Úvod
Microsoft Sentinel Analytics poskytuje inteligentní řešení, které můžete použít k detekci potenciálních hrozeb a ohrožení zabezpečení ve vaší organizaci.
Představte si, že pracujete jako analytik služby Security Operations Center (SOC) ve společnosti Contoso, Ltd. Contoso je středně velké finanční služby v Londýně s pobočkou v New Yorku. K implementaci zabezpečení dat a ochrany před hrozbami pro své prostředky využívá několik produktů a služeb od Microsoftu. Jde o tyto produkty:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- System Center Endpoint Protection
- Microsoft Azure Information Protection
Společnost Contoso poskytuje ochranu před hrozbami pro své prostředky založené na Azure a místních prostředcích pomocí placené verze Microsoft Defenderu pro cloud. Společnost také monitoruje a chrání další prostředky od jiných výrobců než Microsoftu. Analytici zabezpečení ve firmě Contoso se potýkají s velkým množstvím případů, které musí třídit a vyhodnocovat. Dostávají velké množství výstrah z více produktů. Tyto výstrahy korelují následujícími způsoby:
- Ručně z řídicích panelů různých projektů
- Pomocí tradičního korelačního modulu
Úsilí věnované instalaci a údržbě IT infrastruktury navíc odvádí tým SOC od jeho úkolů v oblasti zabezpečení.
Ředitel IT se domnívá, že analýza Microsoft Sentinelu pomůže analytikům zabezpečení rychleji provádět složitá šetření a zlepšit své centrum Zabezpečení Operations Center (SOC). Jako vedoucí systémový inženýr a správce Azure společnosti Contoso jste byli požádáni o nastavení analytických pravidel v Microsoft Sentinelu, aby tým SecOps mohl identifikovat a analyzovat útoky na prostředky společnosti Contoso.
V tomto modulu porozumíte důležitosti používání analýz Microsoft Sentinelu, vytváření a implementaci analytických pravidel z existujících šablon, vytváření nových pravidel a dotazů pomocí průvodce a správě pravidel s úpravami.
Na konci tohoto modulu budete umět nastavit analytická pravidla v Microsoft Sentinelu, která týmu SecOps pomohou identifikovat a zastavit kybernetické útoky.
Cíle výuky
- Vysvětlete důležitost analýz Microsoft Sentinelu.
- Vysvětlení různých typů analytických pravidel
- Vytváření pravidel ze šablon
- Vytváření nových analytických pravidel a dotazů pomocí průvodce analytickými pravidly
- Správa pravidel se změnami
Předpoklady
- Základní znalost služeb Azure
- Základní znalost provozních konceptů, jako je monitorování, protokolování a výstrahy
- Předplatné Azure
- Instance Microsoft Sentinelu ve vašem předplatném Azure
Poznámka:
Upozorňujeme, že pokud se rozhodnete provádět cvičení v tomto modulu, můžou vám v předplatném Azure nabíhat poplatky. Odhad nákladů najdete na stránce s cenami služby Microsoft Sentinel.