A Microsoft Sentinel működése

  • 10 perc

Ahogy már megtanulta, a Microsoft Sentinel segít a végpontok közötti biztonsági műveletek engedélyezésében. Ide tartozik a naplók betöltésétől kezdve a biztonsági riasztásokra adott automatikus válaszokig számos tevékenység.

Az alábbiakban a Microsoft Sentinel főbb funkcióit és összetevőit találja.

Adatösszekötők

Első lépésként be kell illesztenie az adatait a Microsoft Sentinelbe. Az adatösszekötők pontosan ezt teszik lehetővé. Mindössze egy gomb kiválasztásával hozzáadhat szolgáltatásokat, például az Azure-tevékenységnaplókat. Másokat konfigurálni is kell egy kicsit, ilyen például a syslog. Vannak olyan adatösszekötők, amelyek minden forgatókönyvet és erőforrást érintenek, ideértve többek között az alábbiakat is:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (intelligens veszélyforrás-felderítéshez)
  • Azure
  • AWS-szolgáltatások

Ezen a képernyőképen az adatösszekötők részleges listája látható a Microsoft Sentinel felhasználói felületén a Azure Portal.

Napló megőrzése

Miután betöltötte az adatokat a Microsoft Sentinelbe, az adatokat a Log Analytics tárolja. A Log Analytics használatának számos előnye van, például lehetősége van a Kusto lekérdezési nyelvet (KQL) használni adatai lekérdezéséhez. A KQL sokoldalú lekérdezési nyelv, amelynek használatával Ön elmélyülhet az adatok elemzésében, és betekintő adatokat nyerhet belőlük.

A Log Analytics-munkaterület képernyőképe az Azure Portalról.

Munkafüzetek

Munkafüzetek használatával jelenítheti meg az adatokat a Microsoft Sentinelben. A munkafüzeteket irányítópultokként is felfoghatjuk. Ezek minden egyes összetevője egy-egy háttérben futó KQL nyelven feltett, az Ön adataira vonatkozó lekérdezés felhasználásával készült. Használhatja a Microsoft Sentinel beépített munkafüzeteit, szerkesztheti őket a saját igényeinek megfelelően, vagy létrehozhat saját munkafüzeteket az alapoktól. Ha már használta az Azure Monitor-munkafüzeteket, akkor ez a funkció ismerős lesz Önnek, tekintve, hogy ez a Monitor-munkafüzetek Sentinel implementációja.

Ez a képernyőkép egy Microsoft Sentinel-munkafüzetre mutat példát.

Elemzési riasztások

Eddig rendelkezik naplókkal és néhány adatvizualizációval. Most jól jönne némi proaktív adatelemzés, hogy értesülhessen arról, ha valami gyanús esemény történik. A Sentinel-munkaterületen belül számos beépített elemzési riasztást engedélyezhet. A riasztásoknak különböző típusai vannak, van köztük olyan, amelyet saját igényei szerint szerkeszthet. Más riasztások a Microsoft saját gépi tanulási modelljeire épülnek. Létrehozhat teljesen új egyéni ütemezett riasztásokat is.

Ez a képernyőkép a Microsoft Sentinel-munkafüzetben elérhető beépített elemzési riasztásokat mutatja be.

Veszélyforrás-keresés

Ebben a modulban nem vizsgáljuk meg részletesen a veszélyforrások felderítését. Ha azonban a SOC-elemzőknek gyanús tevékenység forrását kell megkeresniük, használhatják a beépített veszélyforrás-keresőket is. Az elemzők létrehozhatnak saját lekérdezéseket is. A Sentinel integrálható az Azure Notebooksszal is. Több példanotebookot is kínál a tapasztaltabb vadászok számára, akik egy programnyelv minden eszközét ki szeretnék használni az adatok átvizsgálása során.

Ez a képernyőkép a Microsoft Sentinel veszélyforrás-keresési felületét mutatja be.

Incidensek és vizsgálatok

Amikor egy Ön által engedélyezett riasztás aktiválódik, a rendszer incidenst hoz létre. A Microsoft Sentinelben szabványos incidenskezelési feladatokat végezhet, például módosíthatja az állapotot, vagy incidenseket rendelhet személyekhez vizsgálat céljából. A Microsoft Sentinel vizsgálati funkcióval is rendelkezik, így az entitások naplóadatok közötti leképezésével vizuálisan kivizsgálhatja az incidenseket egy idővonal mentén.

Ez a képernyőkép egy incidensvizsgálati grafikont mutat be a Microsoft Sentinelben.

Automatizálási forgatókönyvek

Mivel képes incidensekre automatikusan válaszolni, automatizálhatja a biztonsági műveletek egy részét is, így növelheti a SOC hatékonyságát is. A Microsoft Sentinel integrálható az Azure Logic Appsszel, így automatizált munkafolyamatokat vagy forgatókönyveket hozhat létre az eseményekre válaszul. Ezzel a funkcióval létrehozhat incidenskezelést végrehajtó, bővítő, vizsgálatot végző vagy szervizelő munkafolyamatokat. Ezeket a képességeket gyakran biztonsági vezénylésnek, automatizálásnak és válasznak (SOAR) is nevezik.

A képernyőképen példa látható arra, hogy az Azure Logic Apps használatos a biztonsági incidens szervizelésére.

SOC-elemzőként most már láthatja, hogyan segíthet a Microsoft Sentinel a céljai elérésében. Elvégezheti például az alábbiakat:

  • Adatok betöltése felhőbeli vagy helyszíni környezetekből.
  • Elemzés elvégzése ezeken az adatokon.
  • Minden felmerülő incidens kezelése és kivizsgálása.
  • Esetleg automatikus reagálás forgatókönyvek használatával.

Más szóval a Microsoft Sentinel átfogó megoldást kínál a biztonsági műveletekhez.