Vállalati biztonság kezelése a Microsoft Sentinel használatával
Pénzügyi szervezete folyamatosan foglalkozik ügyfelekkel és partnerekkel a világ különböző régióiban. Számos tranzakció történik naponta, és minden tranzakciót monitorozni és védeni kell, függetlenül annak típusától, illetve az érintett eszközöktől és felhasználóktól. A szervezet biztonsági és monitorozási stratégiájának nagyvállalati szintű biztonságra és monitorozásra kell összpontosítania.
Ez az egység azt ismerteti, hogyan segíti a Microsoft Sentinel a vállalati szintű szervezetek biztonsági fenyegetéseinek monitorozását és az azokra való reagálást. A Microsoft Sentinel használatával:
- Részletes áttekintést kaphat a vállalatról, akár több felhőben és helyszíni helyen is.
- Kerülje az összetett és eltérő eszközökre való támaszkodást.
- A szakértők által létrehozott nagyvállalati szintű mesterséges intelligencia segítségével azonosíthatja és kezelheti a szervezeten belüli fenyegetéseket.
adatforrások Csatlakozás a Microsoft Sentinelhez
A Microsoft Sentinel implementálásához Log Analytics-munkaterületre van szükség. Amikor Microsoft Sentinel-erőforrást hoz létre az Azure Portalon, létrehozhat egy új Log Analytics-munkaterületet, vagy csatlakoztathat egy meglévő munkaterületet.
Miután létrehozta a Microsoft Sentinel-erőforrást, és csatlakoztatta egy munkaterülethez, össze kell kapcsolnia a vállalat adatforrásait. Megoldásokat telepíthet adatösszekötőkkel a tartalomközpontból. A Microsoft Sentinel összekötőkkel integrálható a Microsoft-megoldásokkal, például a Microsoft Entra ID-vel és a Microsoft 365-kel.
Az összes elérhető adatösszekötőt megtekintheti, ha a Microsoft Sentinel bal oldali navigációs sávjának Konfiguráció területén az Adatösszekötők lehetőséget választja.
Válassza ki az adatforráshoz megfelelő adatösszekötőt, olvassa el az összekötő adatait, és válassza az Összekötő megnyitása lapot az összekötő előfeltételeinek megtekintéséhez. Győződjön meg arról, hogy megfelel az adatforrás sikeres csatlakoztatásának összes előfeltételének.
Amikor csatlakoztatja az adatforrást, a rendszer szinkronizálja a naplókat a Microsoft Sentinellel. Az összegyűjtött adatok összegzése az összekötőhöz kapott adatok gráfjában jelenik meg. A forráshoz gyűjtött különböző adattípusok is láthatók. Az Azure Storage-fiók összekötője például blob-, üzenetsor-, fájl- vagy táblanapló-adatokat gyűjthet.
Miután csatlakoztatta az adatforrásokat, a Microsoft Sentinel megkezdi a vállalat monitorozását.
Riasztások használata a vállalat monitorozásához
Riasztási szabályokat konfigurálhat a rendellenességek és a fenyegetések intelligensebb vizsgálatához. A riasztási szabályok határozzák meg azokat a fenyegetéseket és tevékenységeket, amelyeknek riasztásokat kell létrehozniuk. Reagálhat manuálisan, vagy használhat forgatókönyveket az automatikus reagáláshoz.
Válassza az Elemzés lehetőséget a Microsoft Sentinel bal oldali navigációs sávjában a Konfiguráció területen az összes érvényben lévő szabály megtekintéséhez és új szabályok létrehozásához.
Amikor létrehoz egy szabályt, meg kell adnia, hogy engedélyezve vagy letiltva legyen-e, valamint a riasztás súlyosságát. A Szabálylogika beállítása lap Szabály lekérdezés mezőjébe írjon be egy szabály lekérdezést.
Az alábbi lekérdezés például meghatározhatja, hogy gyanús számú Azure-beli virtuális gép jön-e létre vagy frissül, vagy gyanús számú erőforrás-üzembe helyezés történik.
AzureActivity
| where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
A Lekérdezés ütemezése szakaszban megadhatja, hogy a lekérdezés milyen gyakran fusson, és hogy melyik adatidőszakot kell megkeresni. A Riasztás küszöbértéke szakaszban megadhatja azt a szintet, amelyen riasztást szeretne létrehozni.
Incidensek vizsgálata
A Microsoft Sentinel a generált riasztásokat incidensekké egyesíti további vizsgálat céljából. Válassza az Incidensek lehetőséget a Microsoft Sentinel bal oldali navigációs sávjában, ahol megtekintheti az összes incidens részleteit, például azt, hogy hány incidens van lezárva, hányan maradnak nyitva, mikor történtek incidensek, és milyen súlyosságuk van.
Az incidens kivizsgálásához válassza ki az incidenst. A jobb oldali panelen információkat kaphat az incidensről. További információkhoz juthat a Minden részlet megtekintése lehetőség választásával.
Az incidens kivizsgálásához frissítse az állapotát újról aktívra, rendelje hozzá egy tulajdonoshoz, és válassza a Vizsgálat lehetőséget.
A vizsgálati térkép segít megérteni, hogy mi okozta az incidenst és az érintett hatókört. A térképen az incidenst körülvevő adatok korrelációja is használható.
A vizsgálati térkép lehetővé teszi az incidensekbe való lefúrást. Több entitás, köztük a felhasználók, az eszközök és a berendezések is hozzárendelhetők egy incidenshez. Lekérheti például az incidens részeként azonosított felhasználó adatait.
Ha egy entitás fölé viszi az egérmutatót, megjelenik a Microsoft biztonsági elemzői és szakértői által tervezett felderítési lekérdezések listája. A feltárási lekérdezésekkel hatékonyabban vizsgálhat.
A vizsgálati térkép egy idővonalat is biztosít, amely segít megállapítani, hogy egy adott időpontban mely események történtek. Az idővonal funkciójával megtudhatja, hogy egy fenyegetés milyen útvonalon haladhatott az idő előrehaladtával.