Einführung

Abgeschlossen

Microsoft Sentinel Analytics bietet eine intelligente Lösung, mit der Sie potenzielle Bedrohungen und Sicherheitsrisiken in Ihren Organisationen ausmachen können.

Stellen Sie sich vor, Sie arbeiten bei Contoso, Ltd. als Analyst im Security Operations Center (Sicherheitsleitstelle, SOC). Contoso ist ein mittelgroßer Finanzdienstleister in London mit einer Filiale in New York. Contoso setzt mehrere Microsoft-Produkte und -Dienste ein, um Datensicherheit und Bedrohungsschutz für seine Ressourcen zu gewährleisten. Dabei handelt es sich um diese Produkte:

  • Microsoft 365
  • Azure Active Directory (Azure AD)
  • Azure AD Identity Protection
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender für Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso schützt seine Azure- und lokalen Ressourcen durch Nutzung der kostenpflichtigen Version von Microsoft Defender für Cloud vor Bedrohungen. Das Unternehmen überwacht und schützt auch andere nicht von Microsoft stammende Ressourcen. Die Sicherheitsanalysten bei Contoso tragen eine große Verantwortung bei der Selektierung. Sie behandeln eine große Anzahl von Warnungen von mehreren Produkten. Sie korrelieren Warnungen auf folgende Weisen:

  • Manuell über verschiedene Dashboards
  • Mithilfe einer herkömmlichen Korrelations-Engine

Außerdem geht dem SOC-Team durch den Zeitaufwand für das Einrichten und Warten der IT-Infrastruktur wichtige Zeit für sicherheitsrelevante Aufgaben verloren.

Der Leiter der IT-Abteilung ist der Meinung, dass Microsoft Sentinel Analytics den Sicherheitsanalysten helfen kann, komplexe Untersuchungen zu beschleunigen und das Security Operations Center (SOC) zu verbessern. Als leitender Systementwickler und Azure-Administrator von Contoso wurden Sie gebeten, Analyseregeln in Microsoft Sentinel einzurichten, damit das SecOps-Team Angriffe auf die Ressourcen von Contoso erkennen und analysieren kann.

In diesem Modul machen Sie sich mit der Bedeutung von Microsoft Sentinel Analytics vertraut, erstellen und implementieren Analyseregeln anhand vorhandener Vorlagen, definieren neue Regeln und Abfragen mithilfe des Assistenten und verwalten Regeln mit Änderungen.

Am Ende dieses Moduls sind Sie in der Lage, Analyseregeln in Microsoft Sentinel einzurichten, die dem SecOps-Team helfen, Cyberangriffe zu erkennen und abzuwehren.

Lernziele

  • Erläutern der Bedeutung von Microsoft Sentinel Analytics.
  • Erklären verschiedene Arten von Analyseregeln
  • Erstellen von Regeln anhand von Vorlagen
  • Erstellen neuer Analyseregeln und Abfragen mithilfe des Assistenten für Analyseregeln
  • Verwalten von Regeln mit Änderungen

Voraussetzungen

  • Grundkenntnisse zu Azure-Diensten
  • Grundkenntnisse operativer Konzepte, wie z. B. Überwachung, Protokollierung und Warnungen
  • Azure-Abonnement
  • Eine Microsoft Sentinel-Instanz in Ihrem Azure-Abonnement

Hinweis

Wenn Sie sich entscheiden, die Übung in diesem Modul durchzuführen, bedenken Sie, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise.