Uhkien tunnistamisen ja lieventämisominaisuuksien kuvaaminen Microsoft Sentinelissä

  • 7 minuuttia

Organisaation verkon suojauksen tehokas hallinta edellyttää työkalujen ja järjestelmien oikeaa yhdistelmää. Microsoft Sentinel on skaalattava, pilvipohjainen SIEM/SOAR-ratkaisu, joka tarjoaa älykkäitä suojausanalytiikka- ja uhkatietoja koko yrityksessä. Se tarjoaa yhden ratkaisun kyberuhkien tunnistamiseen, tutkimiseen, reagointiin ja ennakoivaan metsästykseen lintujen näköhavainnon avulla koko yrityksessä.

Kaavio, joka näyttää Microsoft Sentinelin neljä osa-alueen: kerää, tunnista, tutki ja vastaa.

Tässä kaaviossa esitetään Microsoft Sentinelin päästä päähän -toiminto.

  • Kerää tietoja pilvipalvelussa kaikkien käyttäjien, laitteiden, sovellusten ja infrastruktuurin osalta sekä paikallisesti että useissa pilvipalveluissa.
  • Tunnista aiemmin paljastuneet uhat ja minimoi väärät positiiviset tiedot analytiikan ja vertaansa vailla olevan uhkatiedon avulla.
  • Tutki uhkia tekoälyn (AI) avulla ja metsästä epäilyttäviä toimia suuressa mittakaavassa hyödyntäen vuosikymmeniä jatkunutta kyberturvallisuustyötä Microsoftilla.
  • Vastaa tapauksiin nopeasti yleisten suojaustehtävien sisäänrakennetulla orkestroinnilla ja automatisoinnilla.

Microsoft Sentinel auttaa ottamaan käyttöön päästä päähän -suojaustoimintoja modernissa Security Operations Centerissä (SOC).

Tietojen kerääminen mittakaavassa

Kerää tietoja kaikista käyttäjistä, laitteista, sovelluksista ja infrastruktuurista sekä paikallisesti että useissa pilvipalveluissa. Seuraavat ovat Microsoft Sentinelin tärkeimpiä ominaisuuksia tietojen keräämiseksi.

  • Valmiit tietoliittimet : Monet liittimet on pakattu SIEM-ratkaisuihin Microsoft Sentineliä varten ja mahdollistavat reaaliaikaisen integroinnin. Nämä liittimet sisältävät Microsoftin lähteitä ja Azure-lähteitä, kuten Microsoft Entra -tunnuksen, Azure Activityn, Azure-tallennuksen ja paljon muuta.

    Valmiit liittimet ovat myös saatavilla laajemmalle tietoturva- ja sovellusekosysteemille muille kuin Microsoftin ratkaisuille. Voit myös käyttää yleistä tapahtumamuotoa, Syslogia tai REST-API tietolähteiden yhdistämiseen Microsoft Sentineliin.

  • Mukautetut liittimet – Microsoft Sentinel tukee joidenkin lähteiden tietojen käsittelyä ilman erillistä liitintä. Jos et pysty yhdistämään tietolähdettäsi Microsoft Sentineliin olemassa olevalla ratkaisulla, voit luoda oman tietolähdeliittimen.

  • Tietojen normalisointi – Microsoft Sentinel käyttää tietoja useista lähteistä. Erityyppisten tietojen käsitteleminen ja korrelointi tutkimuksen aikana ja metsästys voi olla haastavaa. Microsoft Sentinel tukee asim-mallia,joka sijaitsee näiden erilaisten lähteiden ja käyttäjän välissä, yhtenäisen, normalisoidun näkymän mahdollistamiseksi.

Uhkien havaitseminen

Tunnista aiemmin havaitsemattomat uhat ja minimoi väärät positiiviset tiedot Microsoftin analytiikan ja vertaansa vailla olevan uhkatiedon avulla. Seuraavat ovat Microsoft Sentinelin tärkeimpiä uhkien tunnistamisen ominaisuuksia.

  • Analytics – Microsoft Sentinel käyttää analytiikkaa ilmoitusten ryhmittelemiseen tapauksiin. Käytä valmiita analytiikkasääntöjä as-istai aloituspisteenä omien sääntöjen luomiseen. Microsoft Sentinel tarjoaa myös sääntöjä, joiden avulla voit yhdistää verkkosi toiminnan ja etsiä sitten poikkeamia resursseistasi.

  • MITRE ATT&CK -kattavuus – Microsoft Sentinel analysoi käytettyjä tietoja, ei vain uhkien havaitsemiseksi ja tutkimisen auttamiseksi, vaan myös visualisoidakseen organisaatiosi suojaustilan luonteen ja kattavuuden MITRE ATT&CK® -kehyksen taktiikoiden ja tekniikoiden perusteella. Se on vastakkaisten taktiikoiden ja tekniikoiden maailmanlaajuinen tietokanta.

  • Uhkatiedot : voit integroida useita uhkatietojen lähteitä Microsoft Sentineliin, jotta voit tunnistaa haitallisen toiminnan ympäristössäsi ja tarjota kontekstia tietoturvatutkijoille tietoon perustuvia vastauspäätöksiä varten.

  • Katseluluettelot : Voit korreloida antamiasi tietolähteitä, katseluluetteloa ja Microsoft Sentinel -ympäristösi tapahtumia. Voit esimerkiksi luoda katseluluettelon, joka sisältää luettelon arvokkaista resursseista, irtisanoutuneiden työntekijöiden tai palvelutilien ympäristöstäsi. Käytä katseluluetteloita haku-, tunnistussäännöissä, uhkien metsästyksessä ja vastausten käsikirjoissa.

  • Työkirjat : voit luoda vuorovaikutteisia visuaalisia raportteja työkirjojen avulla. Kun olet yhdistäneet tietolähteet Microsoft Sentineliin, voit valvoa tietoja Käyttämällä Microsoft Sentinel -integrointia Azure Monitor -työkirjoihin. Microsoft Sentinelin mukana toimitetaan valmiita työkirjamalleja, joiden avulla voit nopeasti saada merkityksellisiä tietoja tiedoistasi. Voit myös luoda omia mukautettuja työkirjoja.

Uhkien tutkiminen

Tutki uhkia tekoälyn avulla ja etsi epäilyttäviä toimia suuressa mittakaavassa ja hyödynnä vuosien kyberturvallisuustyötä Microsoftilla. Seuraavat ovat Microsoft Sentinelin tärkeimpiä ominaisuuksia uhkatutkimusta varten.

  • Tapaukset – tapaukset ovat tapaustiedostoja, jotka sisältävät koosteen kaikista asiaankuuluvista todisteista tiettyä tutkimusta varten. Jokainen tapaus luodaan (tai lisätään kohteeseen) sellaisten todisteiden (hälytysten) perusteella, jotka on joko luotu analytiikkasäännöillä tai tuotu kolmannen osapuolen suojaustuotteista, jotka tuottavat omat ilmoituksensa. Tapahtuman tietosivu sisältää tieto- ja tutkintatyökaluja, joiden avulla voit ymmärtää mahdollisen tietoturvauhan laajuuden ja selvittää sen perimmäisen syyn.

  • Metsästykset – Microsoft Sentinelin tehokkaat MITRE-kehyksiin perustuvat tehokkaat haku- ja kyselytyökalut mahdollistavat tietoturvauhkien ennakoivan metsästyksen organisaatiosi tietolähteissä ennen ilmoituksen käynnistymistä. Kun olet selvillä, mikä metsästyskysely tarjoaa arvokkaita tietoja mahdollisista hyökkäyksistä, voit myös luoda kyselyösi perustuvia mukautettuja tunnistussääntöjä ja näyttää nämä merkitykselliset tiedot hälytyksinä suojaustapauksiin vastaajille.

  • Notebooks – Microsoft Sentinel tukee Jupyter-muistikirjoja Azuren automaattianalyysipalveluissa. Jupyter-muistikirjat ovat avoimen lähdekoodin verkkosovellus, jonka avulla käyttäjät voivat luoda ja jakaa asiakirjoja, jotka sisältävät reaaliaikaista koodia, yhtälöitä, visualisointeja ja selostustekstiä.

    Microsoft Sentinel -muistikirjojen avulla voit laajentaa Microsoft Sentinel -tietojen käyttömahdollisuuksia. Esimerkkejä:

    • Suorita analytiikkaa, jota ei ole sisäänrakennettu Microsoft Sentineliin, kuten joitakin Python-koneoppimisominaisuuksia.
    • Luo tietojen visualisointeja, joita ei ole rakennettu Microsoft Sentineliin, kuten mukautetut aikajanat ja puut.
    • Integroi Microsoft Sentinelin ulkopuolella olevat tietolähteet, kuten paikallinen tietojoukko.

Reagoi tapauksiin nopeasti

Microsoft Sentinelin avulla voit automatisoida yleisiä tehtäviä ja yksinkertaistaa suojauksen orkestrointia azure-palveluihin ja aiemmin luotuihin työkaluihin integroitujen käsikirjojen avulla, jotta voit reagoida tapauksiin entistä nopeammin.

Seuraavat ovat Microsoft Sentinelin tärkeimpiä uhkiin vastaamisen ominaisuuksia.

  • Automaatiosäännöt : Hallitse keskitetysti tapaustenkäsittelyn automatisointia Microsoft Sentinelissä määrittämällä ja koordinoimalla pientä sääntöjoukkoa, joka kattaa eri skenaariot.

  • Playbooks : Automatisoi ja järjestä uhkavastauksesi käyttämällä käsikirjoja, jotka ovat kokoelma korjaustoimia. Suorita käsikirja pyynnöstä tai automaattisesti vastauksena tiettyihin hälytyksiin tai tapauksiin, kun automaatiosääntö käynnistää sen.

    Microsoft Sentinel -käsikirjat perustuvat Azure Logic Appsissa luotuihin työnkulkuihin. Jos käytät esimerkiksi ServiceNow-lippujärjestelmää, automatisoi työnkulut Azure Logic Appsin avulla ja avaa palvelupyyntö ServiceNow-palvelussa aina, kun luodaan tietty ilmoitus tai tapaus.

Ota käyttöön pakkauksen ulkopuoliset suojaussisällöt

Microsoft Sentinel -sisältö viittaa suojaustietojen ja tapahtumien hallinnan (SIEM) ratkaisukomponentteihin, joiden avulla asiakkaat voivat käsitellä tietoja, valvoa, valvoa, metsästää, tutkia, vastata ja muodostaa yhteyden eri tuotteisiin, ympäristöihin ja palveluihin. Microsoft Sentinel -sisältö voi sisältää sisältötyyppejä, kuten tietoliittimiä, työkirjoja, analytiikkasääntöjä, kyselyjen metsästystä, muistikirjoja, katseluluetteloita ja käsikirjoja.

Microsoft Sentinel tarjoaa näitä sisältötyyppejä ratkaisuina ja erillisinä tietoyksiköinä. Ratkaisut ovat Microsoft Sentinel -sisällön tai Microsoft Sentinel -ohjelmointirajapinnan integrointeja, jotka täyttävät Microsoft Sentinelissä päästä päähän -tuotteen, -toimialueen tai toimialan vertikaalisen skenaarion. Sekä ratkaisut että erilliset kohteet ovat löydettävissä ja niitä hallitaan sisältökeskuksesta.

Microsoft Sentinel -sisältökeskus on keskitetty sijaintisi, jossa voit löytää ja hallita valmiita (valmiita) pakattuja ratkaisuja. Microsoft Sentinel -ratkaisut ovat Microsoft Sentinel -sisältöpaketteja tai Microsoft Sentinel -ohjelmointirajapinnan integrointeja, jotka mahdollistavat yksivaiheisen käyttöönoton ja käyttöönoton. Sisältökeskusratkaisut, jotka täyttävät Microsoft Sentinelin päästä päähän -tuotteen, -toimialueen tai alan pystysuuntaisen skenaarion. Esimerkki toimialuekohtaisista valmiista on Microsoft Purview Insider Risk Management, joka sisältää tietoliittimen, työkirjan, analytiikkasäännöt, hakukyselyt ja käsikirjan.

Näyttökuva Microsoft Sentinel -sisältökeskuksesta.

Microsoft Sentinel Microsoft Defender -portaalissa

Microsoft Sentinel on suojauspalvelu, joka on otettu käyttöön Azure-portaalin kautta. Kun Microsoft Sentinel -palvelu on käytössä, voit käyttää sitä Azure-portaalin kautta tai Microsoft Defender -portaalin Microsoft Unified Security Operations -alustasta.

Microsoft Defender -portaalin microsoft unified security operations -ympäristö tuo yhteen Microsoft Sentinelin, Microsoft Defender XDR:n ja Microsoft Copilotin täydet ominaisuudet.

Kun otat Microsoft Sentinelin käyttöön Defender-portaalissa, yhdistät Microsoft Defender XDR:n ominaisuuksia, kuten tapaustenhallintaa ja edistynyttä metsästystä. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin.

Yksityiskohtaiset tiedot Microsoft Sentinel -käyttökokemuksesta Microsoft Defender -portaalissa ja käyttöönottoon löytyvät tämän moduulin yhteenveto- ja resurssiosiosta.