Vállalati biztonság kezelése a Microsoft Sentinel használatával

  • 10 perc

Pénzügyi szervezete folyamatosan foglalkozik ügyfelekkel és partnerekkel a világ különböző régióiban. Számos tranzakció történik naponta, és minden tranzakciót monitorozni és védeni kell, függetlenül annak típusától, illetve az érintett eszközöktől és felhasználóktól. A szervezet biztonsági és monitorozási stratégiájának nagyvállalati szintű biztonságra és monitorozásra kell összpontosítania.

Ez az egység azt ismerteti, hogyan segíti a Microsoft Sentinel a vállalati szintű szervezetek biztonsági fenyegetéseinek monitorozását és az azokra való reagálást. A Microsoft Sentinel használatával:

  • Részletes áttekintést kaphat a vállalatról, akár több felhőben és helyszíni helyen is.
  • Kerülje az összetett és eltérő eszközökre való támaszkodást.
  • A szakértők által létrehozott nagyvállalati szintű mesterséges intelligencia segítségével azonosíthatja és kezelheti a szervezeten belüli fenyegetéseket.

adatforrások Csatlakozás a Microsoft Sentinelhez

A Microsoft Sentinel implementálásához Log Analytics-munkaterületre van szükség. Amikor Microsoft Sentinel-erőforrást hoz létre az Azure Portalon, létrehozhat egy új Log Analytics-munkaterületet, vagy csatlakoztathat egy meglévő munkaterületet.

Screenshot of adding a Log Analytics workspace.

Miután létrehozta a Microsoft Sentinel-erőforrást, és csatlakoztatta egy munkaterülethez, össze kell kapcsolnia a vállalat adatforrásait. Megoldásokat telepíthet adatösszekötőkkel a tartalomközpontból. A Microsoft Sentinel összekötőkkel integrálható a Microsoft-megoldásokkal, például a Microsoft Entra ID-vel és a Microsoft 365-kel.

Az összes elérhető adatösszekötőt megtekintheti, ha a Microsoft Sentinel bal oldali navigációs sávjának Konfiguráció területén az Adatösszekötők lehetőséget választja.

Screenshot of data connectors.

Válassza ki az adatforráshoz megfelelő adatösszekötőt, olvassa el az összekötő adatait, és válassza az Összekötő megnyitása lapot az összekötő előfeltételeinek megtekintéséhez. Győződjön meg arról, hogy megfelel az adatforrás sikeres csatlakoztatásának összes előfeltételének.

Amikor csatlakoztatja az adatforrást, a rendszer szinkronizálja a naplókat a Microsoft Sentinellel. Az összegyűjtött adatok összegzése az összekötőhöz kapott adatok gráfjában jelenik meg. A forráshoz gyűjtött különböző adattípusok is láthatók. Az Azure Storage-fiók összekötője például blob-, üzenetsor-, fájl- vagy táblanapló-adatokat gyűjthet.

Screenshot of the Data received graph.

Miután csatlakoztatta az adatforrásokat, a Microsoft Sentinel megkezdi a vállalat monitorozását.

Screenshot of an alert map.

Riasztások használata a vállalat monitorozásához

Riasztási szabályokat konfigurálhat a rendellenességek és a fenyegetések intelligensebb vizsgálatához. A riasztási szabályok határozzák meg azokat a fenyegetéseket és tevékenységeket, amelyeknek riasztásokat kell létrehozniuk. Reagálhat manuálisan, vagy használhat forgatókönyveket az automatikus reagáláshoz.

Válassza az Elemzés lehetőséget a Microsoft Sentinel bal oldali navigációs sávjában a Konfiguráció területen az összes érvényben lévő szabály megtekintéséhez és új szabályok létrehozásához.

Screenshot of View all alerts.

Amikor létrehoz egy szabályt, meg kell adnia, hogy engedélyezve vagy letiltva legyen-e, valamint a riasztás súlyosságát. A Szabálylogika beállítása lap Szabály lekérdezés mezőjébe írjon be egy szabály lekérdezést.

Screenshot of Create alert rule.

Az alábbi lekérdezés például meghatározhatja, hogy gyanús számú Azure-beli virtuális gép jön-e létre vagy frissül, vagy gyanús számú erőforrás-üzembe helyezés történik.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

A Lekérdezés ütemezése szakaszban megadhatja, hogy a lekérdezés milyen gyakran fusson, és hogy melyik adatidőszakot kell megkeresni. A Riasztás küszöbértéke szakaszban megadhatja azt a szintet, amelyen riasztást szeretne létrehozni.

Incidensek vizsgálata

A Microsoft Sentinel a generált riasztásokat incidensekké egyesíti további vizsgálat céljából. Válassza az Incidensek lehetőséget a Microsoft Sentinel bal oldali navigációs sávjában, ahol megtekintheti az összes incidens részleteit, például azt, hogy hány incidens van lezárva, hányan maradnak nyitva, mikor történtek incidensek, és milyen súlyosságuk van.

Az incidens kivizsgálásához válassza ki az incidenst. A jobb oldali panelen információkat kaphat az incidensről. További információkhoz juthat a Minden részlet megtekintése lehetőség választásával.

Screenshot of the Incidents page.

Az incidens kivizsgálásához frissítse az állapotát újról aktívra, rendelje hozzá egy tulajdonoshoz, és válassza a Vizsgálat lehetőséget.

Screenshot of Incident detail.

A vizsgálati térkép segít megérteni, hogy mi okozta az incidenst és az érintett hatókört. A térképen az incidenst körülvevő adatok korrelációja is használható.

Screenshot of an investigation map.

A vizsgálati térkép lehetővé teszi az incidensekbe való lefúrást. Több entitás, köztük a felhasználók, az eszközök és a berendezések is hozzárendelhetők egy incidenshez. Lekérheti például az incidens részeként azonosított felhasználó adatait.

Screenshot of entity.

Ha egy entitás fölé viszi az egérmutatót, megjelenik a Microsoft biztonsági elemzői és szakértői által tervezett felderítési lekérdezések listája. A feltárási lekérdezésekkel hatékonyabban vizsgálhat.

Screenshot of exploration queries.

A vizsgálati térkép egy idővonalat is biztosít, amely segít megállapítani, hogy egy adott időpontban mely események történtek. Az idővonal funkciójával megtudhatja, hogy egy fenyegetés milyen útvonalon haladhatott az idő előrehaladtával.

Screenshot of timeline.

Tesztelje tudását

1.

Miért használja a Microsoft Sentinelt?

2.

Hogyan határozhatja meg a Microsoft Sentinel vizsgálati térképét annak megállapításához, hogy mely felhasználók érintettek az incidensben?