Incidensek ismertetése
A vállalat technológiával kapcsolatos fenyegetéseit incidenseknek nevezzük. Az incidenskezelés az incidensek vizsgálatának teljes folyamata, az incidensek létrehozásától a részletes vizsgálatig és megoldásig. A Microsoft Sentinel segíthet az informatikai csapatnak az incidensek rendezésében, kivizsgálásában és nyomon követésében a létrehozástól a megoldáson keresztül.
A Microsoft Sentinel használatával áttekintheti az incidens részletes adatait, hozzárendelhet egy incidenstulajdonost, beállíthatja és fenntarthatja az incidens súlyosságát, és kezelheti az incidens állapotát. A Microsoft Sentinel teljes incidenskezelési környezetet biztosít a lépések kezeléséhez.
Fő fogalmak
Fontos tisztában lenni a Microsoft Sentinel incidenskezelési alapelveivel:
- Adatösszekötők. A Microsoft Sentinel adatösszekötőkkel betöltheti és gyűjtheti az adatokat a biztonsággal kapcsolatos szolgáltatásokból. Az adatösszekötők a Log Analytics-ügynököt futtató Linux- vagy Windows-számítógépekről, linuxos syslog-kiszolgálóról, tűzfalakhoz vagy proxykhoz, vagy közvetlenül a Microsoft Azure-szolgáltatásokból gyűjthetnek eseményeket. Ezek az események a Microsoft Sentinelhez társított Log Analytics-munkaterületre kerülnek.
- Események. A Microsoft Sentinel egy Log Analytics-munkaterületen tárolja az eseményeket. Ezek az események a Microsoft Sentinel által monitorozni kívánt, biztonsággal kapcsolatos tevékenységek részleteit tartalmazzák.
- Elemzési szabályok. Az elemzési szabályok észlelik a fontos biztonsági eseményeket, és riasztásokat hoznak létre. Elemzési szabályokat beépített sablonokkal vagy egyéni Kusto lekérdezésnyelv (KQL) lekérdezésekkel hozhat létre a Microsoft Sentinel Log Analytics-munkaterületeihez.
- Riasztások. Az elemzési szabályok riasztásokat generálnak, ha lényeges biztonsági eseményeket észlelnek. Riasztásokat konfigurálhat incidensek létrehozásához.
- Incidensek. A Microsoft Sentinel incidenseket hoz létre az elemzési szabály riasztásaiból. Az incidensek több összefüggő riasztást is tartalmazhatnak. Az eges incidensek kiindulási pontként és nyomkövetési mechanizmusként szolgálhatnak a környezet biztonsági problémáinak kivizsgálásához.
A Microsoft Sentinel áttekintése oldal
A Microsoft Sentinel incidenskezelése az Áttekintés oldalon kezdődik, ahol áttekintheti az aktuális Microsoft Sentinel-környezetet. Az Áttekintés lapon a legutóbbi incidensek listája és a Microsoft Sentinel egyéb fontos információi láthatók. Ezen a lapon megismerheti az általános biztonsági helyzetet az incidensek kivizsgálása előtt.