Školení k dovednostem v Microsoft Sentinelu
Tento článek vás provede školením na úrovni 400, které vám pomůžou získat dovednosti v Microsoft Sentinelu. Školení zahrnuje 21 modulů s vlastním tempem, které představují relevantní dokumentaci k produktu, blogové příspěvky a další zdroje informací.
Zde uvedené moduly jsou rozdělené na pět částí po životním cyklu služby Security Operation Center (SOC):
- Modul 0: Další možnosti výuky a podpory
- Modul 1: Začínáme s Microsoft Sentinelem
- Modul 2: Jak se používá Microsoft Sentinel?
- Modul 3: Architektura pracovního prostoru a tenanta
- Modul 4: Shromažďování dat
- Modul 5: Správa protokolů
- Modul 6: Rozšiřování: Analýza hrozeb, seznamy ke zhlédnutí a další
- Modul 7: Transformace protokolu
- Modul 8: Migrace
- Modul 9: Rozšířený informační model SIEM a normalizace
- Modul 10: dotazovací jazyk Kusto
- Modul 11: Analýza
- Modul 12: Implementace SOAR
- Modul 13: Sešity, vytváření sestav a vizualizace
- Modul 14: Poznámkové bloky
- Modul 15: Případy použití a řešení
- Modul 16: Den v životě analytika SOC, řízení incidentů a vyšetřování
- Modul 17: Proaktivní vyhledávání
- Modul 18: Analýza chování uživatelů a entit (UEBA)
- Modul 19: Monitorování stavu služby Microsoft Sentinel
- Modul 20: Rozšíření a integrace pomocí rozhraní API služby Microsoft Sentinel
- Modul 21: Vytvoření vlastního strojového učení
Část 1: Přehled
Modul 0: Další možnosti výuky a podpory
Toto školení dovedností je školení na úrovni 400, které je založené na trénování Ninja služby Microsoft Sentinel. Pokud nechcete pokračovat do hloubky nebo máte konkrétní problém, který byste měli vyřešit, můžou být vhodnější další prostředky:
- I když je školení dovedností rozsáhlé, musí přirozeně dodržovat skript a nemůže rozšířit o každé téma. Informace o jednotlivých článcích najdete v referenční dokumentaci.
- Teď se můžete certifikovat pomocí nové certifikace SC-200: Microsoft Security Operations Analyst, který se zabývá Microsoft Sentinelem. Pro širší, vyšší úroveň zobrazení sady zabezpečení Společnosti Microsoft můžete také zvážit SC-900: Microsoft Security, Compliance a Identity Fundamentals nebo AZ-500: Microsoft Azure Security Technologies.
- Pokud už máte zkušenosti s Microsoft Sentinelem, sledujte, co je nového, nebo se k programu Microsoft Cloud Security Private Community připojíte, abyste se v dřívějších verzích chystané verze chystali.
- Máte nápad na funkci, kterou s námi můžete sdílet? Dejte nám vědět na stránce uživatelského hlasu Microsoft Sentinelu.
- Jste první zákazník? Možná budete chtít workshop o základech Microsoft Sentinelu na místě nebo vzdáleném 4denním workshopu o základech Microsoft Sentinelu. Další podrobnosti získáte od manažera zákaznického úspěchu.
- Máte konkrétní problém? Zeptejte se (nebo odpovězte na ostatní) na technické komunitě Microsoft Sentinelu. Nebo nám můžete poslat e-mail s dotazem nebo problémem na adrese MicrosoftSentinel@microsoft.com.
Modul 1: Začínáme s Microsoft Sentinelem
Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa událostí zabezpečení (SIEM) a řešení automatické orchestrace zabezpečení (SOAR). Microsoft Sentinel poskytuje analýzy zabezpečení a analýzu hrozeb v celém podniku. Poskytuje jedno řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby. Další informace najdete v tématu Co je Microsoft Sentinel?.
Pokud chcete získat počáteční přehled o technických možnostech Microsoft Sentinelu, je dobrým výchozím bodem nejnovější prezentace Ignite. Můžete také najít úvodní příručku k Microsoft Sentinelu (vyžaduje se registrace webu).
Podrobnější přehled najdete v tomto webináři Microsoft Sentinelu: YouTube, MP4 nebo prezentaci.
A konečně, chcete to vyzkoušet sami? Akcelerátor All-In-One služby Microsoft Sentinel (blog, YouTube, MP4 nebo prezentace) nabízí snadný způsob, jak začít. Pokud chcete zjistit, jak začít, projděte si dokumentaci k onboardingu nebo si prohlédněte video o nastavení a konfiguraci služby Insight v Microsoft Sentinelu.
Seznámení s jinými uživateli
Tisíce organizací a poskytovatelů služeb používají Microsoft Sentinel. Jak je obvyklé u bezpečnostních produktů, většina organizací o tom neběží veřejně. Přesto tady je několik uživatelů:
- Vyhledejte případy použití veřejných zákazníků.
- Stuart Gregg, Security Operations Manager v ASOS, publikoval mnohem podrobnější blogový příspěvek z prostředí Microsoft Sentinelu se zaměřením na proaktivní vyhledávání.
Naučte se od analytiků
- Azure Sentinel dosahuje umístění leader v Forrester Wave s nejvyšším hodnocením ve strategii
- Microsoft pojmenoval Visionary v roce 2021 Magic Quadrant pro SIEM pro Microsoft Sentinel
Modul 2: Jak se používá Microsoft Sentinel?
Mnoho organizací používá Microsoft Sentinel jako primární SIEM. Většina modulů v tomto kurzu se zabývá tímto případem použití. V tomto modulu představujeme několik dalších způsobů, jak používat Microsoft Sentinel.
Jako součást zásobníku zabezpečení Microsoftu
K ochraně úloh Microsoftu, včetně Windows, Azure a Office, použijte Microsoft Sentinel, Microsoft Defender for Cloud a XDR v programu Microsoft Defender:
- Přečtěte si další informace o komplexním řešení SIEM+XDR, které kombinuje Microsoft Sentinel a XDR v programu Microsoft Defender.
- Přečtěte si kompas zabezpečení Azure (nyní osvědčené postupy zabezpečení Microsoftu) a seznamte se s podrobným plánem Microsoftu pro vaše operace zabezpečení.
- Přečtěte si a podívejte se, jak takové nastavení pomáhá rozpoznat útok webShellu a reagovat na ně: blog nebo ukázka videa.
- Prohlédněte si webinář Better Together "OT a IOT attack detection, investigation, and response" (Detekce útoků OT a IOT), vyšetřování a reakce.
Monitorování úloh s více cloudy
Cloud je (stále) nový a často se nemonitoruje tak široce jako místní úlohy. V této prezentaci se dozvíte, jak vám Může Microsoft Sentinel pomoct zavřít mezeru v monitorování cloudu napříč cloudy.
Vedle stávajícího SIEM
Pokud používáte Microsoft Sentinel pro cloudové úlohy, můžete v přechodném období nebo delším období používat Microsoft Sentinel společně se stávajícím SIEM. Možná také používáte systém lístků, jako je například Služba.
Další informace o migraci z jiného SYSTÉMU SIEM na Microsoft Sentinel najdete na webináři migrace: YouTube, MP4 nebo prezentace.
Existují tři běžné scénáře pro souběžné nasazení:
Pokud máte v SOC systém lístků, osvědčeným postupem je odesílat výstrahy nebo incidenty z obou systémů SIEM do systému lístků, jako je například Služba. Mezi příklady patří použití obousměrné synchronizace incidentů Microsoft Sentinelu s ServiceNow nebo odesílání upozornění obohacených o podpůrné události z Microsoft Sentinelu do siem třetích stran.
Alespoň zpočátku mnoho uživatelů odesílá upozornění z Microsoft Sentinelu do místního systému SIEM. Další informace najdete v tématu Odesílání upozornění obohacených o podpůrné události z Microsoft Sentinelu do siem třetích stran.
V průběhu času, protože Microsoft Sentinel pokrývá více úloh, byste obvykle obráceně směr a odesílání upozornění z místního SYSTÉMU SIEM do Microsoft Sentinelu. Postup:
- Informace o splunku najdete v tématu Odesílání dat a událostí z Splunku do Microsoft Sentinelu.
- Informace o QRadaru najdete v tématu Odeslání urážek QRadar do Microsoft Sentinelu.
- V případě ArcSightu se podívejte na předávání ve formátu CEF (Common Event Format).
Upozornění z Microsoft Sentinelu můžete také odeslat do systému SIEM třetí strany nebo systému lístků pomocí graphu Rozhraní API pro zabezpečení. Tento přístup je jednodušší, ale neumožňuje odesílání jiných dat.
Pro msSPs
Vzhledem k tomu, že eliminuje náklady na nastavení a je nezávislá na poloze, je Microsoft Sentinel oblíbenou volbou pro poskytování SIEM jako služby. Najděte seznam poskytovatelů služeb zabezpečení spravovaných členy (MSSPs) služby MISA (Microsoft Intelligent Security Association), kteří používají Microsoft Sentinel. Mnoho dalších poskytovatelů msSP, zejména regionálních a menších, používá Microsoft Sentinel, ale nejsou členy MISA.
Pokud chcete začít svou cestu jako MSSP, přečtěte si technické playbooky Microsoft Sentinelu pro MSSP. Další informace o podpoře MSSP najdete v dalším modulu, který se zabývá cloudovou architekturou a podporou víceklientských služeb.
Část 2: Návrh a nasazení
I když část 1: Přehled nabízí způsoby, jak začít používat Microsoft Sentinel během několika minut, než začnete s produkčním nasazením, je důležité vytvořit plán.
Tato část vás provede oblastmi, které je potřeba vzít v úvahu při návrhu řešení, a obsahuje pokyny k implementaci návrhu:
- Architektura pracovního prostoru a tenanta
- Shromažďování dat
- Správa protokolů
- Získání analýzy hrozeb
Modul 3: Architektura pracovního prostoru a tenanta
Instance Microsoft Sentinelu se nazývá pracovní prostor. Pracovní prostor je stejný jako pracovní prostor služby Log Analytics a podporuje všechny funkce Log Analytics. Microsoft Sentinel si můžete představit jako řešení, které přidává funkce SIEM nad pracovní prostor služby Log Analytics.
Často je potřeba mít více pracovních prostorů a může fungovat společně jako jeden systém Microsoft Sentinel. Speciální případ použití poskytuje službu pomocí Služby Microsoft Sentinelu (například poskytovatelem spravované služby zabezpečení MSSP ) nebo globálního SOC ve velké organizaci.
Další informace o používání více pracovních prostorů jako jednoho systému Microsoft Sentinel najdete v tématu Rozšíření Služby Microsoft Sentinel mezi pracovními prostory a tenanty nebo zobrazení webináře: YouTube, MP4 nebo prezentace.
Pokud používáte více pracovních prostorů, zvažte následující:
- Důležitým faktorem pro použití více pracovních prostorů je rezidence dat. Další informace najdete v tématu Rezidenci dat služby Microsoft Sentinel.
- Pokud chcete nasadit Microsoft Sentinel a efektivně spravovat obsah napříč několika pracovními prostory, můžete Microsoft Sentinel spravovat jako kód pomocí technologie kontinuální integrace a průběžného doručování (CI/CD). Doporučeným postupem pro Microsoft Sentinel je povolení průběžného nasazování. Další informace najdete v tématu Povolení průběžného nasazování nativně s úložišti Microsoft Sentinel.
- Při správě více pracovních prostorů jako poskytovatele MSSP můžete chtít chránit duševní vlastnictví programu MSSP ve službě Microsoft Sentinel.
Modul 4: Shromažďování dat
Základem SIEM je shromažďování telemetrie: události, výstrahy a kontextové informace o rozšiřování, jako jsou analýzy hrozeb, data ohrožení zabezpečení a informace o prostředcích. Tady je seznam zdrojů, na které se chcete odkazovat:
- Přečtěte si datové konektory Microsoft Sentinelu.
- Pokud chcete zobrazit všechny podporované a předdefinované datové konektory, přejděte na vyhledání datového konektoru Microsoft Sentinelu. Najdete odkazy na obecné postupy nasazení a další kroky potřebné pro konkrétní konektory.
- Scénáře shromažďování dat: Seznamte se s metodami shromažďování, jako jsou Logstash, CEF/WEF. Další běžné scénáře jsou omezení oprávnění pro tabulky, filtrování protokolů, shromažďování protokolů z Amazon Web Services (AWS) nebo Google Cloud Platform (GCP), nezpracovaných protokolů Microsoftu 365 atd. Vše najdete na webináři "Scénáře shromažďování dat": YouTube, MP4 nebo prezentace.
První informace, které vidíte pro každý konektor, je metoda příjmu dat. Zobrazená metoda obsahuje odkaz na jeden z následujících obecných postupů nasazení, které obsahují většinu informací, které potřebujete pro připojení zdrojů dat k Microsoft Sentinelu:
Metoda příjmu dat | Přidružený článek |
---|---|
Integrace mezi službami Azure | Připojení do služeb Azure, Windows, Microsoft a Amazon |
Common Event Format (CEF) over Syslog | Ingestování zpráv Syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor |
Rozhraní API kolektoru dat služby Microsoft Sentinel | Připojení zdroj dat do rozhraní API kolektoru dat Microsoft Sentinelu k ingestování dat |
Azure Functions a rozhraní REST API | Připojení Služby Microsoft Sentinel ke zdroji dat pomocí Azure Functions |
Syslog | Ingestování zpráv Syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor |
Vlastní protokoly | Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics |
Pokud zdroj není dostupný, můžete vytvořit vlastní konektor. Vlastní konektory používají rozhraní API pro příjem dat, a proto se podobají přímým zdrojům. Vlastní konektory nejčastěji implementujete pomocí Azure Logic Apps, která nabízí možnost bez kódu nebo Azure Functions.
Modul 5: Správa protokolů
První rozhodnutí o architektuře, které je potřeba vzít v úvahu při konfiguraci služby Microsoft Sentinel, je počet pracovních prostorů a těch, které se mají použít. Mezi další rozhodnutí o architektuře správy protokolů klíčů, která je potřeba zvážit, patří:
- Kde a jak dlouho se mají data uchovávat.
- Jak nejlépe spravovat přístup k datům a zabezpečit je.
Ingestování, archivace, vyhledávání a obnovení dat v Microsoft Sentinelu
Začněte tím, že si prohlédnete webinář "Správa životního cyklu protokolu pomocí nových metod pro příjem dat, archivaci, vyhledávání a obnovení" .
Tato sada funkcí obsahuje:
- Úroveň základního příjmu dat: Nová cenová úroveň pro protokoly služby Azure Monitor, která umožňuje ingestovat protokoly s nižšími náklady. Tato data se uchovávají v pracovním prostoru pouze po dobu osmi dnů.
- Archivní úroveň: Protokoly služby Azure Monitor rozšířily své možnosti uchovávání ze dvou let na sedm let. S touto novou úrovní můžete uchovávat data po dobu až sedmi let v archivačním stavu s nízkými náklady.
- Úlohy hledání: Prohledat úlohy, které spouštějí omezený počet KQL, aby vyhledaly a vrátily všechny relevantní protokoly. Tyto úlohy prohledávají data napříč analytickou úrovní, úrovní Basic a archivovanými daty.
- Obnovení dat: Nová funkce, která umožňuje vybrat tabulku dat a časový rozsah, abyste mohli obnovit data do pracovního prostoru prostřednictvím tabulky obnovení.
Další informace o těchto nových funkcích najdete v tématu Ingestování, archivace, vyhledávání a obnovení dat v Microsoft Sentinelu.
Alternativní možnosti uchovávání informací mimo platformu Microsoft Sentinel
Pokud chcete uchovávat data déle než dva roky nebo snížit náklady na uchovávání, zvažte použití Azure Data Exploreru pro dlouhodobé uchovávání protokolů Služby Microsoft Sentinel. Podívejte se na snímky webináře, nahrávání webináře nebo blog.
Chcete podrobnější informace? Prohlédni si webinář "Vylepšení šířky a pokrytí proaktivního vyhledávání hrozeb pomocí podpory ADX, dalších typů entit a aktualizované integrace MITRE".
Pokud dáváte přednost jinému řešení dlouhodobého uchovávání, přečtěte si téma Export z pracovního prostoru Microsoft Sentinel / Log Analytics do služby Azure Storage a event Hubs nebo přesun protokolů do dlouhodobého úložiště pomocí Azure Logic Apps. Výhodou použití Logic Apps je, že může exportovat historická data.
Nakonec můžete nastavit jemně odstupňované doby uchovávání pomocí nastavení uchovávání na úrovni tabulky. Další informace najdete v tématu Konfigurace zásad uchovávání a archivace dat v protokolech služby Azure Monitor (Preview).
Zabezpečení protokolu
Použití řízení přístupu na základě role na základě prostředků (RBAC) nebo řízení přístupu na úrovni tabulky umožňuje více týmům používat jeden pracovní prostor.
V případě potřeby odstraňte obsah zákazníka z vašich pracovních prostorů.
Zjistěte, jak auditovat dotazy pracovního prostoru a používání Služby Microsoft Sentinel pomocí sešitů a dotazů upozornění.
Pomocí privátních propojení se ujistěte, že protokoly nikdy neopustí vaši privátní síť.
Vyhrazený cluster
Pokud je váš předpokládaný příjem dat přibližně nebo více než 500 GB za den, použijte vyhrazený cluster pracovního prostoru. S vyhrazeným clusterem můžete zabezpečit prostředky pro data Microsoft Sentinelu, což umožňuje lepší výkon dotazů pro velké datové sady.
Modul 6: Rozšiřování: Analýza hrozeb, seznamy ke zhlédnutí a další
Jednou z důležitých funkcí SIEM je použití kontextových informací na páru událostí, která umožňuje detekci, stanovení priorit výstrah a vyšetřování incidentů. Kontextové informace zahrnují například analýzu hrozeb, analýzu IP adres, informace o hostiteli a uživatelích a seznamy ke zhlédnutí.
Microsoft Sentinel poskytuje komplexní nástroje pro import, správu a používání analýzy hrozeb. Pro další typy kontextových informací poskytuje Microsoft Sentinel seznamy ke zhlédnutí a další alternativní řešení.
Analýza hrozeb
Analýza hrozeb je důležitým stavebním blokem SIEM. Podívejte se na webinář "Prozkoumání výkonu analýzy hrozeb v Microsoft Sentinelu" .
V Microsoft Sentinelu můžete integrovat analýzu hrozeb pomocí integrovaných konektorů ze serverů TAXII (Trusted Automated eXchange of Indicator Information) nebo prostřednictvím služby Microsoft Graph Rozhraní API pro zabezpečení. Další informace najdete v tématu Integrace analýzy hrozeb v Microsoft Sentinelu. Další informace o importu analýzy hrozeb najdete v částech Modul 4: Shromažďování dat.
Po importu se analýza hrozeb používá ve velkém rozsahu v rámci Microsoft Sentinelu. Následující funkce se zaměřují na použití analýzy hrozeb:
Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech v nové oblasti Analýzy hrozeb v Microsoft Sentinelu
Pomocí předdefinovaných šablon pravidel analýzy hrozeb můžete generovat výstrahy zabezpečení a incidenty pomocí importované analýzy hrozeb.
Vizualizujte klíčové informace o inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.
Podívejte se na webinář "Automatizace úsilí o třídění z Microsoft Sentinelu pomocí analýzy hrozeb RiskIQ": YouTube nebo prezentace.
Je čas na krátkou dobu? Prohlédněte si relaci Ignite (28 minut).
Chcete podrobnější informace? Podívejte se na webinář "Hloubková analýza hrozeb": YouTube, MP4 nebo prezentace.
Kontrolní seznamy a další mechanismy vyhledávání
K importu a správě libovolného typu kontextových informací poskytuje Microsoft Sentinel kontrolní seznamy. Pomocí seznamů ke zhlédnutí můžete nahrávat tabulky dat ve formátu CSV a používat je v dotazech KQL. Další informace najdete v tématu Použití seznamů ke zhlédnutí v Microsoft Sentinelu nebo na webináři "Použití seznamů ke zhlédnutí ke správě výstrah, snížení únavy výstrah a zlepšení efektivity SOC": YouTube nebo prezentace.
Seznam ke zhlédnutí vám pomůže s následujícími scénáři:
Rychlé zkoumání hrozeb a reakce na incidenty: Rychle naimportujte IP adresy, hodnoty hash souborů a další data ze souborů CSV. Po importu dat použijte páry název-hodnota seznamu ke zhlédnutí pro spojení a filtry v pravidlech upozornění, proaktivního vyhledávání hrozeb, sešitech, poznámkových blocích a obecných dotazech.
Import obchodních dat jako seznamu ke zhlédnutí: Například import seznamů uživatelů s privilegovaným přístupem k systému nebo ukončení zaměstnanců. Pak pomocí seznamu ke zhlédnutí vytvořte seznamy povolených a blokovaných seznamů, abyste zjistili nebo zabránili těmto uživatelům v přihlášení k síti.
Snížení únavy výstrah: Vytvořte seznamy povolených, které potlačí výstrahy ze skupiny uživatelů, jako jsou uživatelé z autorizovaných IP adres, kteří provádějí úlohy, které by výstrahu normálně aktivovaly. Zabránit tomu, aby se neškodné události staly výstrahami.
Obohacení dat událostí: Pomocí seznamů ke zhlédnutí můžete data událostí rozšířit pomocí kombinací názvu a hodnoty odvozených z externích zdrojů dat.
Kromě seznamů ke zhlédnutí můžete ke správě a dotazování kontextových informací použít operátor externích dat KQL, vlastní protokoly a funkce KQL. Každá ze čtyř metod má své výhody a nevýhody a můžete si přečíst další informace o porovnání mezi nimi v blogovém příspěvku "Implementace vyhledávání v Microsoft Sentinelu". I když se jednotlivé metody liší, použití výsledných informací v dotazech je podobné a umožňuje snadné přepínání mezi nimi.
Nápady na používání seznamů ke zhlédnutí mimo analytická pravidla najdete v tématu Využití seznamů ke zhlédnutí ke zvýšení efektivity během vyšetřování Microsoft Sentinelu.
Podívejte se na webinář "Použití seznamů ke zhlédnutí ke správě výstrah, snížení únavy výstrah a zlepšení efektivity SOC": YouTube nebo prezentace.
Modul 7: Transformace protokolu
Microsoft Sentinel podporuje dvě nové funkce pro příjem a transformaci dat. Tyto funkce, které poskytuje Log Analytics, fungují s vašimi daty i před tím, než jsou uložena ve vašem pracovním prostoru. Mezi funkce patří:
Rozhraní API pro příjem protokolů: Umožňuje odesílat protokoly vlastního formátu z libovolného zdroje dat do pracovního prostoru služby Log Analytics a pak tyto protokoly ukládat buď v určitých standardních tabulkách, nebo ve vlastních formátovaných tabulkách, které vytvoříte. Skutečný příjem těchto protokolů můžete provést pomocí přímých volání rozhraní API. K definování a konfiguraci těchto pracovních postupů můžete použít pravidla shromažďování dat služby Azure Monitor.
Transformace dat pracovního prostoru pro standardní protokoly: Používá pravidla shromažďování dat k vyfiltrování irelevantních dat, rozšiřování nebo označování dat nebo skrytí citlivých nebo osobních údajů. Transformace dat můžete nakonfigurovat v době příjmu dat pro následující typy předdefinovaných datových konektorů:
- Datové konektory založené na agentovi Azure Monitoru (AMA) (na základě nového agenta Služby Azure Monitor)
- Datové konektory založené na agentovi Microsoft Monitoring Agent (MMA) (na základě starší verze agenta protokolů služby Azure Monitor)
- Datové konektory, které používají nastavení diagnostiky
- Datové konektory service-to-service
Další informace naleznete v tématu:
- Transformace nebo přizpůsobení dat v době příjmu dat v Microsoft Sentinelu
- Vyhledání datového konektoru služby Microsoft Sentinel
Modul 8: Migrace
V mnoha (pokud ne) případech už máte SIEM a potřebujete migrovat na Microsoft Sentinel. I když může být dobrý čas začít znovu a promyslit implementaci SIEM, dává smysl využít některé prostředky, které jste už vytvořili ve své aktuální implementaci. Prohlédněte si webinář "Osvědčené postupy pro převod pravidel detekce" (od Splunk, QRadar a ArcSight do Azure Microsoft Sentinelu): YouTube, MP4, prezentace nebo blog.
Může vás také zajímat následující zdroje informací:
- Mapování SPL (Splunk Search Processing Language) na mapování KQL
- Ukázky mapování pravidel ArcSight a QRadar
Modul 9: Rozšířený informační model SIEM a normalizace
Spolupráce s různými datovými typy a tabulkami může představovat výzvu. Při psaní a používání jedinečné sady analytických pravidel, sešitů a dotazů proaktivního vyhledávání se musíte seznámit s těmito datovými typy a schématy. Korelace mezi datovými typy, které jsou nezbytné pro šetření a proaktivní vyhledávání, může být také složité.
Pokročilý informační model SIEM (ASIM) poskytuje bezproblémové prostředí pro zpracování různých zdrojů v jednotných normalizovaných zobrazeních. ASIM je v souladu s běžným informačním modelem OSSEM (Open-Source Security Events Metadata) a podporuje normalizaci nezávislou na dodavateli a celé odvětví. Podívejte se na webinář "Advanced SIEM information model (ASIM): Nyní integrovaný do Služby Microsoft Sentinel: YouTube nebo prezentace.
Aktuální implementace je založená na normalizaci doby dotazu, která používá funkce KQL:
- Normalizovaná schémata pokrývají standardní sady předvídatelných typů událostí, které se dají snadno pracovat s jednotnými funkcemi a vytvářet je. Schéma definuje, která pole mají představovat událost, normalizovanou konvenci pojmenování sloupců a standardní formát hodnot polí.
- Podívejte se na webinář "Principy normalizace v Microsoft Sentinelu": YouTube nebo prezentace.
- Podívejte se na webinář "Podrobné informace o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu": YouTube, MP3 nebo prezentace.
Analyzátory mapují existující data na normalizovaná schémata. Implementujete analyzátory pomocí funkcí KQL. Prohlédněte si webinář "Rozšíření a správa ASIM: Vývoj, testování a nasazení analyzátorů": YouTube nebo prezentace.
Obsah pro každé normalizované schéma zahrnuje analytická pravidla, sešity a dotazy proaktivního vyhledávání. Tento obsah funguje na všech normalizovaných datech bez nutnosti vytvářet zdrojový obsah.
Použití ASIM poskytuje následující výhody:
Detekce mezi zdroji: Normalizovaná analytická pravidla fungují napříč zdroji místně i v cloudu. Pravidla detekují útoky, jako je hrubá síla nebo nemožné cestování mezi systémy, včetně Okta, AWS a Azure.
Umožňuje nezávislý zdrojový obsah: Pokrytí integrovaného a vlastního obsahu pomocí ASIM se automaticky rozšíří na jakýkoli zdroj, který podporuje ASIM, i když byl zdroj přidán po vytvoření obsahu. Analýza událostí procesu například podporuje jakýkoli zdroj, který může zákazník použít k přenesení dat, včetně programu Microsoft Defender for Endpoint, událostí windows a sysmonu. Po vydání jsme připraveni přidat Sysmon pro Linux a WEF.
Podpora vlastních zdrojů v integrovaných analytických funkcích
Snadné použití: Analytici, kteří se učí ASIM, mají mnohem jednodušší psát dotazy, protože názvy polí jsou vždy stejné.
Další informace o ASIM
Využijte tyto prostředky:
Podívejte se na webinář s přehledem "Principy normalizace ve službě Azure Sentinel": YouTube nebo prezentace.
Prohlédněte si webinář "Podrobné informace o normalizaci analyzátorů a normalizovaného obsahu v Microsoft Sentinelu": YouTube, MP3 nebo prezentace.
Podívejte se na webinář "Turbocharge ASIM: Ujistěte se, že normalizace pomáhá výkonu, a ne dopad na něj": YouTube, MP4 nebo prezentace.
Přečtěte si dokumentaci k ASIM.
Nasazení ASIM
Nasaďte analyzátory ze složek počínaje "ASIM*" ve složce analyzátorů na GitHubu.
Aktivujte analytická pravidla, která používají ASIM. V galerii šablon vyhledejte normální hodnoty, abyste našli některé z nich. Pokud chcete získat úplný seznam, použijte toto hledání na GitHubu.
Použití ASIM
Použijte dotazy proaktivního vyhledávání ASIM z GitHubu.
Dotazy ASIM použijte, když používáte KQL na obrazovce protokolu.
Napište vlastní analytická pravidla pomocí ASIM nebo převeďte existující pravidla.
Napište analyzátory pro vlastní zdroje, aby byly kompatibilní s ASIM a zúčastnily se integrované analýzy.
Část 3: Vytvoření obsahu
Co je obsah Microsoft Sentinelu?
Hodnota zabezpečení Microsoft Sentinelu je kombinací jejích integrovaných funkcí a možností vytvářet vlastní funkce a přizpůsobovat předdefinované možnosti. Mezi integrované funkce patří analýza chování uživatelů a entit (UEBA), strojové učení nebo předem definovaná analytická pravidla. Přizpůsobené funkce se často označují jako "obsah" a zahrnují analytická pravidla, dotazy proaktivního vyhledávání, sešity, playbooky atd.
V této části jsme seskupili moduly, které vám pomůžou naučit se vytvářet takový obsah nebo upravovat předdefinovaný obsah podle vašich potřeb. Začneme s KQL, lingua franca služby Azure Microsoft Sentinel. Následující moduly diskutují o jednom z stavebních bloků obsahu, jako jsou pravidla, playbooky a sešity. Zahrnou se do diskuze o případech použití, které zahrnují prvky různých typů, které řeší konkrétní cíle zabezpečení, jako je detekce hrozeb, proaktivní vyhledávání nebo zásady správného řízení.
Modul 10: dotazovací jazyk Kusto
Většina funkcí Microsoft Sentinelu používá dotazovací jazyk Kusto (KQL). Při hledání v protokolech, psaní pravidel, vytváření dotazů proaktivního vyhledávání nebo návrhových sešitů použijete KQL.
Další část věnovaná psaní pravidel vysvětluje, jak používat jazyk KQL v konkrétním kontextu pravidel SIEM.
Doporučená cesta k učení KQL pro Microsoft Sentinel
Kurz Pluralsight KQL: Poskytuje základy
Must Learn KQL: 20dílná série KQL, která vás provede základy vytvoření prvního analytického pravidla (včetně posouzení a certifikátu)
Microsoft Sentinel KQL Lab: Interaktivní testovací prostředí, které učí KQL se zaměřením na to, co potřebujete pro Microsoft Sentinel:
- modul Učení (SC-200 část 4)
- Adresa URL prezentace nebo testovacího prostředí
- Verze poznámkových bloků Jupyter, která umožňuje testovat dotazy v poznámkovém bloku
- webinář Učení: YouTube nebo MP4
- Webinář o řešeních v testovacím prostředí: YouTube nebo MP4
Webinář Optimalizace výkonu dotazů KQL služby Azure Sentinel: YouTube, MP4 nebo prezentace
Používání ASIM v dotazech KQL: YouTube nebo prezentace
Webinář "KQL framework for Microsoft Sentinel: Posílení toho, abyste se stali kQL-savvy" webinář: YouTube nebo prezentace
Když se seznámíte s KQL, můžou být užitečné i následující odkazy:
Modul 11: Analýza
Psaní naplánovaných analytických pravidel
S Microsoft Sentinelem můžete použít předdefinované šablony pravidel, přizpůsobit šablony pro vaše prostředí nebo vytvořit vlastní pravidla. Jádrem pravidel je dotaz KQL; Existuje však mnohem více, než je možné nakonfigurovat v pravidle.
Informace o postupu vytváření pravidel najdete v tématu Vytvoření vlastních analytických pravidel pro detekci hrozeb. Pokud chcete zjistit, jak psát pravidla (to znamená, co by mělo jít do pravidla, zaměřit se na KQL pro pravidla), podívejte se na webinář: YouTube, MP4 nebo prezentace.
Analytická pravidla SIEM mají specifické vzory. Naučte se implementovat pravidla a psát KQL pro tyto vzory:
Pravidla korelace: Zobrazení seznamů a operátoru in nebo použití operátoru join
Agregace: Zobrazení seznamů a operátoru "in" nebo pokročilejšího zpracování posuvných oken
Vyhledávání: Pravidelné nebo přibližné, částečné a kombinované vyhledávání
Zpracování falešně pozitivních výsledků
Zpožděné události: Fakt života v libovolném SYSTÉMU SIEM a je těžké se vypořádat. Microsoft Sentinel vám může pomoct zmírnit zpoždění ve vašich pravidlech.
Funkce KQL používejte jako stavební bloky: Obohacení událostí Zabezpečení Windows pomocí parametrizovaných funkcí.
Blogový příspěvek "Vyšetřování objektů blob a úložiště souborů" obsahuje podrobný příklad zápisu užitečného analytického pravidla.
Použití předdefinovaných analýz
Než začnete psát vlastní pravidlo, zvažte využití integrovaných analytických možností. Nevyžadují od vás mnoho, ale stojí za to se o nich dozvědět:
Použijte předdefinované šablony naplánovaných pravidel. Tyto šablony můžete vyladit tak, že je upravíte stejným způsobem, jak upravit jakékoli naplánované pravidlo. Nezapomeňte nasadit šablony pro datové konektory, které připojíte, které jsou uvedené na kartě Další kroky datového konektoru.
Přečtěte si další informace o možnostech strojového učení microsoft Sentinelu: YouTube, MP4 nebo prezentace.
Získejte seznam pokročilých a vícefázových detekcí útoků Microsoft Sentinelu (Fusion), které jsou ve výchozím nastavení povolené.
Prohlédněte si webinář "Detekce fúzního strojového učení s naplánovanými analytickými pravidly": YouTube, MP4 nebo prezentace.
Přečtěte si další informace o integrovaných anomáliích strojového učení SOC v Microsoft Sentinelu.
Podívejte se na webinář Přizpůsobené anomálie strojového učení SOC a jejich použití: YouTube, MP4 nebo prezentace.
Podívejte se na webinář "Detekce fúzního strojového učení pro vznikající hrozby a uživatelské rozhraní konfigurace": YouTube nebo prezentace.
Modul 12: Implementace SOAR
V moderních prostředích SIEM, jako je Microsoft Sentinel, soAR tvoří celý proces od okamžiku, kdy se incident aktivuje, dokud se nevyřeší. Tento proces začíná vyšetřováním incidentu a pokračuje automatizovanou reakcí. Blogový příspěvek "Jak používat Microsoft Sentinel pro reakce na incidenty, orchestraci a automatizaci" poskytuje přehled běžných případů použití pro SOAR.
Pravidla automatizace jsou výchozím bodem pro automatizaci Microsoft Sentinelu. Poskytují jednoduchou metodu centralizovaného, automatizovaného zpracování incidentů, včetně potlačení, falešně pozitivního zpracování a automatického přiřazení.
K zajištění robustních možností automatizace založených na pracovních postupech používají pravidla automatizace playbooky Logic Apps. Další informace najdete v tématech:
Podívejte se na webinář "Uvolnění automatizovaných triků Jedi a vytvoření playbooků Logic Apps, jako je šéf": YouTube, MP4 nebo prezentace.
Přečtěte si o Logic Apps, což je základní technologie, která řídí playbooky Microsoft Sentinelu.
Viz konektor Microsoft Sentinel Logic Apps, propojení mezi Logic Apps a Microsoft Sentinelem.
Najděte desítky užitečných playbooků ve složce Playbooky na webu GitHubu microsoft Sentinelu nebo si playbook přečtěte pomocí seznamu ke zhlédnutí a informujte vlastníka předplatného o upozornění pro názorný postup playbooku.
Modul 13: Sešity, vytváření sestav a vizualizace
Workbooks
Vzhledem k tomu, že centrum nervů vašeho SOC vyžaduje Microsoft Sentinel pro vizualizaci informací, které shromažďuje a vytváří. Pomocí sešitů můžete vizualizovat data v Microsoft Sentinelu.
Pokud chcete zjistit, jak vytvářet sešity, přečtěte si dokumentaci k Azure Workbooks nebo se podívejte na školení k Sešitům Billy Yorku (a doprovodný text).
Uvedené prostředky nejsou specifické pro Microsoft Sentinel. Obecně platí pro sešity. Další informace o sešitech v Microsoft Sentinelu najdete na webináři: YouTube, MP4 nebo prezentace. Přečtěte si dokumentaci.
Sešity můžou být interaktivní a umožňují mnohem víc než jenom grafování. Pomocí sešitů můžete vytvářet aplikace nebo moduly rozšíření pro Microsoft Sentinel, které doplňují její integrované funkce. Sešity můžete použít také k rozšíření funkcí Služby Microsoft Sentinel. Tady je několik příkladů takových aplikací:
Sešit šetření Přehledy nabízí alternativní přístup k vyšetřování incidentů.
Vizualizace grafů externích spolupráce v Teams umožňuje proaktivní vyhledávání rizikových použití Teams.
Sešit cestovní mapy uživatelů umožňuje prozkoumat výstrahy geografického umístění.
Průvodce implementací sešitu nezabezpečených protokolů Microsoft Sentinelu, nedávnými vylepšeními a videem s přehledem) vám pomůže identifikovat použití nezabezpečených protokolů ve vaší síti.
Nakonec se dozvíte, jak integrovat informace z libovolného zdroje pomocí volání rozhraní API v sešitu.
Desítky sešitů najdete ve složce Sešity na GitHubu pro Microsoft Sentinel. Některé z nich jsou k dispozici také v galerii sešitů Microsoft Sentinelu.
Vytváření sestav a další možnosti vizualizace
Sešity můžou sloužit k vytváření sestav. Pro pokročilejší možnosti vytváření sestav, jako jsou plánování sestav a distribuce nebo kontingenční tabulky, můžete použít:
Power BI, který se nativně integruje s protokoly služby Azure Monitor a Službou Microsoft Sentinel.
Excel, který může jako zdroj dat používat protokoly Služby Azure Monitor a Microsoft Sentinel, a zobrazit video Integrace protokolů služby Azure Monitor a Excelu se službou Azure Monitor.
Poznámkové bloky Jupyter, téma, které je popsáno později v modulu proaktivního vyhledávání, jsou také skvělým nástrojem pro vizualizaci.
Modul 14: Poznámkové bloky
Poznámkové bloky Jupyter jsou plně integrované s Microsoft Sentinelem. Ačkoli se považoval za důležitý nástroj v hrudi lovce nástrojů a probírali webináře v části lovu, jejich hodnota je mnohem širší. Poznámkové bloky můžou sloužit pro pokročilou vizualizaci, jako průvodce šetřením a pro sofistikovanou automatizaci.
Pokud chcete lépe pochopit poznámkové bloky, podívejte se na video Úvod do poznámkových bloků. Začněte používat webinář o poznámkových blocích (YouTube, MP4 nebo prezentaci) nebo si přečtěte dokumentaci. Série Poznámkové bloky Ninja pro Microsoft Sentinel je průběžná školicí série, která vás v poznámkových blocích vytrénuje.
Důležitou součástí integrace je MSTICPy, což je knihovna Pythonu vyvinutá naším výzkumným týmem, která se má používat s poznámkovými bloky Jupyter. Do poznámkových bloků přidává rozhraní Microsoft Sentinelu a sofistikované funkce zabezpečení.
Modul 15: Případy použití a řešení
Pomocí konektorů, pravidel, playbooků a sešitů můžete implementovat případy použití, což je termín SIEM pro balíček obsahu, který má detekovat hrozbu a reagovat na ni. Předdefinované případy použití služby Microsoft Sentinel můžete nasadit aktivací navrhovaných pravidel při připojování jednotlivých konektorů. Řešení je skupina případů použití, které řeší konkrétní doménu hrozeb.
Webinář "Řešení identity" (YouTube, MP4 nebo prezentace) vysvětluje, co je případ použití a jak přistupovat k jeho návrhu, a představuje několik případů použití, které souhrnně řeší hrozby identity.
Další relevantní oblastí řešení je ochrana práce na dálku. Podívejte se na naši relaci Konference Ignite o ochraně práce na dálku a přečtěte si další informace o následujících konkrétních případech použití:
Případy použití proaktivního vyhledávání v Microsoft Teams a vizualizace graphu externích spolupráce v Microsoft Teams
Monitorování zoomu pomocí Microsoft Sentinelu: vlastní konektory, analytická pravidla a dotazy proaktivního vyhledávání
Monitorování služby Azure Virtual Desktop pomocí Služby Microsoft Sentinel: k detekci a vyhledávání hrozeb služby Azure Virtual Desktop použijte protokoly Zabezpečení Windows, protokoly přihlašování Microsoft Entra, protokoly XDR v programu Microsoft Defender pro koncové body a diagnostické protokoly služby Azure Virtual Desktop.
Monitorujte Microsoft Intune pomocí dotazů a sešitů.
A nakonec se zaměřením na nedávné útoky zjistěte, jak monitorovat softwarový dodavatelský řetězec pomocí služby Microsoft Sentinel.
Řešení Microsoft Sentinel poskytují zjistitelnost v produktech, jednostupňové nasazení a povolení kompletního produktu, domény a/nebo vertikálních scénářů v Microsoft Sentinelu. Další informace najdete v tématu O obsahu a řešeních Microsoft Sentinelu a podívejte se na webinář "Vytvoření vlastních řešení Microsoft Sentinelu": YouTube nebo prezentace.
Část 4: Provoz
Modul 16: Zpracování incidentů
Po sestavení SOC ho musíte začít používat. Webinář "den v životě analytika SOC" (YouTube, MP4 nebo prezentace) vás provede používáním Služby Microsoft Sentinel v SOC ke třídění, vyšetřování a reagování na incidenty.
Pokud chcete svým týmům umožnit bezproblémovou spolupráci v celé organizaci a s externími účastníky, přečtěte si téma Integrace s Microsoft Teams přímo z Microsoft Sentinelu. A podívejte se na webinář "Snížení MTTR SOC (Střední doba reakce) integrací Microsoft Sentinelu s Microsoft Teams" .
Můžete si také přečíst článek dokumentace o vyšetřování incidentů. V rámci šetření také použijete stránky entit k získání dalších informací o entitách souvisejících s vaším incidentem nebo identifikovaných jako součást vyšetřování.
Vyšetřování incidentů v Microsoft Sentinelu přesahuje základní funkce vyšetřování incidentů. Pomocí sešitů a poznámkových bloků můžete vytvářet další nástroje pro šetření. Poznámkové bloky jsou popsány v další části Modul 17: Proaktivní vyhledávání. Můžete také vytvořit další nástroje pro šetření nebo upravit stávající nástroje podle vašich konkrétních potřeb. Příkladem může být:
Sešit šetření Přehledy nabízí alternativní přístup k vyšetřování incidentů.
Poznámkové bloky vylepšují prostředí pro šetření. Přečtěte si, proč používat Jupyter pro vyšetřování zabezpečení? a zjistěte, jak prozkoumat pomocí microsoft Sentinelu a poznámkových bloků Jupyter:
Modul 17: Proaktivní vyhledávání
I když se většina dosud diskuzí zaměřila na detekci a řízení incidentů, proaktivní vyhledávání je dalším důležitým případem použití pro Microsoft Sentinel. Proaktivní vyhledávání hrozeb je proaktivní vyhledávání, nikoli reaktivní reakce na výstrahy .
Řídicí panel proaktivního vyhledávání se neustále aktualizuje. Zobrazí všechny dotazy napsané týmem Microsoftu analytiků zabezpečení a všechny další dotazy, které jste vytvořili nebo upravili. Každý dotaz poskytuje popis toho, co je proaktivní vyhledávání a na jakém typu dat běží. Tyto šablony jsou seskupené podle různých taktik. Ikony vpravo kategorizují typ hrozby, jako je počáteční přístup, trvalost a exfiltrace. Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu.
Pokud chcete získat další informace o tom, co je proaktivní vyhledávání a jak ho Microsoft Sentinel podporuje, podívejte se na úvodní webinář "Proaktivní vyhledávání hrozeb": YouTube, MP4 nebo prezentace. Webinář začíná aktualizací nových funkcí. Pokud se chcete dozvědět o proaktivním vyhledávání, začněte na snímku 12. Video z YouTube je už nastavené tak, aby tam začalo.
I když se úvodní webinář zaměřuje na nástroje, proaktivní vyhledávání je všechno o zabezpečení. Náš webinář týmu pro výzkum zabezpečení (YouTube, MP4 nebo prezentace) se zaměřuje na to, jak skutečně lovit.
Následný webinář "Proaktivní vyhledávání hrozeb AWS pomocí Microsoft Sentinelu" (YouTube, MP4 nebo prezentace) ukazuje bod tím, že ukazuje kompletní scénář proaktivního vyhledávání v cílovém prostředí s vysokou hodnotou.
Nakonec se dozvíte, jak provádět proaktivní vyhledávání v systému SolarWinds po ohrožení zabezpečení pomocí Microsoft Sentinelu a proaktivního vyhledávání webShellu, které jsou motivované nejnovějšími chybami zabezpečení na místních serverech Microsoft Exchange.
Modul 18: Analýza chování uživatelů a entit (UEBA)
Nově zavedený modul Microsoft Sentinel User and Entity Behavior Analytics (UEBA) umožňuje identifikovat a prošetřit hrozby ve vaší organizaci a jejich potenciální dopad, ať už pocházejí z ohrožené entity nebo škodlivého insidera.
Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) napříč časovým horizontem a horizontem partnerské skupiny. Prostřednictvím různých technik a možností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli je prostředek ohrožen. Nejen to, ale může také zjistit relativní citlivost konkrétních prostředků, identifikovat partnerské skupiny prostředků a vyhodnotit potenciální dopad jakéhokoli ohroženého prostředku (jeho "poloměr výbuchu"). S těmito informacemi můžete efektivně určit prioritu vyšetřování a zpracování incidentů.
Další informace o UEBA najdete na webináři (YouTube, MP4 nebo prezentaci) a přečtěte si o používání UEBA pro vyšetřování v SOC.
Pokud se chcete dozvědět o nejnovějších aktualizacích, podívejte se na webinář "Future of Users Entity Behavioral Analytics in Microsoft Sentinel" .
Modul 19: Monitorování stavu služby Microsoft Sentinel
Součástí provozu SIEM je zajištění, že funguje hladce a že se vyvíjí v Azure Microsoft Sentinelu. Pomocí následujícího příkazu můžete monitorovat stav služby Microsoft Sentinel:
Změřte efektivitu operací zabezpečení (video).
Tabulka dat služby Microsoft Sentinel Health poskytuje přehled o posunech stavu, jako jsou nejnovější události selhání jednotlivých konektorů nebo konektory se změnami z úspěšných na stavy selhání, které můžete použít k vytváření výstrah a dalších automatizovaných akcí. Další informace najdete v tématu Monitorování stavu datových konektorů. Podívejte se na video "Data Připojení ors Monitorování stavu ing Workbook". A získejte oznámení o anomáliích.
Monitorujte agenty pomocí řešení stavu agentů (jenom Windows) a tabulky prezenčních signálů (Linux a Windows).
Monitorujte pracovní prostor služby Log Analytics: YouTube, MP4 nebo prezentaci, včetně stavu spouštění dotazů a příjmu dat.
Správa nákladů je také důležitým provozním postupem v SOC. Pomocí playbooku Upozornění na náklady na příjem dat zajistěte, abyste vždy věděli o případných nárůstech nákladů.
Část 5: Upřesnit
Modul 20: Rozšíření a integrace pomocí rozhraní API služby Microsoft Sentinel
Microsoft Sentinel je jako nativní cloudový systém SIEM, který je prvním rozhraním API. Každou funkci je možné nakonfigurovat a používat prostřednictvím rozhraní API, což umožňuje snadnou integraci s jinými systémy a rozšíření služby Microsoft Sentinel pomocí vlastního kódu. Pokud vám rozhraní API zastraší, nedělejte si starosti. K dispozici je také vše, co je dostupné pomocí rozhraní API, pomocí PowerShellu.
Další informace o rozhraních API služby Microsoft Sentinel najdete v krátkém úvodním videua přečtěte si blogové příspěvky. Podrobnější informace najdete v webináři o rozšíření a integraci služby Sentinel (API) (YouTube, MP4 nebo prezentace) a přečtěte si blogový příspěvek o rozšíření Microsoft Sentinelu: rozhraní API, integrace a automatizace správy.
Modul 21: Vytvoření vlastního strojového učení
Microsoft Sentinel poskytuje skvělou platformu pro implementaci vlastních algoritmů strojového učení. Označujeme ho jako model strojového učení založený na sestavení nebo BYO ML. BYO ML je určený pro pokročilé uživatele. Pokud hledáte integrovanou analýzu chování, použijte naše pravidla analýzy strojového učení nebo modul UEBA nebo napište vlastní analytická pravidla založená na KQL na základě chování.
Pokud chcete začít s přenesením vlastního strojového učení do Microsoft Sentinelu , podívejte se na video "Build-your-own machine learning model" (Sestavit vlastní model strojového učení) a přečtěte si informace o detekcích vlastních modelů strojového učení v blogovém příspěvku o AI ponořeném do služby Azure Sentinel SIEM . Můžete se také podívat do dokumentace k BYO ML.
Další kroky
- Průvodce nasazením pro Microsoft Sentinel
- Rychlý start: Onboarding do služby Microsoft Sentinel
- Co je nového v Microsoft Sentinelu