Előző

Következő

Incidensek ismertetése

Befejeződött

A vállalat technológiával kapcsolatos fenyegetéseit incidenseknek nevezzük. Az incidenskezelés az incidensek vizsgálatának teljes folyamata, az incidensek létrehozásától a részletes vizsgálatig és megoldásig. A Microsoft Sentinel segíthet az informatikai csapatnak az incidensek rendezésében, kivizsgálásában és nyomon követésében a létrehozástól a megoldáson keresztül.

A Microsoft Sentinel használatával áttekintheti az incidens részletes adatait, hozzárendelhet egy incidenstulajdonost, beállíthatja és fenntarthatja az incidens súlyosságát, és kezelheti az incidens állapotát. A Microsoft Sentinel teljes incidenskezelési környezetet biztosít a lépések kezeléséhez.

Fő fogalmak

Fontos tisztában lenni a Microsoft Sentinel incidenskezelési alapelveivel:

• Adatösszekötők. A Microsoft Sentinel adatösszekötőkkel betöltheti és gyűjtheti az adatokat a biztonsággal kapcsolatos szolgáltatásokból. Az adatösszekötők a Log Analytics-ügynököt futtató Linux- vagy Windows-számítógépekről, linuxos syslog-kiszolgálóról, tűzfalakhoz vagy proxykhoz, vagy közvetlenül a Microsoft Azure-szolgáltatásokból gyűjthetnek eseményeket. Ezek az események a Microsoft Sentinelhez társított Log Analytics-munkaterületre kerülnek.
• Események. A Microsoft Sentinel egy Log Analytics-munkaterületen tárolja az eseményeket. Ezek az események a Microsoft Sentinel által monitorozni kívánt, biztonsággal kapcsolatos tevékenységek részleteit tartalmazzák.
• Elemzési szabályok. Az elemzési szabályok észlelik a fontos biztonsági eseményeket, és riasztásokat hoznak létre. Elemzési szabályokat beépített sablonokkal vagy egyéni Kusto lekérdezésnyelv (KQL) lekérdezésekkel hozhat létre a Microsoft Sentinel Log Analytics-munkaterületeihez.
• Riasztások. Az elemzési szabályok riasztásokat generálnak, ha lényeges biztonsági eseményeket észlelnek. Riasztásokat konfigurálhat incidensek létrehozásához.
• Incidensek. A Microsoft Sentinel incidenseket hoz létre az elemzési szabály riasztásaiból. Az incidensek több összefüggő riasztást is tartalmazhatnak. Az eges incidensek kiindulási pontként és nyomkövetési mechanizmusként szolgálhatnak a környezet biztonsági problémáinak kivizsgálásához.

A Microsoft Sentinel áttekintése oldal

A Microsoft Sentinel incidenskezelése az Áttekintés oldalon kezdődik, ahol áttekintheti az aktuális Microsoft Sentinel-környezetet. Az Áttekintés lapon a legutóbbi incidensek listája és a Microsoft Sentinel egyéb fontos információi láthatók. Ezen a lapon megismerheti az általános biztonsági helyzetet az incidensek kivizsgálása előtt.

Tesztelje tudását

1.

Melyik Microsoft Sentinel-összetevő hoz létre riasztásokat?

Incidensek.

Elemzési szabályok.

Adatösszekötők.

Események.

2.

Mi az incidenskezelés elsődleges célja a Microsoft Sentinelben?

Az Azure biztonsági állapotának megismerése.

Az Összes Azure-probléma nyomon követése és kezelése.

A biztonsági problémák nyomon követése és megoldása a szervezet környezetében.

Biztonsági szerepkörök kezelése a környezetben.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás