další informace o integrovaných anomáliích strojového učení SOC v Microsoft Sentinelu.

  • Podívejte se na webinář Přizpůsobené anomálie strojového učení SOC a jejich použití: YouTube, MP4 nebo prezentace.

  • Podívejte se na webinář "Detekce fúzního strojového učení pro vznikající hrozby a uživatelské rozhraní konfigurace": YouTube nebo prezentace.

Modul 12: Implementace SOAR

V moderních prostředích SIEM, jako je Microsoft Sentinel, soAR tvoří celý proces od okamžiku, kdy se incident aktivuje, dokud se nevyřeší. Tento proces začíná vyšetřováním incidentu a pokračuje automatizovanou reakcí. Blogový příspěvek "Jak používat Microsoft Sentinel pro reakce na incidenty, orchestraci a automatizaci" poskytuje přehled běžných případů použití pro SOAR.

Pravidla automatizace jsou výchozím bodem pro automatizaci Microsoft Sentinelu. Poskytují jednoduchou metodu centralizovaného, automatizovaného zpracování incidentů, včetně potlačení, falešně pozitivního zpracování a automatického přiřazení.

K zajištění robustních možností automatizace založených na pracovních postupech používají pravidla automatizace playbooky Logic Apps. Další informace najdete v tématech:

  • Podívejte se na webinář "Uvolnění automatizovaných triků Jedi a vytvoření playbooků Logic Apps, jako je šéf": YouTube, MP4 nebo prezentace.

  • Přečtěte si o Logic Apps, což je základní technologie, která řídí playbooky Microsoft Sentinelu.

  • Viz konektor Microsoft Sentinel Logic Apps, propojení mezi Logic Apps a Microsoft Sentinelem.

Najděte desítky užitečných playbooků ve složce Playbooky na webu GitHubu microsoft Sentinelu nebo si playbook přečtěte pomocí seznamu ke zhlédnutí a informujte vlastníka předplatného o upozornění pro názorný postup playbooku.

Modul 13: Sešity, vytváření sestav a vizualizace

Workbooks

Vzhledem k tomu, že centrum nervů vašeho SOC vyžaduje Microsoft Sentinel pro vizualizaci informací, které shromažďuje a vytváří. Pomocí sešitů můžete vizualizovat data v Microsoft Sentinelu.

Sešity můžou být interaktivní a umožňují mnohem víc než jenom grafování. Pomocí sešitů můžete vytvářet aplikace nebo moduly rozšíření pro Microsoft Sentinel, které doplňují její integrované funkce. Sešity můžete použít také k rozšíření funkcí Služby Microsoft Sentinel. Tady je několik příkladů takových aplikací:

Desítky sešitů najdete ve složce Sešity na GitHubu pro Microsoft Sentinel. Některé z nich jsou k dispozici také v galerii sešitů Microsoft Sentinelu.

Vytváření sestav a další možnosti vizualizace

Sešity můžou sloužit k vytváření sestav. Pro pokročilejší možnosti vytváření sestav, jako jsou plánování sestav a distribuce nebo kontingenční tabulky, můžete použít:

Modul 14: Poznámkové bloky

Poznámkové bloky Jupyter jsou plně integrované s Microsoft Sentinelem. Ačkoli se považoval za důležitý nástroj v hrudi lovce nástrojů a probírali webináře v části lovu, jejich hodnota je mnohem širší. Poznámkové bloky můžou sloužit pro pokročilou vizualizaci, jako průvodce šetřením a pro sofistikovanou automatizaci.

Pokud chcete lépe pochopit poznámkové bloky, podívejte se na video Úvod do poznámkových bloků. Začněte používat webinář o poznámkových blocích (YouTube, MP4 nebo prezentaci) nebo si přečtěte dokumentaci. Série Poznámkové bloky Ninja pro Microsoft Sentinel je průběžná školicí série, která vás v poznámkových blocích vytrénuje.

Důležitou součástí integrace je MSTICPy, což je knihovna Pythonu vyvinutá naším výzkumným týmem, která se má používat s poznámkovými bloky Jupyter. Do poznámkových bloků přidává rozhraní Microsoft Sentinelu a sofistikované funkce zabezpečení.

Modul 15: Případy použití a řešení

Pomocí konektorů, pravidel, playbooků a sešitů můžete implementovat případy použití, což je termín SIEM pro balíček obsahu, který má detekovat hrozbu a reagovat na ni. Předdefinované případy použití služby Microsoft Sentinel můžete nasadit aktivací navrhovaných pravidel při připojování jednotlivých konektorů. Řešení je skupina případů použití, které řeší konkrétní doménu hrozeb.

Webinář "Řešení identity" (YouTube, MP4 nebo prezentace) vysvětluje, co je případ použití a jak přistupovat k jeho návrhu, a představuje několik případů použití, které souhrnně řeší hrozby identity.

Další relevantní oblastí řešení je ochrana práce na dálku. Podívejte se na naši relaci Konference Ignite o ochraně práce na dálku a přečtěte si další informace o následujících konkrétních případech použití:

A nakonec se zaměřením na nedávné útoky zjistěte, jak monitorovat softwarový dodavatelský řetězec pomocí služby Microsoft Sentinel.

Řešení Microsoft Sentinel poskytují zjistitelnost v produktech, jednostupňové nasazení a povolení kompletního produktu, domény a/nebo vertikálních scénářů v Microsoft Sentinelu. Další informace najdete v tématu O obsahu a řešeních Microsoft Sentinelu a podívejte se na webinář "Vytvoření vlastních řešení Microsoft Sentinelu": YouTube nebo prezentace.

Část 4: Provoz

Modul 16: Zpracování incidentů

Po sestavení SOC ho musíte začít používat. Webinář "den v životě analytika SOC" (YouTube, MP4 nebo prezentace) vás provede používáním Služby Microsoft Sentinel v SOC ke třídění, vyšetřování a reagování na incidenty.

Pokud chcete svým týmům umožnit bezproblémovou spolupráci v celé organizaci a s externími účastníky, přečtěte si téma Integrace s Microsoft Teams přímo z Microsoft Sentinelu. A podívejte se na webinář "Snížení MTTR SOC (Střední doba reakce) integrací Microsoft Sentinelu s Microsoft Teams" .

Můžete si také přečíst článek dokumentace o vyšetřování incidentů. V rámci šetření také použijete stránky entit k získání dalších informací o entitách souvisejících s vaším incidentem nebo identifikovaných jako součást vyšetřování.

Vyšetřování incidentů v Microsoft Sentinelu přesahuje základní funkce vyšetřování incidentů. Pomocí sešitů a poznámkových bloků můžete vytvářet další nástroje pro šetření. Poznámkové bloky jsou popsány v další části Modul 17: Proaktivní vyhledávání. Můžete také vytvořit další nástroje pro šetření nebo upravit stávající nástroje podle vašich konkrétních potřeb. Příkladem může být:

Modul 17: Proaktivní vyhledávání

I když se většina dosud diskuzí zaměřila na detekci a řízení incidentů, proaktivní vyhledávání je dalším důležitým případem použití pro Microsoft Sentinel. Proaktivní vyhledávání hrozeb je proaktivní vyhledávání, nikoli reaktivní reakce na výstrahy .

Řídicí panel proaktivního vyhledávání se neustále aktualizuje. Zobrazí všechny dotazy napsané týmem Microsoftu analytiků zabezpečení a všechny další dotazy, které jste vytvořili nebo upravili. Každý dotaz poskytuje popis toho, co je proaktivní vyhledávání a na jakém typu dat běží. Tyto šablony jsou seskupené podle různých taktik. Ikony vpravo kategorizují typ hrozby, jako je počáteční přístup, trvalost a exfiltrace. Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.

Pokud chcete získat další informace o tom, co je proaktivní vyhledávání a jak ho Microsoft Sentinel podporuje, podívejte se na úvodní webinář "Proaktivní vyhledávání hrozeb": YouTube, MP4 nebo prezentace. Webinář začíná aktualizací nových funkcí. Pokud se chcete dozvědět o proaktivním vyhledávání, začněte na snímku 12. Video z YouTube je už nastavené tak, aby tam začalo.

I když se úvodní webinář zaměřuje na nástroje, proaktivní vyhledávání je všechno o zabezpečení. Náš webinář týmu pro výzkum zabezpečení (YouTube, MP4 nebo prezentace) se zaměřuje na to, jak skutečně lovit.

Následný webinář "Proaktivní vyhledávání hrozeb AWS pomocí Microsoft Sentinelu" (YouTube, MP4 nebo prezentace) ukazuje bod tím, že ukazuje kompletní scénář proaktivního vyhledávání v cílovém prostředí s vysokou hodnotou.

Nakonec se dozvíte, jak provádět proaktivní vyhledávání v systému SolarWinds po ohrožení zabezpečení pomocí Microsoft Sentinelu a proaktivního vyhledávání webShellu, které jsou motivované nejnovějšími chybami zabezpečení na místních serverech Microsoft Exchange.

Modul 18: Analýza chování uživatelů a entit (UEBA)

Nově zavedený modul Microsoft Sentinel User and Entity Behavior Analytics (UEBA) umožňuje identifikovat a prošetřit hrozby ve vaší organizaci a jejich potenciální dopad, ať už pocházejí z ohrožené entity nebo škodlivého insidera.

Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) napříč časovým horizontem a horizontem partnerské skupiny. Prostřednictvím různých technik a možností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli je prostředek ohrožen. Nejen to, ale může také zjistit relativní citlivost konkrétních prostředků, identifikovat partnerské skupiny prostředků a vyhodnotit potenciální dopad jakéhokoli ohroženého prostředku (jeho "poloměr výbuchu"). S těmito informacemi můžete efektivně určit prioritu vyšetřování a zpracování incidentů.

Další informace o UEBA najdete na webináři (YouTube, MP4 nebo prezentaci) a přečtěte si o používání UEBA pro vyšetřování v SOC.

Pokud se chcete dozvědět o nejnovějších aktualizacích, podívejte se na webinář "Future of Users Entity Behavioral Analytics in Microsoft Sentinel" .

Modul 19: Monitorování stavu služby Microsoft Sentinel

Součástí provozu SIEM je zajištění, že funguje hladce a že se vyvíjí v Azure Microsoft Sentinelu. Pomocí následujícího příkazu můžete monitorovat stav služby Microsoft Sentinel:

  • Změřte efektivitu operací zabezpečení (video).

  • Tabulka dat služby Microsoft Sentinel Health poskytuje přehled o posunech stavu, jako jsou nejnovější události selhání jednotlivých konektorů nebo konektory se změnami z úspěšných na stavy selhání, které můžete použít k vytváření výstrah a dalších automatizovaných akcí. Další informace najdete v tématu Monitorování stavu datových konektorů. Podívejte se na video "Data Připojení ors Monitorování stavu ing Workbook". A získejte oznámení o anomáliích.

  • Monitorujte agenty pomocí řešení stavu agentů (jenom Windows) a tabulky prezenčních signálů (Linux a Windows).

  • Monitorujte pracovní prostor služby Log Analytics: YouTube, MP4 nebo prezentaci, včetně stavu spouštění dotazů a příjmu dat.

  • Správa nákladů je také důležitým provozním postupem v SOC. Pomocí playbooku Upozornění na náklady na příjem dat zajistěte, abyste vždy věděli o případných nárůstech nákladů.

Část 5: Upřesnit

Modul 20: Rozšíření a integrace pomocí rozhraní API služby Microsoft Sentinel

Microsoft Sentinel je jako nativní cloudový systém SIEM, který je prvním rozhraním API. Každou funkci je možné nakonfigurovat a používat prostřednictvím rozhraní API, což umožňuje snadnou integraci s jinými systémy a rozšíření služby Microsoft Sentinel pomocí vlastního kódu. Pokud vám rozhraní API zastraší, nedělejte si starosti. K dispozici je také vše, co je dostupné pomocí rozhraní API, pomocí PowerShellu.

Další informace o rozhraních API služby Microsoft Sentinel najdete v krátkém úvodním videua přečtěte si blogové příspěvky. Podrobnější informace najdete v webináři o rozšíření a integraci služby Sentinel (API) (YouTube, MP4 nebo prezentace) a přečtěte si blogový příspěvek o rozšíření Microsoft Sentinelu: rozhraní API, integrace a automatizace správy.

Modul 21: Vytvoření vlastního strojového učení

Microsoft Sentinel poskytuje skvělou platformu pro implementaci vlastních algoritmů strojového učení. Označujeme ho jako model strojového učení založený na sestavení nebo BYO ML. BYO ML je určený pro pokročilé uživatele. Pokud hledáte integrovanou analýzu chování, použijte naše pravidla analýzy strojového učení nebo modul UEBA nebo napište vlastní analytická pravidla založená na KQL na základě chování.

Pokud chcete začít s přenesením vlastního strojového učení do Microsoft Sentinelu , podívejte se na video "Build-your-own machine learning model" (Sestavit vlastní model strojového učení) a přečtěte si informace o detekcích vlastních modelů strojového učení v blogovém příspěvku o AI ponořeném do služby Azure Sentinel SIEM . Můžete se také podívat do dokumentace k BYO ML.

Další kroky

Doporučený obsah