Introduction

  • 3 perc

A Microsoft Sentinel Analytics egy intelligens megoldást kínál, amellyel észlelheti a lehetséges fenyegetéseket és biztonsági réseket a szervezetekben.

Tegyük fel, hogy Ön a Contoso Ltd. Security Operations Center (SOC) elemzőjeként dolgozik. A Contoso egy középkategóriás pénzügyi szolgáltató vállalat Londonban egy New York-i fiókirodával. A Contoso számos Microsoft-termék és -szolgáltatás használatával valósítja meg az adatvédelmet és az erőforrásai veszélyforrásokkal szembeni védelmét. Ezek a termékek a következők:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID-védelem
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Defender végponthoz
  • Microsoft Defender for Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

A Contoso fenyegetésvédelmet biztosít az Azure-alapú és a helyszíni erőforrások számára a Felhőhöz készült Microsoft Defender fizetős verziójával. A vállalat más nem microsoftos összetevőket is monitoroz és véd. Mindez óriási terhet ró a Contoso biztonsági elemzőire. Több termékből származó, nagy mennyiségű riasztást kell kezelniük. A riasztások korrelációit az alábbi módokon végzik:

  • Manuálisan különböző projektek irányítópultjairól
  • Hagyományos korrelációs motor használatával

Az informatikai infrastruktúra beállítása és fenntartása ráadásul az SOC-csapat túl sok idejét vonja el a biztonsági feladatoktól.

Az informatikai igazgató úgy véli, hogy a Microsoft Sentinel Analytics segít a biztonsági elemzőknek az összetett vizsgálatok gyorsabb elvégzésében és a Security Operations Center (SOC) fejlesztésében. A Contoso vezető rendszermérnöke és Azure-rendszergazdaként a Microsoft Sentinelben kell beállítania az elemzési szabályokat, hogy a SecOps csapata azonosíthassa és elemezhesse a Contoso erőforrásaira irányuló támadásokat.

Ebben a modulban megismerheti a Microsoft Sentinel Analytics használatának fontosságát, a meglévő sablonokból származó elemzési szabályok létrehozását és implementálását, új szabályok és lekérdezések létrehozását a varázsló használatával, valamint a szabályok módosításokkal történő kezelését.

A modul végére elemzési szabályokat állíthat be a Microsoft Sentinelben, hogy segítsen a SecOps csapatának a kibertámadások azonosításában és leállításában.

Tanulási célkitűzések

  • A Microsoft Sentinel Analytics fontosságának ismertetése.
  • Az elemzési szabályok különböző típusainak megismerése.
  • Szabályok létrehozása sablonból.
  • Új elemzési szabályok és lekérdezések létrehozása az Elemzési szabályok varázslóval.
  • Szabályok kezelése módosításokkal.

Előfeltételek

  • Az Azure-szolgáltatások alapszintű ismerete
  • A működési fogalmak, például a monitorozás, a naplózás és a riasztások kezelésének alapszintű ismerete
  • Azure subscription
  • Microsoft Sentinel-példány az Azure-előfizetésben

Megjegyzés:

Ha a modulban szereplő gyakorlat elvégzése mellett dönt, tudnia kell, hogy ezzel kapcsolatban költségek merülhetnek fel az Azure-előfizetésében. A költségek becsléséhez tekintse meg a Microsoft Sentinel díjszabását