Introduktion
Microsoft Sentinel er ud over at være et SIEM-system (Security Information and Event Management) også en platform til Security Orchestration, Automation og Response (SOAR). Et af dets primære formål er at automatisere eventuelle tilbagevendende og forudsigelige berigelses-, respons- og afhjælpningsopgaver, der er ansvaret for dit Security Operations Center og personale (SOC/SecOps)
Du er Security Operations Analyst, der arbejder i en virksomhed, der har implementeret Microsoft Sentinel i Microsoft Azure. Du forbereder dig på at onboarde Sentinel-arbejdsområder i Microsoft Defender, og du skal forstå eventuelle forskelle med automatiseringsregler og strategiplaner. Du har identificeret en analyseregel, der genererer hændelser, der betragtes som Godartede positive. Du vil gerne implementere automatisering, der automatisk lukker disse hændelser efter generering.
I slutningen af dette modul kan du bruge automatiseringsregler i Microsoft Sentinel i Azure og Defender-portalen til automatiseret hændelsesstyring.
Når du har fuldført dette modul, kan du:
- Forklar automatiseringsindstillinger i Microsoft Sentinel
- Opret automatiseringsregler i Microsoft Sentinel i Azure og Defender-portalen
- Opret strategiplaner i Microsoft Sentinel i Azure og Defender-portalen