A Microsoft Sentinel készségfejlesztő képzése
Ez a cikk végigvezeti egy 400-es szintű képzésen, amely segít a Microsoft Sentinelrel kapcsolatos ismeretek elsajátításában. A képzés 21 önálló modulból áll, amelyek releváns termékdokumentációkat, blogbejegyzéseket és egyéb erőforrásokat tartalmaznak.
Az itt felsorolt modulok a Security Operation Center (SOC) életciklusát követően öt részre vannak felosztva:
- 0. modul: Egyéb tanulási és támogatási lehetőségek
- 1. modul: A Microsoft Sentinel használatának első lépései
- 2. modul: Hogyan használják a Microsoft Sentinelt?
2. rész: Az architálás és üzembe helyezés
- 3. modul: Munkaterület és bérlői architektúra
- 4. modul: Adatgyűjtés
- 5. modul: Naplókezelés
- 6. modul: Bővítés: Fenyegetésfelderítés, figyelőlisták és egyebek
- 7. modul: Naplóátalakítás
- 8. modul: Migrálás
- 9. modul: Speciális SIEM információs modell és normalizálás
- 10. modul: Kusto lekérdezésnyelv
- 11. modul: Elemzés
- 12. modul: A SOAR implementálása
- 13. modul: Munkafüzetek, jelentéskészítés és vizualizáció
- 14. modul: Jegyzetfüzetek
- 15. modul: Használati esetek és megoldások
- 16. modul: Egy nap egy SOC-elemző életében, incidenskezelésében és vizsgálatában
- 17. modul: Vadászat
- 18. modul: Felhasználó és entitás viselkedéselemzése (UEBA)
- 19. modul: A Microsoft Sentinel állapotának monitorozása
- 20. modul: A Microsoft Sentinel API-k kiterjesztése és integrálása
- 21. modul: Saját gépi tanulás létrehozása
1. rész: Áttekintés
0. modul: Egyéb tanulási és támogatási lehetőségek
Ez a készségfejlesztő képzés egy 400-es szintű képzés, amely a Microsoft Sentinel Ninja képzésen alapul. Ha nem szeretne olyan mélyre lépni, vagy egy adott probléma megoldására van szüksége, más erőforrások is megfelelőbbek lehetnek:
- Bár a készségfejlesztő képzés kiterjedt, természetesen egy szkriptet kell követnie, és nem terjedhet ki minden témára. Az egyes cikkekről további információt a hivatkozott dokumentációban talál.
- Mostantól az SC-200: Microsoft Security Operations Analyst minősítéssel is minősítést kaphat, amely a Microsoft Sentinelre vonatkozik. A Microsoft Security csomag szélesebb körű, magasabb szintű nézetéhez érdemes lehet megfontolni az SC-900- t is: a Microsoft biztonsági, megfelelőségi és identitáskezelési alapjait vagy az AZ-500: Microsoft Azure Security Technologiest.
- Ha már jártas a Microsoft Sentinelben, kövesse nyomon az újdonságokat , vagy csatlakozzon a Microsoft Cloud Security Private Community programhoz egy korábbi nézetért a közelgő kiadásokhoz.
- Van egy funkció ötlete, hogy ossza meg velünk? Tudassa velünk a Microsoft Sentinel felhasználói hang oldalán.
- Ön premier ügyfél? Érdemes lehet a helyszíni vagy a távoli, négynapos Microsoft Sentinel Fundamentals Workshopot használni. További részletekért forduljon az ügyfél sikerfiók-kezelőjéhez.
- Van egy konkrét problémája? Kérdezzen (vagy válaszoljon másoknak) a Microsoft Sentinel Tech Community-en. Vagy e-mailben is elküldheti kérdését vagy problémáját nekünk: MicrosoftSentinel@microsoft.com.
1. modul: A Microsoft Sentinel használatának első lépései
A Microsoft Sentinel egy skálázható, natív felhőbeli, biztonsági információs eseménykezelési (SIEM) és biztonsági vezénylési automatizált válaszmegoldás (SOAR). A Microsoft Sentinel biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül. Egyetlen megoldást kínál a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a veszélyforrások elhárítására. További információ: Mi a Microsoft Sentinel?.
Ha első áttekintést szeretne kapni a Microsoft Sentinel technikai képességeiről, a legújabb Ignite-bemutató jó kiindulópont. Hasznos lehet a Microsoft Sentinel rövid útmutatója is (a webhely regisztrációja kötelező).
Részletesebb áttekintést talál ebben a Microsoft Sentinel webináriumban: YouTube, MP4 vagy bemutató.
Végül, ki szeretné próbálni? A Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 vagy bemutató) egyszerű módszert kínál az első lépésekhez. Az első lépések megismeréséhez tekintse át az előkészítési dokumentációt, vagy tekintse meg az Insight Microsoft Sentinel beállítási és konfigurációs videóját.
Tanulás más felhasználóktól
Szervezetek és szolgáltatók ezrei használják a Microsoft Sentinelt. A biztonsági termékekhez hasonlóan a legtöbb szervezet nem teszi közzé. Mégis, íme néhány, akik:
- Nyilvános ügyfélhasználati esetek keresése.
- Stuart Gregg, a Security Operations Manager az ASOS, közzétett egy sokkal részletesebb blogbejegyzést a Microsoft Sentinel tapasztalat, összpontosítva a vadászat.
Tanulás elemzőktől
- Az Azure Sentinel ranglista-helyezést ér el a Forrester Waveben, a stratégiai rangsorban pedig az első helyen áll
- A Microsoft a 2021-es Gartner Magic Quadrant for SIEM for Microsoft Sentinelben egy Visionary nevet adott
2. modul: Hogyan használják a Microsoft Sentinelt?
Számos szervezet elsődleges SIEM-ként a Microsoft Sentinelt használja. A kurzus legtöbb modulja ezt a használati esetet tárgyalja. Ebben a modulban bemutatunk néhány további módszert a Microsoft Sentinel használatára.
A Microsoft Biztonsági verem részeként
A Microsoft Sentinel, a Felhőhöz készült Microsoft Defender és a Microsoft Defender XDR együttes használatával védheti a Microsoft számítási feladatait, például a Windowst, az Azure-t és az Office-t:
- További információ a Microsoft Sentinelt és a Microsoft Defender XDR-t kombináló átfogó SIEM+XDR megoldásról.
- Olvassa el az Azure Security iránytűt (most a Microsoft biztonsági ajánlott eljárásait) a Microsoft biztonsági műveleteire vonatkozó tervének megismeréséhez.
- Olvassa el és nézze meg, hogy egy ilyen beállítás hogyan segít észlelni és reagálni a WebShell-támadásokra: blog vagy videó bemutató.
- Tekintse meg a Better Together webináriumot : "OT és IOT támadásészlelés, vizsgálat és válasz".
A többfelhős számítási feladatok monitorozása
A felhő (még) új, és gyakran nem figyelik olyan kiterjedten, mint a helyszíni számítási feladatok. Ebből a bemutatóból megtudhatja, hogyan segíthet a Microsoft Sentinel a felhőbeli monitorozási rések megszüntetésében a felhőkben.
A meglévő SIEM mellett
Átmeneti vagy hosszabb ideig, ha a Microsoft Sentinelt használja a felhőbeli számítási feladatokhoz, előfordulhat, hogy a Microsoft Sentinelt használja a meglévő SIEM mellett. Előfordulhat, hogy mindkettőt egy jegykezelő rendszerrel, például a Service Now szolgáltatással használja.
A másik SIEM-ből a Microsoft Sentinelbe való migrálással kapcsolatos további információkért tekintse meg a migrálási webináriumot: YouTube, MP4 vagy bemutató.
A párhuzamos üzembe helyezésnek három gyakori forgatókönyve van:
Ha az SOC-ban jegykezelő rendszer található, ajánlott eljárás, ha riasztásokat vagy incidenseket küld mindkét SIEM-rendszerből egy jegykezelő rendszernek, például a Service Now-nak. Ilyen például a Microsoft Sentinel incidens kétirányú szinkronizálása a ServiceNow-nal , vagy a Microsoft Sentinel által támogatott eseményekkel bővített riasztások küldése harmadik féltől származó SIEM-eknek.
Legalábbis kezdetben sok felhasználó küld riasztásokat a Microsoft Sentineltől a helyszíni SIEM-nek. További információ: Riasztások küldése a Microsoft Sentineltől harmadik féltől származó SIEM-ek támogató eseményeivel kiegészítve.
Idővel, mivel a Microsoft Sentinel több számítási feladatot is lefed, általában megfordítaná az irányt, és riasztásokat küldene a helyszíni SIEM-ből a Microsoft Sentinelnek. Ehhez tegye a következőket:
- A Splunk esetében lásd : Adatok és jelentős események küldése a Splunkból a Microsoft Sentinelbe.
- A QRadar esetében lásd : QRadar-bűncselekmények küldése a Microsoft Sentinelnek.
- Az ArcSight esetében lásd a Common Event Format (CEF) továbbítást.
A Microsoft Sentinel riasztásait a Graph Biztonsági API használatával is elküldheti a külső SIEM-nek vagy jegykezelő rendszernek. Ez a módszer egyszerűbb, de nem teszi lehetővé más adatok küldését.
MSSP-k esetén
Mivel kiküszöböli a telepítési költségeket, és helyérzékeny, a Microsoft Sentinel népszerű választás a SIEM szolgáltatásként való biztosításához. Keresse meg a Microsoft Sentinelt használó MISA (Microsoft Intelligent Security Association) tag által felügyelt biztonsági szolgáltatók (MSSP-k) listáját. Sok más MSSP, különösen a regionális és a kisebbek, a Microsoft Sentinelt használják, de nem MISA-tagok.
Ha MSSP-ként szeretne elindulni, olvassa el az MSSP-khez készült Microsoft Sentinel technical forgatókönyveket. Az MSSP-támogatással kapcsolatos további információk a következő modulban találhatók, amely a felhőarchitektúra és a több-bérlős támogatás témakörét ismerteti.
2. rész: Az architálás és üzembe helyezés
Bár az "1. rész: Áttekintés" néhány perc alatt lehetővé teszi a Microsoft Sentinel használatának megkezdését, az éles üzembe helyezés megkezdése előtt fontos egy terv létrehozása.
Ez a szakasz végigvezeti a megoldás tervezésekor figyelembe veendő területeken, és útmutatást nyújt a tervezés implementálásához:
- Munkaterület- és bérlőarchitektúra
- Adatgyűjtés
- Naplókezelés
- Fenyegetésintelligencia-beszerzés
3. modul: Munkaterület és bérlői architektúra
A Microsoft Sentinel-példányokat munkaterületnek nevezzük. A munkaterület megegyezik a Log Analytics-munkaterületekkel, és bármilyen Log Analytics-képességet támogat. A Microsoft Sentinel olyan megoldásnak tekinthető, amely SIEM-funkciókat ad hozzá a Log Analytics-munkaterülethez.
Gyakran több munkaterületre van szükség, és egyetlen Microsoft Sentinel-rendszerként működhet együtt. Egy speciális használati eset a Szolgáltatás biztosítása a Microsoft Sentinel használatával (például egy MSSP (felügyelt biztonsági szolgáltató) vagy egy nagy szervezet globális SOC-jának használatával.
Ha többet szeretne megtudni arról, hogyan használhat több munkaterületet egy Microsoft Sentinel-rendszerként, olvassa el a Microsoft Sentinel kiterjesztése munkaterületek és bérlők között című témakört, vagy tekintse meg a webináriumot: YouTube, MP4 vagy bemutató.
Ha több munkaterületet használ, vegye figyelembe a következőket:
- A több munkaterület használatának fontos illesztője az adattárolás. További információ: Microsoft Sentinel-adatok tartózkodási helye.
- A Microsoft Sentinel üzembe helyezéséhez és a tartalmak több munkaterületen történő hatékony kezeléséhez a Microsoft Sentinelt kódként kezelheti folyamatos integrációs/folyamatos kézbesítési (CI/CD) technológiával. A Microsoft Sentinel ajánlott eljárása a folyamatos üzembe helyezés engedélyezése. További információ: Folyamatos üzembe helyezés engedélyezése natív módon a Microsoft Sentinel-adattárakkal.
- Ha több munkaterületet kezel MSSP-ként, érdemes lehet megvédeni az MSSP szellemi tulajdonát a Microsoft Sentinelben.
Az MSSP-khez készült Microsoft Sentinel Technical Playbook számos témakörhöz nyújt részletes útmutatást, és nagy szervezetek számára is hasznos, nem csak MSSP-k számára.
4. modul: Adatgyűjtés
A SIEM alapja a telemetriai adatok gyűjtése: események, riasztások és környezetfüggő bővítési információk, például fenyegetésfelderítés, sebezhetőségi adatok és eszközinformációk. Az alábbiakban az alábbi forrásokra kell hivatkozni:
- Olvassa el a Microsoft Sentinel adatösszekötőit.
- Nyissa meg a Microsoft Sentinel adatösszekötőt az összes támogatott és beépített adatösszekötő megtekintéséhez. Az általános üzembehelyezési eljárásokra mutató hivatkozásokat és az egyes összekötőkhöz szükséges további lépéseket találja.
- Adatgyűjtési forgatókönyvek: Megismerheti az olyan gyűjtési módszereket, mint a Logstash/CEF/WEF. Más gyakori forgatókönyvek a táblák engedélykorlátozása, a naplószűrés, a naplók gyűjtése az Amazon Web Servicesből (AWS) vagy a Google Cloud Platformból (GCP), a Microsoft 365 nyers naplóiból stb. Minden megtalálható az "Adatgyűjtési forgatókönyvek" webináriumban: YouTube, MP4 vagy bemutató.
Az egyes összekötőkre vonatkozó első információ az adatbetöltési módszer. A megjelenő metódus az alábbi általános üzembehelyezési eljárások egyikére mutató hivatkozást tartalmaz, amely tartalmazza az adatforrások Microsoft Sentinelhez való csatlakoztatásához szükséges legtöbb információt:
Adatbetöltési módszer | Társított cikk |
---|---|
Azure-szolgáltatások közötti integráció | Csatlakozás azure-, Windows-, Microsoft- és Amazon-szolgáltatásokhoz |
Gyakori eseményformátum (CEF) a Syslogon | Syslog- és CEF-üzenetek betöltése a Microsoft Sentinelbe az Azure Monitor-ügynökkel |
Microsoft Sentinel Data Collector API | Adatforrás csatlakoztatása a Microsoft Sentinel Data Collector API-hoz adatok betöltéséhez |
Az Azure Functions és a REST API | A Microsoft Sentinel csatlakoztatása az adatforráshoz az Azure Functions használatával |
Rendszernapló | Syslog- és CEF-üzenetek betöltése a Microsoft Sentinelbe az Azure Monitor-ügynökkel |
Egyéni naplók | Egyéni naplók az AMA-adatösszekötőn keresztül – Adatbetöltés konfigurálása a Microsoft Sentinelbe adott alkalmazásokból |
Ha a forrás nem érhető el, létrehozhat egy egyéni összekötőt. Az egyéni összekötők a betöltési API-t használják, ezért hasonlóak a közvetlen forrásokhoz. Az egyéni összekötőket leggyakrabban az Azure Logic Apps használatával implementálhatja, amely kód nélküli lehetőséget vagy Azure Functionst kínál.
5. modul: Naplókezelés
A Microsoft Sentinel konfigurálásakor elsőként figyelembe kell venni az architektúra döntését, hogy hány munkaterületet és melyiket kell használni. További fontos naplókezelési architekturális döntések, amelyeket érdemes megfontolni:
- Hol és mennyi ideig őrizze meg az adatokat.
- Hogyan kezelheti a legjobban az adatokhoz való hozzáférést és biztonságossá teheti azokat.
Adatok betöltése, archiválása, keresése és visszaállítása a Microsoft Sentinelben
Első lépésként tekintse meg a "Napló életciklusának kezelése új metódusokkal a betöltéshez, archiváláshoz, kereséshez és helyreállításhoz" webináriumot.
Ez a szolgáltatáscsomag a következőket tartalmazza:
- Alapszintű betöltési szint: Az Azure Monitor-naplók új tarifacsomagja, amely lehetővé teszi a naplók alacsonyabb áron való betöltését. Ezek az adatok csak nyolc napig maradnak meg a munkaterületen.
- Archív szint: Az Azure Monitor-naplók megőrzési képességét két évről hét évre bővítette. Ezzel az új szinttel akár hét évig is megőrizheti az adatokat alacsony költségű archivált állapotban.
- Keresési feladatok: Olyan feladatok keresése, amelyek korlátozott KQL-t futtatnak az összes releváns napló megkereséséhez és visszaküldéséhez. Ezek a feladatok az elemzési szinten, az alapszintű és az archivált adatokban keresnek adatokat.
- Adatreállítás: Egy új funkció, amellyel kiválaszthat egy adattáblát és egy időtartományt, hogy visszaállíthassa az adatokat a munkaterületre egy visszaállítási táblán keresztül.
Az új funkciókról további információt a Microsoft Sentinel adatainak betöltése, archiválása, keresése és visszaállítása című témakörben talál.
Alternatív adatmegőrzési lehetőségek a Microsoft Sentinel platformon kívül
Ha több mint két évig szeretné megőrizni az adatokat, vagy csökkenteni szeretné a megőrzési költséget, fontolja meg az Azure Data Explorer használatát a Microsoft Sentinel-naplók hosszú távú megőrzéséhez. Tekintse meg a webinárium-diákat, a webinárium felvételét vagy a blogot.
Részletesebb információkat szeretne? Tekintse meg a "Fenyegetéskeresés szélességének és lefedettségének javítása ADX-támogatással, több entitástípussal és frissített MITRE-integrációval" webináriumot.
Ha egy másik hosszú távú adatmegőrzési megoldást szeretne, tekintse meg a Microsoft Sentinel/Log Analytics-munkaterületről az Azure Storage-ba és az Event Hubsba való exportálást, illetve a naplók áthelyezését a hosszú távú tárolóba az Azure Logic Apps használatával. A Logic Apps használatának előnye, hogy képes az előzményadatok exportálására.
Végül a táblázatszintű adatmegőrzési beállítások használatával beállíthatja a részletes adatmegőrzési időtartamokat. További információ: Adatmegőrzési és archiválási szabályzatok konfigurálása az Azure Monitor-naplókban (előzetes verzió).
Naplóbiztonság
Erőforrásszerepkör-alapú hozzáférés-vezérlés (RBAC) vagy táblaszintű RBAC használatával több csapat is használhat egyetlen munkaterületet.
Szükség esetén törölje az ügyféltartalmakat a munkaterületekről.
Megtudhatja, hogyan naplózhatja a munkaterület lekérdezéseit és a Microsoft Sentinel használatát riasztási munkafüzetek és lekérdezések használatával.
Privát hivatkozások használatával győződjön meg arról, hogy a naplók soha nem hagyják el a magánhálózatot.
Dedikált fürt
Ha a tervezett adatbetöltés körülbelül vagy több mint 500 GB/nap, használjon dedikált munkaterületi fürtöt. Egy dedikált fürttel biztonságossá teheti a Microsoft Sentinel-adatok erőforrásait, ami nagyobb adatkészletek lekérdezési teljesítményét teszi lehetővé.
6. modul: Bővítés: Fenyegetésfelderítés, figyelőlisták és egyebek
A SIEM egyik fontos funkciója, hogy környezeti információkat alkalmazzon az eseménygőzre, amely lehetővé teszi az észlelést, a riasztások rangsorolását és az incidensek vizsgálatát. A környezetfüggő információk közé tartoznak például a fenyegetésfelderítés, az IP-intelligencia, a gazdagép- és felhasználói információk, valamint a figyelőlisták.
A Microsoft Sentinel átfogó eszközöket biztosít a fenyegetésfelderítés importálásához, kezeléséhez és használatához. A környezetfüggő információk egyéb típusaihoz a Microsoft Sentinel figyelőlistákat és egyéb alternatív megoldásokat biztosít.
Fenyegetésészlelési intelligencia
A fenyegetésfelderítés a SIEM fontos építőeleme. Tekintse meg a "A fenyegetésintelligencia erejének felfedezése a Microsoft Sentinelben" webináriumot.
A Microsoft Sentinelben a taxii (indicator information megbízható automatizált eXchange) kiszolgálóinak beépített összekötőivel vagy a Microsoft Graph Biztonsági API keresztül integrálhatja a fenyegetésfelderítést. További információ: Fenyegetésfelderítési integráció a Microsoft Sentinelben. A fenyegetésintelligencia importálásáról további információt a 4. modul adatgyűjtési szakaszaiban talál.
Az importálás után a fenyegetésintelligencia széles körben használható a Microsoft Sentinelben. A következő funkciók a fenyegetésintelligencia használatára összpontosítanak:
Az importált fenyegetésfelderítés megtekintése és kezelése a Naplókban a Microsoft Sentinel új fenyegetésfelderítési területén.
A beépített fenyegetésintelligencia-elemzési szabálysablonokkal biztonsági riasztásokat és incidenseket hozhat létre az importált fenyegetésintelligencia használatával.
A fenyegetésintelligencia-felderítés legfontosabb információinak megjelenítése a Microsoft Sentinelben a fenyegetésfelderítési munkafüzet használatával.
Tekintse meg a "Microsoft Sentinel triage-erőfeszítések automatizálása RiskIQ Threat Intelligence használatával" webináriumot: YouTube vagy bemutató.
Rövid az idő? Az Ignite-munkamenet megtekintése (28 perc).
Részletesebb információkat szeretne? Tekintse meg a "Mély merülés a fenyegetésfelderítésről" webináriumot: YouTube, MP4 vagy bemutató.
Figyelőlisták és egyéb keresési mechanizmusok
Bármilyen környezeti információ importálásához és kezeléséhez a Microsoft Sentinel figyelőlistákat biztosít. A figyelőlisták használatával CSV formátumban tölthet fel adattáblákat, és használhatja őket a KQL-lekérdezésekben. További információ: Figyelőlisták használata a Microsoft Sentinelben, vagy tekintse meg a "Figyelőlisták használata riasztások kezeléséhez, a riasztások kimerültségének csökkentéséhez és az SOC hatékonyságának javításához" webináriumot: YouTube vagy bemutató.
Figyelőlistákkal a következő forgatókönyvekben segíthet:
A fenyegetések kivizsgálása és az incidensekre való gyors reagálás: GYORSAN importálhat IP-címeket, fájlkivonatokat és egyéb adatokat CSV-fájlokból. Az adatok importálása után használja a figyelőlista név-érték párjait a riasztási szabályok, a fenyegetéskeresés, a munkafüzetek, a jegyzetfüzetek és az általános lekérdezések illesztéseihez és szűrőihez.
Üzleti adatok importálása figyelőlistaként: Például a kiemelt rendszerhozzáférésű felhasználók vagy a megszüntetett alkalmazottak listájának importálása. Ezután a figyelőlistával engedélyezési listákat és tiltólistákat hozhat létre, amelyekkel észlelheti vagy megakadályozhatja, hogy ezek a felhasználók bejelentkezhessenek a hálózatra.
A riasztások kifáradásának csökkentése: Olyan engedélyezési listák létrehozása, amelyek letiltják a felhasználók egy csoportjából érkező riasztásokat, például az engedélyezett IP-címek azon felhasználói, akik olyan feladatokat hajtanak végre, amelyek általában aktiválják a riasztást. A jóindulatú események riasztássá válásának megakadályozása.
Eseményadatok gazdagítása: Figyelőlistákkal bővítheti eseményadatait külső adatforrásokból származó név-érték kombinációkkal.
A figyelőlistákon kívül a KQL külsőadat-operátor, az egyéni naplók és a KQL-függvények is használhatók a környezeti adatok kezeléséhez és lekérdezéséhez. A négy módszer mindegyikének megvannak az előnyei és hátrányai, és a közöttük lévő összehasonlításokról a "Keresések implementálása a Microsoft Sentinelben" című blogbejegyzésben olvashat bővebben. Bár mindegyik módszer eltérő, a lekérdezésekben kapott információk használata hasonló, és lehetővé teszi a közöttük való egyszerű váltást.
Az elemzési szabályokon kívüli figyelőlisták használatával kapcsolatos ötletekért lásd : Figyelőlisták használata a hatékonyság növeléséhez a Microsoft Sentinel-vizsgálatok során.
Tekintse meg a "Figyelőlisták használata riasztások kezeléséhez, a riasztások kifáradtságának csökkentéséhez és a SOC hatékonyságának javításához" webináriumot: YouTube vagy bemutató.
7. modul: Naplóátalakítás
A Microsoft Sentinel két új funkciót támogat az adatok betöltéséhez és átalakításához. Ezek a Log Analytics által biztosított funkciók még a munkaterületen való tárolás előtt is működnek az adatokon. A funkciók a következők:
Naplóbetöltési API: Használatával egyéni formátumú naplókat küldhet bármely adatforrásból a Log Analytics-munkaterületre, majd ezeket a naplókat bizonyos szabványos táblákban vagy a létrehozott egyéni formátumú táblákban tárolhatja. A naplók tényleges betöltését közvetlen API-hívások használatával hajthatja végre. Az Azure Monitor adatgyűjtési szabályaival definiálhatja és konfigurálhatja ezeket a munkafolyamatokat.
Munkaterület adatátalakításai szabványos naplókhoz: Adatgyűjtési szabályokkal szűri ki a irreleváns adatokat, bővíti vagy címkézi az adatokat, illetve elrejti a bizalmas vagy személyes adatokat. Az adatátalakítást betöltési időpontban konfigurálhatja a következő típusú beépített adatösszekötőkhöz:
- Azure Monitor Agent (AMA)-alapú adatösszekötők (Syslog és CEF | Windows DNS | Custom)
- Diagnosztikai beállításokat használó adatösszekötők
- Szolgáltatásközi adatösszekötők
További információk:
- Adatok átalakítása vagy testreszabása betöltési időpontban a Microsoft Sentinelben
- A Microsoft Sentinel-adatösszekötő megkeresése
8. modul: Migrálás
Sok (ha nem a legtöbb) esetben már rendelkezik SIEM-sel, és át kell migrálnia a Microsoft Sentinelbe. Bár érdemes lehet újrakezdeni és újragondolni a SIEM-implementációt, érdemes kihasználni a jelenlegi implementációban már beépített eszközök egy részét. Tekintse meg az "Ajánlott eljárások az észlelési szabályok konvertálásához" (A Splunk, a QRadar és az ArcSight azure Microsoft Sentinel-hez) webináriumot: YouTube, MP4, bemutató vagy blog.
A következő erőforrások is érdekelhetik:
- Splunk search processing language (SPL) to KQL mappings
- ArcSight- és QRadar-szabályleképezési minták
9. modul: Speciális SIEM információs modell és normalizálás
A változatos adattípusok és táblák együttes használata kihívást jelenthet. Írás közben ismernie kell ezeket az adattípusokat és sémákat, és egyedi elemzési szabályokat, munkafüzeteket és keresési lekérdezéseket kell használnia. A vizsgálathoz és a vadászathoz szükséges adattípusok közötti korreláció is bonyolult lehet.
Az Advanced SIEM információs modell (ASIM) zökkenőmentes felületet biztosít a különböző források egységes, normalizált nézetekben való kezeléséhez. Az ASIM igazodik a nyílt forráskódú biztonsági események metaadatainak (OSSEM) közös információmodelljéhez, elősegítve a szállítói szintű, iparági szintű normalizálást. Tekintse meg a "Speciális SIEM információs modell (ASIM): Most beépített Microsoft Sentinel" webináriumot: YouTube vagy bemutató.
A jelenlegi implementáció a lekérdezési idő normalizálásán alapul, amely KQL-függvényeket használ:
- A normalizált sémák olyan kiszámítható eseménytípusok standard készleteit fedik le, amelyek könnyen kezelhetők és egységes képességeket hozhatnak létre. A séma meghatározza, hogy mely mezők jelenjenek meg egy esemény, egy normalizált oszlopelnevezési konvenció és a mezőértékek szabványos formátuma.
- Tekintse meg a "Normalizálás megértése a Microsoft Sentinelben" webináriumot: YouTube vagy bemutató.
- Tekintse meg a "Deep Dive into Microsoft Sentinel normalizing parsers and normalized content" webináriumot: YouTube, MP3 vagy bemutató.
Az elemzők leképezik a meglévő adatokat a normalizált sémákra. Az elemzőket KQL-függvények használatával implementálhatja. Tekintse meg az "ASIM kiterjesztése és kezelése: Elemzők fejlesztése, tesztelése és üzembe helyezése" webináriumot: YouTube vagy bemutató.
Az egyes normalizált sémák tartalma elemzési szabályokat, munkafüzeteket és keresési lekérdezéseket tartalmaz. Ez a tartalom minden normalizált adaton működik anélkül, hogy forrásspecifikus tartalmat kellene létrehoznia.
Az ASIM használata a következő előnyöket nyújtja:
Forrásközi észlelés: A normalizált elemzési szabályok a helyszíni és a felhőbeli források között működnek. A szabályok észlelik a támadásokat, például találgatásos támadásokat vagy lehetetlen utazásokat a rendszereken, például az Okta, az AWS és az Azure között.
Lehetővé teszi a forrásalapú tartalmak használatát: A beépített és az egyéni tartalmak ASIM használatával történő lefedése automatikusan kiterjeszthető az ASIM-t támogató bármely forrásra, még akkor is, ha a forrás a tartalom létrehozása után lett hozzáadva. A folyamatesemény-elemzések például támogatnak minden olyan forrást, amelyet az ügyfél felhasználhat az adatok behozásához, beleértve a Végponthoz készült Microsoft Defender, a Windows-eseményeket és a Sysmonot. Készen állunk a Sysmon linuxos és WEF-hez való hozzáadására, amikor megjelent.
Egyéni források támogatása a beépített elemzésekben
Egyszerű használat: Az ASIM-et tanuló elemzők sokkal egyszerűbbnek találják a lekérdezések írását, mert a mezőnevek mindig azonosak.
További információ az ASIM-ről
Használja ki ezeket az erőforrásokat:
Tekintse meg a "Normalizálás megértése az Azure Sentinelben" áttekintési webináriumot: YouTube vagy bemutató.
Tekintse meg az "Elemzések és normalizált tartalmak normalizálása a Microsoft Sentinelben" webináriumot: YouTube, MP3 vagy bemutató.
Tekintse meg a "Turbocharge ASIM: Győződjön meg arról, hogy a normalizálás segít a teljesítményben, nem pedig hatással van rá" webinárium: YouTube, MP4 vagy bemutató.
Olvassa el az ASIM dokumentációját.
Az ASIM üzembe helyezése
Helyezze üzembe az elemzőket a mappákból, kezdve az "ASIM*"-tal a GitHub elemzőmappájában.
Aktiválja az ASIM-et használó elemzési szabályokat. Keressen rá a normálra a sablongyűjteményben, és keressen néhányat közülük. A teljes lista lekéréséhez használja ezt a GitHub-keresést.
Az ASIM használata
Használja a GitHub ASIM-keresési lekérdezéseit.
ASIM-lekérdezéseket akkor használjon, ha KQL-t használ a naplóképernyőn.
Saját elemzési szabályokat írhat az ASIM használatával, vagy konvertálhatja a meglévő szabályokat.
Elemzéseket írhat az egyéni forrásokhoz, hogy ASIM-kompatibilisek legyenek, és részt vehessenek a beépített elemzésekben.
3. rész: Tartalom létrehozása
Mi a Microsoft Sentinel-tartalom?
A Microsoft Sentinel biztonsága a beépített képességek és az egyéni képességek létrehozásának és a beépítettek testreszabásának kombinációja. A beépített képességek között vannak felhasználói és entitás viselkedéselemzési (UEBA), gépi tanulási vagy beépített elemzési szabályok. A testreszabott képességeket gyakran "tartalomnak" is nevezik, és elemzési szabályokat, keresési lekérdezéseket, munkafüzeteket, forgatókönyveket stb. tartalmaznak.
Ebben a szakaszban csoportosítottuk azokat a modulokat, amelyek segítségével megtanulhatja, hogyan hozhat létre ilyen tartalmakat, vagy hogyan módosíthatja a beépített tartalmakat az igényei szerint. Kezdjük a KQL-vel, az Azure Microsoft Sentinel lingua francával. Az alábbi modulok a tartalom egyik építőelemét, például a szabályokat, a forgatókönyveket és a munkafüzeteket ismertetik. Ezek a használati esetek megvitatásával vannak lezárva, amelyek különböző típusú elemeket foglalnak magukban, amelyek konkrét biztonsági célokat kezelnek, például fenyegetésészlelést, vadászatot vagy szabályozást.
10. modul: Kusto lekérdezésnyelv
A Microsoft Sentinel legtöbb képessége Kusto lekérdezésnyelv (KQL)-t használ. A naplókban való keresés, szabályok írása, keresési lekérdezések létrehozása vagy munkafüzetek tervezésekor KQL-t használ.
A szabályok írásáról szóló következő szakasz bemutatja, hogyan használható a KQL a SIEM-szabályok adott kontextusában.
A Microsoft Sentinel KQL használatának ajánlott módja
Pluralsight KQL tanfolyam: Alapismereteket nyújt
Learn KQL: Egy 20 részes KQL-sorozat, amely végigvezeti az első elemzési szabály létrehozásának alapjain (beleértve az értékelést és a tanúsítványt)
A Microsoft Sentinel KQL Lab: Interaktív tesztkörnyezet, amely a KQL-t a Microsoft Sentinelhez szükséges dolgokra összpontosítva tanítja:
- Képzési modul (SC-200 4. rész)
- Bemutató vagy tesztkörnyezet URL-címe
- Jupyter-jegyzetfüzetek verziója , amely lehetővé teszi a jegyzetfüzeten belüli lekérdezések tesztelését
- Learning webinárium: YouTube vagy MP4
- Tesztkörnyezeti megoldások webináriumának áttekintése: YouTube vagy MP4
"Az Azure Microsoft Sentinel KQL lekérdezési teljesítményének optimalizálása" webinárium: YouTube, MP4 vagy bemutató
"Az ASIM használata a KQL-lekérdezésekben": YouTube vagy bemutató
"KQL-keretrendszer a Microsoft Sentinelhez: A KQL-hozzáértés támogatása" webinárium: YouTube vagy bemutató
A KQL elsajátítása során az alábbi hivatkozások is hasznosak lehetnek:
11. modul: Elemzés
Ütemezett elemzési szabályok írása
A Microsoft Sentinel használatával beépített szabálysablonokat használhat, testre szabhatja a környezet sablonjait, vagy egyéni szabályokat hozhat létre. A szabályok lényege egy KQL-lekérdezés; azonban ennél sokkal több konfigurálható egy szabályban.
A szabályok létrehozásának eljárásával kapcsolatban lásd : Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez. Ha meg szeretné tudni, hogyan írhat szabályokat (azaz mit kell belemennie egy szabályba, a szabályok KQL-ére összpontosítva), tekintse meg a webináriumot: YouTube, MP4 vagy bemutató.
A SIEM-elemzési szabályok konkrét mintákkal rendelkeznek. Megtudhatja, hogyan implementálhat szabályokat, és hogyan írhat KQL-t ezekhez a mintákhoz:
Korrelációs szabályok: Lásd : A listák és az "in" operátor használata vagy az "illesztés" operátor használata
Összesítés: Lásd : A listák és a "be" operátor használata, vagy egy fejlettebb mintázatkezelő tolóablak
Keresések: Normál vagy hozzávetőleges, részleges és kombinált keresések
Hamis pozitív értékek kezelése
Késleltetett események: Az élet ténye bármely SIEM-ben, és nehéz kezelni őket. A Microsoft Sentinel segíthet enyhíteni a szabályok késését.
KQL-függvények használata építőelemként: Windows biztonság események gazdagítása paraméteres függvényekkel.
A "Blob- és fájltárolási vizsgálatok" blogbejegyzés lépésről lépésre mutat be egy hasznos elemzési szabály megírására.
Beépített elemzések használata
Mielőtt saját szabályírásba kezd, fontolja meg a beépített elemzési képességek kihasználását. Nem igényelnek sokat tőled, de érdemes megismerni őket:
Használja a beépített ütemezett szabálysablonokat. Ezeket a sablonokat úgy hangolhatja, hogy ugyanúgy módosítja őket, mint bármely ütemezett szabályt. Mindenképpen telepítse a csatlakoztatni kívánt adatösszekötők sablonjait, amelyek az adatösszekötő Következő lépések lapján találhatók.
További információ a Microsoft Sentinel gépi tanulási képességeiről: YouTube, MP4 vagy bemutató.
Szerezze be a Microsoft Sentinel speciális, többfázisú támadásészleléseinek (Fusion) listáját, amelyek alapértelmezés szerint engedélyezve vannak.
Tekintse meg a "Fúziós gépi tanulási észlelések ütemezett elemzési szabályokkal" webináriumot: YouTube, MP4 vagy bemutató.
További információ a Microsoft Sentinel beépített SOC-machine learning anomáliáiról.
Tekintse meg a "Testreszabott SOC-machine learning anomáliákat és azok használatát" webináriumot: YouTube, MP4 vagy bemutató.
Tekintse meg a "Fusion machine learning detections for emerging threats and configuration UI" webináriumot: YouTube vagy bemutató.
12. modul: A SOAR implementálása
A modern SIEM-ek, például a Microsoft Sentinel esetén a SOAR az incidens aktiválásától a feloldásig a teljes folyamatot alkotja. Ez a folyamat incidensvizsgálattal kezdődik, és automatizált válaszokkal folytatódik. A "Microsoft Sentinel használata incidenskezeléshez, vezényléshez és automatizáláshoz" blogbejegyzés áttekintést nyújt a SOAR gyakori használati eseteiről.
Az automatizálási szabályok a Microsoft Sentinel automatizálásának kiindulópontja. Egyszerű módszert biztosítanak az incidensek központosított, automatizált kezelésére, beleértve az elnyomást, a hamis-pozitív kezelést és az automatikus hozzárendelést.
A robusztus munkafolyamat-alapú automatizálási képességek biztosításához az automatizálási szabályok a Logic Apps forgatókönyveit használják. További tudnivalók:
Tekintse meg az "Automation Jedi trükkök felszabadítása és Logic Apps forgatókönyvek létrehozása főnökként" webináriumot: YouTube, MP4 vagy bemutató.
Olvassa el a Logic Appst, amely a Microsoft Sentinel forgatókönyveket meghajtó alapvető technológia.
Lásd a Microsoft Sentinel Logic Apps-összekötőt, a Logic Apps és a Microsoft Sentinel közötti kapcsolatot.
Több tucat hasznos forgatókönyvet találhat a Microsoft Sentinel GitHub-webhelyen található Forgatókönyvek mappában, vagy elolvashatja a forgatókönyvet egy figyelőlistával, hogy tájékoztassa az előfizetés tulajdonosát egy forgatókönyv-bemutatóra vonatkozó riasztásról.
13. modul: Munkafüzetek, jelentéskészítés és vizualizáció
Munkafüzetek
Az SOC idegközpontjaként a Microsoft Sentinel szükséges az általa gyűjtött és előállított információk vizualizációjához. Munkafüzetek használatával jeleníthet meg adatokat a Microsoft Sentinelben.
Ha meg szeretné tudni, hogyan hozhat létre munkafüzeteket, olvassa el az Azure-munkafüzetek dokumentációját, vagy tekintse meg Billy York Munkafüzetek betanítását (és a kísérőszöveget).
Az említett erőforrások nem Microsoft Sentinel-specifikusak. Ezek általában a munkafüzetekre vonatkoznak. Ha többet szeretne megtudni a Microsoft Sentinel-munkafüzetekről, tekintse meg a webináriumot: YouTube, MP4 vagy bemutató. Olvassa el a dokumentációt.
A munkafüzetek interaktívak lehetnek, és sokkal többre képesek, mint a diagramkészítés. Munkafüzetekkel alkalmazásokat vagy bővítménymodulokat hozhat létre a Microsoft Sentinel számára, hogy kiegészítse annak beépített funkcióit. Munkafüzetekkel bővítheti a Microsoft Sentinel funkcióit. Íme néhány példa az ilyen alkalmazásokra:
A Investigation Insights-munkafüzet alternatív módszert kínál az incidensek kivizsgálására.
A külső Teams-együttműködések gráfvizualizációja lehetővé teszi a kockázatos Teams-használat keresését.
A felhasználók útitérkép-munkafüzete lehetővé teszi a földrajzi helyekkel kapcsolatos riasztások vizsgálatát.
A Microsoft Sentinel nem biztonságos protokollok munkafüzet-implementálási útmutatója, a legújabb fejlesztések és az áttekintő videó) segítségével azonosíthatja a nem biztonságos protokollok használatát a hálózaton.
Végül megtudhatja, hogyan integrálhat információkat bármely forrásból API-hívások használatával egy munkafüzetben.
A Microsoft Sentinel GitHub Munkafüzetek mappájában több tucat munkafüzet található. Ezek némelyike a Microsoft Sentinel-munkafüzetek gyűjteményében is elérhető.
Jelentéskészítési és egyéb vizualizációs lehetőségek
A munkafüzetek szolgálhatnak jelentéskészítésre. A speciálisabb jelentéskészítési képességekhez, például a jelentések ütemezéséhez, a terjesztési vagy kimutatástáblákhoz a következő lehetőségeket érdemes használni:
A Power BI, amely natív módon integrálható az Azure Monitor-naplókkal és a Microsoft Sentinellel.
Az Excel, amely adatforrásként használhatja az Azure Monitor-naplókat és a Microsoft Sentinelt, és megtekintheti az "Azure Monitor-naplók és excel integrálása az Azure Monitorral" videót.
A Jupyter notebookok, amelyekről a vadászmodul későbbi részében olvashat, szintén nagyszerű vizualizációs eszköznek számítanak.
14. modul: Jegyzetfüzetek
A Jupyter notebookok teljes mértékben integrálva vannak a Microsoft Sentinelrel. Bár a vadász szerszámládában fontos eszköznek tekintették, és a vadászati szakaszban megvitatták a webináriumokat, értékük sokkal szélesebb. A jegyzetfüzetek fejlett vizualizációhoz, vizsgálati útmutatóként és kifinomult automatizáláshoz is használhatók.
A jegyzetfüzetek jobb megértéséhez tekintse meg a Jegyzetfüzetek bemutatása videót. Ismerkedjen meg a jegyzetfüzetek webináriumával (YouTube, MP4 vagy bemutató), vagy olvassa el a dokumentációt. A Microsoft Sentinel Notebooks Ninja sorozat egy folyamatos betanítási sorozat, amely felkészíti Önt a jegyzetfüzetekre.
Az integráció fontos részét az MSTICPy valósítja meg, amely egy Python-kódtár, amelyet a kutatócsoportunk fejlesztett jupyter notebookokkal való használatra. Microsoft Sentinel-felületeket és kifinomult biztonsági képességeket ad hozzá a jegyzetfüzetekhez.
15. modul: Használati esetek és megoldások
Összekötőkkel, szabályokkal, forgatókönyvekkel és munkafüzetekkel implementálhatja a használati eseteket, amely egy olyan tartalomcsomag SIEM-kifejezése, amely egy fenyegetés észlelésére és elhárítására szolgál. A Microsoft Sentinel beépített használati eseteit úgy helyezheti üzembe, hogy aktiválja a javasolt szabályokat az egyes összekötők csatlakoztatásakor. A megoldás olyan használati esetek csoportja, amelyek egy adott veszélyforrás-tartományt kezelnek.
Az "Identitáskezelés" webinárium (YouTube, MP4 vagy bemutató) elmagyarázza, hogy mi a használati eset, és hogyan lehet megközelíteni annak kialakítását, és számos olyan használati esetet mutat be, amelyek együttesen kezelik az identitással kapcsolatos fenyegetéseket.
Egy másik releváns megoldási terület a távoli munka védelme. Tekintse meg az Ignite-munkamenetet a távoli munka védelméről, és tudjon meg többet a következő konkrét használati esetekről:
A Microsoft Teams keresési használati esetei és a külső Microsoft Teams-együttműködések gráfvizualizációja
Nagyítás monitorozása a Microsoft Sentinellel: egyéni összekötők, elemzési szabályok és keresési lekérdezések.
Az Azure Virtual Desktop és a Microsoft Sentinel monitorozása: Windows biztonság események, Microsoft Entra bejelentkezési naplók, végpontokhoz készült Microsoft Defender XDR és Azure Virtual Desktop diagnosztikai naplók használata az Azure Virtual Desktop-fenyegetések észleléséhez és kereséséhez.
A Microsoft Intune monitorozása lekérdezésekkel és munkafüzetekkel.
Végül, a legutóbbi támadásokra összpontosítva megtudhatja, hogyan figyelheti a szoftverellátási láncot a Microsoft Sentinellel.
A Microsoft Sentinel-megoldások terméken belüli felderíthetőséget, egylépéses üzembe helyezést és a microsoft Sentinelben a termékek, tartományok és/vagy vertikális forgatókönyvek engedélyezését biztosítják. További információ: A Microsoft Sentinel tartalmai és megoldásai, valamint a "Saját Microsoft Sentinel-megoldások létrehozása" webinárium: YouTube vagy bemutató.
4. rész: Üzemeltetés
16. modul: Incidensek kezelése
Az SOC létrehozása után el kell kezdenie a használatát. A "nap egy SOC-elemző életében" webinárium (YouTube, MP4 vagy bemutató) végigvezeti önt a Microsoft Sentinel soc-ban való használatával az incidensek osztályozására, kivizsgálására és megválaszolására.
Annak érdekében, hogy csapatai zökkenőmentesen együttműködhessenek a szervezeten belül és a külső érdekelt felekkel, olvassa el az Integráció a Microsoft Teams szolgáltatással közvetlenül a Microsoft Sentinelből című témakört. És tekintse meg a "Az SOC MTTR-jének csökkentése (átlagos válaszidő) a Microsoft Sentinel és a Microsoft Teams integrálásával" webináriumot.
Érdemes lehet elolvasni az incidensek kivizsgálására vonatkozó dokumentációs cikket is. A vizsgálat részeként az entitásoldalak használatával is további információkat kaphat az incidenshez kapcsolódó vagy a vizsgálat részeként azonosított entitásokról.
A Microsoft Sentinel incidensvizsgálata túlmutat az alapvető incidensvizsgálati funkciókon. További vizsgálati eszközöket munkafüzetek és jegyzetfüzetek használatával hozhat létre. A jegyzetfüzeteket a következő, 17. modul: Vadászat című szakaszban tárgyaljuk. További vizsgálati eszközöket is létrehozhat, vagy módosíthatja a meglévőket az ön igényeinek megfelelően. Ide sorolhatóak például a kövekezők:
A Investigation Insights-munkafüzet alternatív módszert kínál az incidensek kivizsgálására.
A jegyzetfüzetek növelik a vizsgálati élményt. Olvassa el , hogy miért érdemes a Jupytert biztonsági vizsgálatokhoz használni, és megtudhatja, hogyan vizsgálhatja meg a Microsoft Sentinel- és Jupyter-jegyzetfüzeteket:
17. modul: Vadászat
Bár az eddigi viták többsége az észlelésre és az incidenskezelésre összpontosított, a vadászat a Microsoft Sentinel egy másik fontos használati esete. A vadászat nem a riasztásokra adott reaktív válasz, hanem a fenyegetések proaktív keresése.
A vadászati irányítópult folyamatosan frissül. Megjeleníti a Microsoft biztonsági elemzői csapata által írt összes lekérdezést, valamint az Ön által létrehozott vagy módosított további lekérdezéseket. Minden lekérdezés leírja, hogy mire vadászik, és milyen típusú adatokon fut. Ezek a sablonok különböző taktikák szerint vannak csoportosítva. A jobb oldali ikonok kategorizálják a fenyegetés típusát, például a kezdeti hozzáférést, az adatmegőrzést és a kiszivárgást. További információ: Hunt for threats with Microsoft Sentinel.
Ha többet szeretne megtudni arról, hogy mi a vadászat, és hogyan támogatja a Microsoft Sentinel, tekintse meg a bevezető "Fenyegetéskeresés" webináriumot: YouTube, MP4 vagy bemutató. A webinárium az új funkciók frissítésével kezdődik. A vadászatról a 12. dián tájékozódhat. A YouTube-videó már be van állítva, hogy ott kezdődjön.
Bár a bevezető webinárium az eszközökre összpontosít, a vadászat a biztonságról szól. Biztonsági kutatócsoportunk webináriuma (YouTube, MP4 vagy bemutató) a tényleges vadászatra összpontosít.
A következő webinárium, az "AWS-fenyegetéskeresés a Microsoft Sentinel használatával" (YouTube, MP4 vagy bemutató) vezérli a lényeget azáltal, hogy egy teljes körű vadászati forgatókönyvet jelenít meg egy nagy értékű célkörnyezetben.
Végül megtudhatja, hogyan végezheti el a SolarWinds kompromittálása utáni vadászatot a Microsoft Sentinel és a WebShell-kereséssel, amelyet a helyszíni Microsoft Exchange-kiszolgálók legutóbbi biztonsági rései motiválnak.
18. modul: Felhasználó és entitás viselkedéselemzése (UEBA)
Az újonnan bevezetett Microsoft Sentinel User and Entity Behavior Analytics (UEBA) modul lehetővé teszi a szervezeten belüli fenyegetések azonosítását és vizsgálatát, valamint azok lehetséges hatásait, függetlenül attól, hogy egy sérült entitásból vagy egy rosszindulatú bennfentesből származnak- e.
Mivel a Microsoft Sentinel naplókat és riasztásokat gyűjt az összes csatlakoztatott adatforrásból, elemzi őket, és alapszintű viselkedési profilokat készít a szervezet entitásairól (például felhasználókról, gazdagépekről, IP-címekről és alkalmazásokról) az idő és a társcsoport horizontja során. A Microsoft Sentinel különböző technikákkal és gépi tanulási képességekkel azonosíthatja a rendellenes tevékenységeket, és segíthet megállapítani, hogy egy eszköz sérült-e. Nem csak ezt, hanem azt is ki tudja deríteni, hogy az egyes eszközök relatív érzékenysége, azonosítsa a társcsoportokat, és értékelje az adott sérült eszköz lehetséges hatását (a "robbanási sugarát"). Ezekkel az információkkal felvértezve hatékonyan rangsorolhatja a nyomozást és az incidenskezelést.
További információ az UEBA-ról a webinárium (YouTube, MP4 vagy bemutató) megtekintésével, valamint az UEBA soc-ban végzett vizsgálatokhoz való használatáról.
A legújabb frissítésekről a "Felhasználók jövőbeni entitása viselkedéselemzése a Microsoft Sentinelben" webináriumban tájékozódhat.
19. modul: A Microsoft Sentinel állapotának monitorozása
A SIEM üzemeltetésének része, hogy zökkenőmentesen működjön, és az Azure Microsoft Sentinel fejlődő területe legyen. A Microsoft Sentinel állapotának figyeléséhez használja az alábbiakat:
A biztonsági műveletek hatékonyságának mérése (videó).
A Microsoft Sentinel Health adattáblája betekintést nyújt az állapoteltérésekbe, például a legutóbbi hibaeseményekre összekötőnként, vagy olyan összekötőkre, amelyek a sikertől a hibaállapotokig változnak, és amelyekkel riasztásokat és egyéb automatizált műveleteket hozhat létre. További információ: Az adatösszekötők állapotának figyelése. Tekintse meg az "Adatösszekötők Állapotfigyelő munkafüzet" videót. És értesítéseket kaphat az anomáliákról.
Az ügynökök monitorozása az ügynökök állapotmegoldásával (csak Windows rendszeren) és a Szívverés táblával (Linux és Windows).
A Log Analytics-munkaterület figyelése: YouTube, MP4 vagy bemutató, beleértve a lekérdezések végrehajtását és a betöltési állapotot.
A költségkezelés szintén fontos működési eljárás az SOC-ban. A Betöltési költség riasztás forgatókönyvével gondoskodhat arról, hogy mindig tisztában legyen a költségek növekedésével.
5. rész: Speciális
20. modul: A Microsoft Sentinel API-k kiterjesztése és integrálása
Natív felhőbeli SIEM-ként a Microsoft Sentinel egy API-első rendszer. Minden funkció konfigurálható és használható egy API-n keresztül, lehetővé téve a más rendszerekkel való egyszerű integrációt és a Microsoft Sentinel saját kóddal való kiterjesztését. Ha az API ijesztőnek hangzik, ne aggódjon. Bármi is érhető el az API használatával, az a PowerShell használatával is elérhető.
A Microsoft Sentinel API-kkal kapcsolatos további információkért tekintse meg a rövid bevezető videót, és olvassa el a blogbejegyzést. További információért tekintse meg a "Sentinel (API-k) kiterjesztése és integrálása" webináriumot (YouTube, MP4 vagy bemutató), és olvassa el a Microsoft Sentinel kiterjesztése: API-k, integráció és felügyeleti automatizálás című blogbejegyzést.
21. modul: Saját gépi tanulás létrehozása
A Microsoft Sentinel nagyszerű platformot biztosít saját gépi tanulási algoritmusok implementálására. Ezt nevezzük saját gépi tanulási modellnek vagy BYO ML-nek. A BYO ML speciális felhasználók számára készült. Ha beépített viselkedéselemzést keres, használja a gépi tanulási elemzési szabályokat vagy az UEBA-modult, vagy írjon saját viselkedéselemzési KQL-alapú elemzési szabályokat.
A saját gépi tanulás Microsoft Sentinelbe való eljuttatásához tekintse meg a "Saját gépi tanulási modell összeállítása" videót, és olvassa el a saját gépi tanulási modellészleléseket az AI-val elmerült Azure Sentinel SIEM blogbejegyzésben. Érdemes lehet a BYO ML dokumentációját is használni.
Következő lépések
- Telepítési útmutató a Microsoft Sentinelhez
- Gyorsútmutató: A Microsoft Sentinel előkészítése
- A Microsoft Sentinel újdonságai