Co je Analýza Microsoft Sentinelu?
Microsoft Sentinel Analytics pomáhá zjišťovat, zkoumat a opravovat hrozby kybernetické bezpečnosti. Tým SOC společnosti Contoso může pomocí Analýzy Microsoft Sentinelu nastavit analytická pravidla a dotazy k detekci problémů ve vašem prostředí.
Co je Analýza Microsoft Sentinelu?
Microsoft Sentinel Analytics poskytuje několik funkcí, které můžete použít k implementaci zabezpečení dat a prostředků ve společnosti Contoso.
Můžete analyzovat historická data shromážděná z pracovních stanic, serverů, síťových zařízení, firewallů, nástrojů pro prevenci vniknutí, senzorů atd. Microsoft Sentinel Analytics analyzuje data z různých zdrojů za účelem identifikace korelací a anomálií.
Prostřednictvím analytických pravidel můžete aktivovat výstrahy vycházející z útočných technik používaných známými škodlivými aktéry. Nastavením těchto pravidel se dá zajistit, že oddělení SOC obdrží včas upozornění na potenciální incidenty zabezpečení v daném prostředí.
Proč používat analytická pravidla pro operace zabezpečení?
I když některé z dalších produktů, které společnost Contoso implementovala, vám můžou pomoct identifikovat hrozby, hraje analýza Microsoft Sentinelu důležitou roli při celkové detekci bezpečnostní hrozby tím, že koreluje a porovnává signály, které ovlivňují přítomnost hrozby kybernetické bezpečnosti. Pomocí správných analytických pravidel můžete získat poznatky o tom, odkud útok přichází, jaké prostředky byly ohroženy, jaká je potenciální ztráta dat a také jak vypadala časová osa incidentu.
Mezi běžné případy použití analytiky zabezpečení patří:
Identifikace ohrožených účtů
Analýza chování uživatelů s cílem detekovat potenciálně podezřelé vzory
Analýza síťových přenosů s cílem najít trendy indikující možné útoky
Detekce exfiltrace dat ze strany útočníků
Detekce interních (insiderských) hrozeb
Prošetřování incidentů
Proaktivní vyhledávání hrozeb
Je možné, že některé hrozby nebudete schopni detekovat pomocí konvenčních ochranných nástrojů, jako jsou firewally nebo antimalwarová řešení. Některé hrozby můžou zůstat nedetekované celé měsíce. Kombinace dat shromažďovaných různými nástroji a produkty a výkonné analýzy hrozeb vám může umožnit detekci, analýzu a zmírnění insiderských hrozeb.
Pomocí analytických pravidel můžete také vytvářet vlastní výstrahy založené na indikátorech útoku. Tyto indikátory můžou identifikovat potenciální probíhající útoky v reálném čase.
Analýzy pomáhají týmu SOC společnosti Contoso zlepšit efektivitu komplexního vyšetřování a rychleji detekovat hrozby.
Seznámení s domovskou stránkou Analýza
Analytická pravidla můžete vytvářet z domovské stránky Analýza. Na stránku Analýza v Microsoft Sentinelu se dostanete z navigačního podokna.
Domovská stránkaAnalýza má tři hlavní části:
Záhlaví obsahuje údaj o počtu aktuálně používaných pravidel.
Seznam pravidel a šablon obsahuje všechny šablony pravidel, které Microsoft předem načte z úložiště GitHub pro Microsoft Sentinel.
Podokno s podrobnostmi obsahuje další informace popisující jednotlivé šablony a pravidla, které můžete použít k detekci.
Filtrování šablon pravidel
Microsoft v současné době předem načítá více než 150 pravidel šablon z úložiště GitHub pro Microsoft Sentinel. Pokud chcete v těchto šablonách hledat a získat přístup k odpovídajícímu pravidlu, je nutné použít filtry. Například můžete chtít procházet jen šablony pravidel, které zjišťují hrozby s vysokou úrovní závažnosti, nebo pravidla z konkrétních zdrojů dat.
V záhlaví vyberte ty filtry, které chcete použít.
Domovská stránka Analýza nabízí následující filtry:
Závažnost: Filtruje pravidla podle úrovně závažnosti.
Typ pravidla: V současné době existují čtyři typy pravidel: Scheduled, Fusion, Microsoft Security, Machine Učení Behavior Analytics.
Taktika: Slouží k filtrování pravidel na základě 14 specifických metodologií v modelu ATT&CK.
Zdroje dat: Filtruje pravidla podle konektoru zdroje dat, který výstrahu generuje.
Poznámka:
MITRE ATT&CK je globálně přístupná znalostní báze nežádoucí taktiky a technik založených na skutečných pozorováních. ATT&CK znalostní báze slouží jako základ pro vývoj konkrétních modelů hrozeb a metodologií v privátním sektoru, ve státní správě a v komunitě produktů a služeb kybernetické bezpečnosti.