Užitečné zdroje informací pro práci s Microsoft Sentinelem

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoftu.

Tento článek obsahuje zdroje informací, které vám pomůžou získat další informace o práci se službou Microsoft Sentinel.

Další informace o vytváření dotazů

Microsoft Sentinel používá k vytváření dotazů dotazovací jazyk Kusto Log Analytics služby Azure Monitor (KQL). Další informace naleznete v tématu:

Šablony Microsoft Sentinelu pro monitorování dat

Průvodce operacemi zabezpečení Služby Azure Active Directory obsahuje konkrétní pokyny a znalosti o datech, která jsou důležitá k monitorování pro účely zabezpečení v několika provozních oblastech.

V každém článku vyhledejte oddíly s názvem Věci, které chcete monitorovat pro seznamy událostí, na které doporučujeme upozorňovat a prošetřovat je, a také šablony analytických pravidel pro nasazení přímo do Microsoft Sentinelu.

Další informace o vytváření automatizace

Vytvářejte automatizaci v Microsoft Sentinelu pomocí Azure Logic Apps s rostoucí galerií předdefinovaných playbooků.

Další informace najdete v tématu Konektory Azure Logic Apps.

Porovnání playbooků, sešitů a poznámkových bloků

Následující tabulka popisuje rozdíly mezi playbooky, sešity a poznámkovými bloky v Microsoft Sentinelu:

Kategorie Playbooky Workbooks Notebooks
Osoby
  • Technici SOC
  • Analytici všech úrovní
  • Technici SOC
  • Analytici všech úrovní
  • Lovci hrozeb a analytici vrstvy 2/vrstvy-3
  • Vyšetřovatelé incidentů
  • Datoví vědci
  • Výzkumní pracovníci v oblasti zabezpečení
Použití Automatizace jednoduchých opakovatelných úloh:
  • Ingestování externích dat
  • Rozšiřování dat s využitím TI, vyhledávání GeoIP a dalších
  • Šetření
  • Náprava
  • Vizualizace
  • Dotazování dat Microsoft Sentinelu a externích dat
  • Rozšiřování dat pomocí ti, vyhledávání GeoIP a vyhledávání WhoIs a dalších
  • Šetření
  • Vizualizace
  • Vyhledávání
  • Strojové učení a analýzy velkých objemů dat
Výhody
  • Nejlepší pro jednoduché, opakovatelné úkoly
  • Nejsou vyžadovány žádné znalosti kódování.
  • Nejlepší pro zobrazení dat Microsoft Sentinelu na vysoké úrovni
  • Nejsou vyžadovány žádné znalosti kódování.
  • Nejlepší pro složité řetězy opakovatelných úloh
  • Ad hoc, více procedurální kontroly
  • Snadnější pivot s interaktivními funkcemi
  • Bohaté knihovny Pythonu pro manipulaci s daty a vizualizací
  • Strojové učení a vlastní analýza
  • Snadné zdokumentování a sdílení důkazů analýzy
Problémy
  • Není vhodné pro ad hoc a komplexní řetězy úkolů.
  • Není ideální pro dokumentování a sdílení důkazů
  • Nejde integrovat s externími daty
  • Vysoká křivka učení a vyžaduje kódování znalostí
Další informace Automatizace reakce na hrozby pomocí playbooků v Microsoft Sentinelu Vizualizace shromážděných dat Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb

Komentujte naše blogy a fóra

Rádi slyšíme od našich uživatelů.

V prostoru TechCommunity pro Microsoft Sentinel:

Prostřednictvím našeho programu User Voice můžete také posílat návrhy na vylepšení.

Připojte se ke komunitě Microsoft Sentinelu na GitHubu

Úložiště Microsoft Sentinel GitHub je výkonným prostředkem pro detekci a automatizaci hrozeb.

Naši analytici zabezpečení Microsoftu neustále vytvářejí a přidávají nové sešity, playbooky, dotazy proaktivního vyhledávání a další a publikují je do komunity, abyste je mohli používat ve vašem prostředí.

Stáhněte si ukázkový obsah z úložiště GitHub soukromé komunity a vytvářejte vlastní sešity, dotazy proaktivního vyhledávání, poznámkové bloky a playbooky pro Microsoft Sentinel.

Další kroky