Formazione per le competenze di Microsoft Sentinel
Questo articolo illustra un training di livello 400 che consente di migliorare le competenze in Microsoft Sentinel. Il training comprende 21 moduli auto-passo che presentano la documentazione del prodotto pertinente, i post di blog e altre risorse.
I moduli elencati di seguito sono suddivisi in cinque parti che seguono il ciclo di vita di un Centro operazioni di sicurezza (SOC):
- Modulo 0: Altre opzioni di apprendimento e supporto
- Modulo 1: Introduzione a Microsoft Sentinel
- Modulo 2: Come viene usato Microsoft Sentinel?
Parte 2: Progettazione e distribuzione
- Modulo 3: Architettura dell'area di lavoro e del tenant
- Modulo 4: Raccolta dati
- Modulo 5: Gestione dei log
- Modulo 6: Arricchimento: Intelligence sulle minacce, watchlist e altro ancora
- Modulo 7: Trasformazione Log
- Modulo 8: Migrazione
- Modulo 9: Modello di informazioni SIEM avanzato e normalizzazione
Parte 3: Creazione di contenuto
- Modulo 10: Linguaggio di query Kusto
- Modulo 11: Analisi
- Modulo 12: Implementazione di SOAR
- Modulo 13: Cartelle di lavoro, creazione di report e visualizzazione
- Modulo 14: Notebook
- Modulo 15: Casi d'uso e soluzioni
- Modulo 16: Un giorno nella vita di un analista SOC, nella gestione degli eventi imprevisti e nell'indagine
- Modulo 17: Ricerca
- Modulo 18: Analisi del comportamento dell'utente e dell'entità (UEBA)
- Modulo 19: Monitoraggio dell'integrità di Microsoft Sentinel
- Modulo 20: Estensione e integrazione tramite le API di Microsoft Sentinel
- Modulo 21: Creare un machine learning personalizzato
Parte 1: Panoramica
Modulo 0: Altre opzioni di apprendimento e supporto
Questo training di competenze è un training di livello 400 basato sul training ninja di Microsoft Sentinel. Se non si vuole approfondire o si verifica un problema specifico da risolvere, altre risorse potrebbero essere più adatte:
- Anche se il training di competenze è esteso, naturalmente deve seguire uno script e non può espandersi su ogni argomento. Per informazioni su ogni articolo, vedere la documentazione di riferimento.
- È ora possibile essere certificati con la nuova certificazione SC-200: Microsoft Security Operations Analyst, che copre Microsoft Sentinel. Per una visualizzazione più ampia e di livello superiore della famiglia di prodotti Microsoft Security, è anche possibile prendere in considerazione SC-900: Microsoft Security, Compliance e Identity Fundamentals o AZ-500: Microsoft Azure Security Technologies.
- Se si è già esperti in Microsoft Sentinel, tenere traccia delle novità o partecipare al programma Microsoft Cloud Security Private Community per una visualizzazione precedente delle versioni future.
- Hai un'idea di funzionalità da condividere con noi? Inviare un messaggio nella pagina della voce dell'utente di Microsoft Sentinel.
- Sei un cliente premier? È possibile che si desideri il workshop sui concetti fondamentali di Microsoft Sentinel in loco o in remoto. Per altri dettagli, contattare customer success account manager.
- Si è verificato un problema specifico? Chiedere (o rispondere ad altri) nella community tecnica di Microsoft Sentinel. In alternativa, è possibile inviare un messaggio di posta elettronica alla domanda o al problema all'indirizzo MicrosoftSentinel@microsoft.com.
Modulo 1: Introduzione a Microsoft Sentinel
Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel offre funzionalità di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Offre un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Per altre informazioni, vedere Che cos'è Microsoft Sentinel?.
Per ottenere una panoramica iniziale delle funzionalità tecniche di Microsoft Sentinel, la presentazione di Ignite più recente è un buon punto di partenza. È anche possibile trovare la Guida introduttiva a Microsoft Sentinel utile (è necessaria la registrazione del sito).
In questo webinar di Microsoft Sentinel sono disponibili una panoramica più dettagliata: YouTube, MP4 o presentazione.
Infine, vuoi provarlo da solo? Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 o presentazione) offre un modo semplice per iniziare. Per informazioni su come iniziare, esaminare la documentazione sull'onboarding o visualizzare il video di configurazione e configurazione di Microsoft Sentinel di Insight.
Imparare da altri utenti
Migliaia di organizzazioni e provider di servizi usano Microsoft Sentinel. Come al solito con i prodotti per la sicurezza, la maggior parte delle organizzazioni non ne pubblicano il pubblico. Ancora, ecco alcuni che hanno:
- Trovare i casi d'uso dei clienti pubblici.
- Stuart Gregg, Security Operations Manager presso ASOS, ha pubblicato un post di blog molto più dettagliato dell'esperienza di Microsoft Sentinel, concentrandosi sulla ricerca.
Imparare dagli analisti
- Azure Sentinel ottiene un posizionamento leader in Forrester Wave, con la classifica più alta in Strategy
- Microsoft ha nominato un visionario nel quadrante magico di Gartner 2021 per SIEM per Microsoft Sentinel
Modulo 2: Come viene usato Microsoft Sentinel?
Molte organizzazioni usano Microsoft Sentinel come siem principale. La maggior parte dei moduli di questo corso illustra questo caso d'uso. In questo modulo vengono illustrati alcuni modi aggiuntivi per usare Microsoft Sentinel.
Come parte dello stack di sicurezza Microsoft
Usare Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft Defender XDR insieme per proteggere i carichi di lavoro Microsoft, tra cui Windows, Azure e Office:
- Altre informazioni sulla soluzione SIEM+XDR completa che combina Microsoft Sentinel e Microsoft Defender XDR.
- Per informazioni sul progetto Microsoft per le operazioni di sicurezza, vedere La bussola di sicurezza di Azure (ora Microsoft Security Best Practices).
- Leggere e guardare come questa configurazione consente di rilevare e rispondere a un attacco WebShell: blog o demo video.
- Visualizzare il webinar Better Together "Rilevamento, indagine e risposta degli attacchi OT e IOT".
Per monitorare i carichi di lavoro multicloud
Il cloud è (ancora) nuovo e spesso non monitorato con un'ampia gamma di carichi di lavoro locali. Leggere questa presentazione per informazioni su come Microsoft Sentinel può aiutare a colmare il divario di monitoraggio del cloud tra i cloud.
Side-by-side con il siem esistente
Per un periodo di transizione o per un periodo più lungo, se si usa Microsoft Sentinel per i carichi di lavoro cloud, è possibile usare Microsoft Sentinel insieme al siem esistente. È anche possibile usare entrambi con un sistema di ticket, ad esempio Service Now.
Per altre informazioni sulla migrazione da un altro siem a Microsoft Sentinel, vedere il webinar sulla migrazione: YouTube, MP4 o presentazione.
Esistono tre scenari comuni per la distribuzione side-by-side:
Se si dispone di un sistema di ticketing nel SOC, è consigliabile inviare avvisi o eventi imprevisti da entrambi i sistemi SIEM a un sistema di ticketing, ad esempio Service Now. Gli esempi includono l'uso della sincronizzazione bidirezionale degli eventi imprevisti di Microsoft Sentinel con ServiceNow o l'invio di avvisi arricchiti con eventi di supporto da Microsoft Sentinel a SIEM di terze parti.
Almeno inizialmente, molti utenti inviano avvisi da Microsoft Sentinel al siem locale. Per informazioni su come, vedere Inviare avvisi arricchiti con eventi di supporto da Microsoft Sentinel a SIEM di terze parti.
Nel corso del tempo, poiché Microsoft Sentinel copre più carichi di lavoro, in genere si inverte la direzione e si inviano avvisi dal siem locale a Microsoft Sentinel. A questo scopo:
- Per Splunk, vedere Inviare dati ed eventi rilevanti da Splunk a Microsoft Sentinel.
- Per QRadar, vedere Inviare le offese QRadar a Microsoft Sentinel.
- Per ArcSight, vedere Inoltro CEF (Common Event Format).
È anche possibile inviare gli avvisi da Microsoft Sentinel al sistema SIEM o di creazione di ticket di terze parti usando graph API Sicurezza. Questo approccio è più semplice, ma non abilita l'invio di altri dati.
Per gli MSSP
Poiché elimina il costo di configurazione ed è indipendente dalla posizione, Microsoft Sentinel è una scelta popolare per fornire SIEM come servizio. È disponibile un elenco di provider di servizi di sicurezza gestiti da membri (MSSP) di MISA (Microsoft Intelligent Security Association) che usano Microsoft Sentinel. Molti altri MSSP, in particolare quelli regionali e più piccoli, usano Microsoft Sentinel, ma non sono membri MISA.
Per iniziare il percorso come mssp, leggere i playbook tecnici di Microsoft Sentinel per gli MSSP. Altre informazioni sul supporto mssp sono incluse nel modulo successivo, che illustra l'architettura cloud e il supporto multi-tenant.
Parte 2: Progettazione e distribuzione
Anche se "Parte 1: Panoramica" offre modi per iniziare a usare Microsoft Sentinel in pochi minuti, prima di avviare una distribuzione di produzione, è importante creare un piano.
Questa sezione illustra le aree da considerare quando si progetta la soluzione e fornisce linee guida su come implementare la progettazione:
- Architettura dell'area di lavoro e del tenant
- Raccolta dati
- Gestione log
- Acquisizione di intelligence sulle minacce
Modulo 3: Architettura dell'area di lavoro e del tenant
Un'istanza di Microsoft Sentinel è denominata area di lavoro. L'area di lavoro è la stessa di un'area di lavoro Log Analytics e supporta qualsiasi funzionalità di Log Analytics. È possibile considerare Microsoft Sentinel come una soluzione che aggiunge funzionalità SIEM in un'area di lavoro Log Analytics.
Spesso sono necessarie più aree di lavoro e possono fungere da singolo sistema di Microsoft Sentinel. Un caso d'uso speciale consiste nel fornire un servizio usando Microsoft Sentinel (ad esempio, da un MSSP (managed security service provider) o da un SOC globale in un'organizzazione di grandi dimensioni.
Per altre informazioni sull'uso di più aree di lavoro come un sistema di Microsoft Sentinel, vedere Estendere Microsoft Sentinel tra aree di lavoro e tenant o visualizzare il webinar: YouTube, MP4 o presentazione.
Quando si usano più aree di lavoro, tenere presente quanto segue:
- Un driver importante per l'uso di più aree di lavoro è la residenza dei dati. Per altre informazioni, vedere Residenza dei dati di Microsoft Sentinel.
- Per distribuire Microsoft Sentinel e gestire i contenuti in modo efficiente in più aree di lavoro, è possibile gestire Microsoft Sentinel come codice usando la tecnologia di integrazione continua/recapito continuo (CI/CD). Una procedura consigliata per Microsoft Sentinel consiste nell'abilitare la distribuzione continua. Per altre informazioni, vedere Abilitare la distribuzione continua in modo nativo con i repository di Microsoft Sentinel.
- Quando si gestiscono più aree di lavoro come MSSP, è possibile proteggere la proprietà intellettuale MSSP in Microsoft Sentinel.
Il playbook tecnico di Microsoft Sentinel per i provider di servizi gestito fornisce linee guida dettagliate per molti di questi argomenti ed è utile per le organizzazioni di grandi dimensioni, non solo per gli MSSP.
Modulo 4: Raccolta dati
La base di un siem è la raccolta di dati di telemetria: eventi, avvisi e informazioni di arricchimento contestuali, ad esempio intelligence sulle minacce, dati sulle vulnerabilità e informazioni sugli asset. Ecco un elenco di origini a cui fare riferimento:
- Leggere i connettori dati di Microsoft Sentinel.
- Passare a Trova il connettore dati di Microsoft Sentinel per visualizzare tutti i connettori dati supportati e predefiniti. Sono disponibili collegamenti a procedure di distribuzione generiche e passaggi aggiuntivi necessari per connettori specifici.
- Scenari di raccolta dati: informazioni sui metodi di raccolta, ad esempio Logstash/CEF/WEF. Altri scenari comuni sono la restrizione delle autorizzazioni per le tabelle, il filtro dei log, la raccolta di log da Amazon Web Services (AWS) o Google Cloud Platform (GCP), i log non elaborati di Microsoft 365 e così via. Tutto è disponibile nel webinar "Scenari di raccolta dati": YouTube, MP4 o presentazione.
La prima informazione che verrà visualizzata per ogni connettore è il relativo metodo di inserimento dati. Il metodo visualizzato include un collegamento a una delle procedure di distribuzione generiche seguenti, che contengono la maggior parte delle informazioni necessarie per connettere le origini dati a Microsoft Sentinel:
| Metodo di inserimento dati | Articolo associato |
|---|---|
| Integrazione da servizio a servizio di Azure | Connessione ai servizi Azure, Windows, Microsoft e Amazon |
| Common Event Format (CEF) su Syslog | Ottenere log in formato CEF dal dispositivo o dall'appliance in Microsoft Sentinel |
| API dell'agente di raccolta dati di Microsoft Sentinel | Connessione l'origine dati all'API dell'agente di raccolta dati di Microsoft Sentinel per inserire dati |
| Funzioni di Azure e l'API REST | Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati |
| syslog | Raccogliere dati da origini basate su Linux usando Syslog |
| Log personalizzati | Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics |
Se l'origine non è disponibile, è possibile creare un connettore personalizzato. I connettori personalizzati usano l'API di inserimento e pertanto sono simili alle origini dirette. Spesso si implementano connettori personalizzati usando App per la logica di Azure, che offre un'opzione senza codice o Funzioni di Azure.
Modulo 5: Gestione dei log
La prima decisione di architettura da prendere in considerazione quando si configura Microsoft Sentinel è il numero di aree di lavoro e quelle da usare. Altre decisioni di architettura per la gestione dei log chiave da prendere in considerazione includono:
- Dove e per quanto tempo conservare i dati.
- Come gestire al meglio l'accesso ai dati e proteggerlo.
Inserimento, archiviazione, ricerca e ripristino dei dati all'interno di Microsoft Sentinel
Per iniziare, vedere il webinar "Gestire il ciclo di vita dei log con nuovi metodi per l'inserimento, l'archiviazione, la ricerca e il ripristino".
Questa suite di funzionalità contiene:
- Livello di inserimento di base: un nuovo piano tariffario per i log di Monitoraggio di Azure che consente di inserire i log a un costo inferiore. Questi dati vengono conservati nell'area di lavoro solo per otto giorni.
- Livello archivio: i log di Monitoraggio di Azure hanno ampliato la capacità di conservazione da due anni a sette anni. Con questo nuovo livello, è possibile conservare i dati per un massimo di sette anni in uno stato di archiviazione a basso costo.
- Processi di ricerca: attività di ricerca che eseguono KQL limitate per trovare e restituire tutti i log pertinenti. Questi processi eseguono ricerche nei dati nel livello di analisi, nel livello basic e nei dati archiviati.
- Ripristino dei dati: una nuova funzionalità che consente di selezionare una tabella dati e un intervallo di tempo in modo da poter ripristinare i dati nell'area di lavoro tramite una tabella di ripristino.
Per altre informazioni su queste nuove funzionalità, vedere Inserimento, archiviazione, ricerca e ripristino dei dati in Microsoft Sentinel.
Opzioni di conservazione alternative all'esterno della piattaforma Microsoft Sentinel
Se si vogliono conservare i dati per più di due anni o ridurre i costi di conservazione, è consigliabile usare Azure Esplora dati per la conservazione a lungo termine dei log di Microsoft Sentinel. Vedere le diapositive del webinar, la registrazione del webinar o il blog.
Vuoi informazioni più approfondite? Visualizzare il webinar "Miglioramento dell'ampiezza e della copertura della ricerca delle minacce con il supporto di ADX, altri tipi di entità e l'integrazione MITRE aggiornata".
Se si preferisce un'altra soluzione di conservazione a lungo termine, vedere Esportare da Microsoft Sentinel/area di lavoro Log Analytics in Archiviazione di Azure e Hub eventi o Spostare i log nell'archiviazione a lungo termine usando App per la logica di Azure. Il vantaggio dell'uso di App per la logica è che può esportare dati cronologici.
Infine, è possibile impostare periodi di conservazione con granularità fine usando le impostazioni di conservazione a livello di tabella. Per altre informazioni, vedere Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure (anteprima).
Sicurezza dei log
Usare il controllo degli accessi in base al ruolo delle risorse o il controllo degli accessi in base al ruolo a livello di tabella per consentire a più team di usare una singola area di lavoro.
Se necessario, eliminare il contenuto dei clienti dalle aree di lavoro.
Informazioni su come controllare le query dell'area di lavoro e l'uso di Microsoft Sentinel usando cartelle di lavoro e query di avvisi.
Usare collegamenti privati per assicurarsi che i log non lascino mai la rete privata.
Cluster dedicato
Usare un cluster di aree di lavoro dedicato se l'inserimento dati proiettato è di circa o più di 500 GB al giorno. Con un cluster dedicato è possibile proteggere le risorse per i dati di Microsoft Sentinel, che consentono prestazioni migliori delle query per set di dati di grandi dimensioni.
Modulo 6: Arricchimento: Intelligence sulle minacce, watchlist e altro ancora
Una delle funzioni importanti di un sistema SIEM consiste nell'applicare informazioni contestuali al flusso di eventi, che consente il rilevamento, la definizione delle priorità degli avvisi e l'analisi degli eventi imprevisti. Le informazioni contestuali includono, ad esempio, intelligence sulle minacce, informazioni sull'ip, host e utente e watchlist.
Microsoft Sentinel offre strumenti completi per importare, gestire e usare intelligence sulle minacce. Per altri tipi di informazioni contestuali, Microsoft Sentinel fornisce watchlist e altre soluzioni alternative.
Intelligence per le minacce
L'intelligence per le minacce è un blocco predefinito importante di un sistema SIEM. Visualizzare il webinar "Explore the Power of Threat Intelligence in Microsoft Sentinel".
In Microsoft Sentinel è possibile integrare l'intelligence sulle minacce usando i connettori predefiniti dei server TAXII (Trusted Automated eXchange of Indicator Information) o tramite microsoft Graph API Sicurezza. Per altre informazioni, vedere Integrazione di Intelligence sulle minacce in Microsoft Sentinel. Per altre informazioni sull'importazione dell'intelligence sulle minacce, vedere le sezioni Modulo 4: Raccolta dati.
Dopo l'importazione, l'intelligence sulle minacce viene usata ampiamente in Microsoft Sentinel. Le funzionalità seguenti sono incentrate sull'uso dell'intelligence sulle minacce:
Visualizzare e gestire l'intelligence sulle minacce importata nei log nella nuova area Intelligence per le minacce di Microsoft Sentinel.
Usare i modelli predefiniti di regole di analisi delle minacce per generare avvisi di sicurezza e eventi imprevisti usando l'intelligence sulle minacce importata.
Visualizzare le informazioni chiave sull'intelligence sulle minacce in Microsoft Sentinel usando la cartella di lavoro intelligence sulle minacce.
Visualizzare il webinar "Automate Your Microsoft Sentinel Triage Efforts with RiskIQ Threat Intelligence" ( Automatizzare le attività di valutazione di Microsoft Sentinel con RiskIQ Threat Intelligence): YouTube o presentazione.
Hai poco tempo? Visualizzare la sessione ignite (28 minuti).
Vuoi informazioni più approfondite? Visualizza il webinar "Approfondimento sull'intelligence sulle minacce": YouTube, MP4 o presentazione.
Watchlist e altri meccanismi di ricerca
Per importare e gestire qualsiasi tipo di informazioni contestuali, Microsoft Sentinel fornisce watchlist. Usando watchlist, è possibile caricare tabelle di dati in formato CSV e usarle nelle query KQL. Per altre informazioni, vedere Usare watchlist in Microsoft Sentinel o visualizzare il webinar "Usare gli elenchi di controllo per gestire gli avvisi, ridurre l'affaticamento degli avvisi e migliorare l'efficienza SOC": YouTube o presentazione.
Usare watchlist per semplificare gli scenari seguenti:
Analizzare le minacce e rispondere rapidamente agli eventi imprevisti: importa rapidamente indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, usare coppie nome-valore watchlist per join e filtri nelle regole di avviso, ricerca di minacce, cartelle di lavoro, notebook e query generali.
Importare dati aziendali come watchlist: ad esempio, importare elenchi di utenti con accesso al sistema con privilegi o dipendenti terminati. Usare quindi l'elenco di controllo per creare elenchi di elementi consentiti e elenchi di blocchi per rilevare o impedire a tali utenti di accedere alla rete.
Ridurre l'affaticamento degli avvisi: creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti di indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che eventi non dannosi diventino avvisi.
Arricchire i dati dell'evento: usare watchlist per arricchire i dati dell'evento con combinazioni nome-valore derivate da origini dati esterne.
Oltre agli watchlist, è possibile usare l'operatore KQL external-data, i log personalizzati e le funzioni KQL per gestire ed eseguire query sulle informazioni sul contesto. Ognuno dei quattro metodi presenta vantaggi e svantaggi ed è possibile leggere altre informazioni sui confronti tra di essi nel post di blog "Implementazione delle ricerche in Microsoft Sentinel". Anche se ogni metodo è diverso, l'uso delle informazioni risultanti nelle query è simile e consente di passare facilmente da un metodo all'altro.
Per idee sull'uso di watchlist al di fuori delle regole analitiche, vedere Usare watchlist per migliorare l'efficienza durante le indagini di Microsoft Sentinel.
Visualizza il webinar "Usa watchlist per gestire gli avvisi, ridurre l'affaticamento degli avvisi e migliorare l'efficienza SOC": YouTube o presentazione.
Modulo 7: Trasformazione Log
Microsoft Sentinel supporta due nuove funzionalità per l'inserimento e la trasformazione dei dati. Queste funzionalità, fornite da Log Analytics, agiscono sui dati anche prima che vengano archiviati nell'area di lavoro. Le funzionalità sono:
API di inserimento log: usarla per inviare log in formato personalizzato da qualsiasi origine dati all'area di lavoro Log Analytics e quindi archiviare tali log in determinate tabelle standard specifiche o in tabelle in formato personalizzato create dall'utente. È possibile eseguire l'inserimento effettivo di questi log usando chiamate API dirette. È possibile usare le regole di raccolta dati di Monitoraggio di Azure per definire e configurare questi flussi di lavoro.
Trasformazioni dei dati dell'area di lavoro per i log standard: usa regole di raccolta dati per escludere dati irrilevanti, per arricchire o contrassegnare i dati o nascondere informazioni riservate o personali. È possibile configurare la trasformazione dei dati in fase di inserimento per i tipi di connettori dati predefiniti seguenti:
- Connettori dati basati su Agente di Monitoraggio di Azure (AMA) (basati sul nuovo agente di Monitoraggio di Azure)
- Connettori dati basati su Microsoft Monitoring Agent (MMA) (basati sull'agente di log di Monitoraggio di Azure legacy)
- Connettori dati che usano le impostazioni di diagnostica
- Connettori dati da servizio a servizio
Per altre informazioni, vedi:
- Trasformare o personalizzare i dati in fase di inserimento in Microsoft Sentinel
- Trovare il connettore dati di Microsoft Sentinel
Modulo 8: Migrazione
In molti casi (se non nella maggior parte dei casi), si dispone già di una soluzione SIEM ed è necessario eseguire la migrazione a Microsoft Sentinel. Anche se potrebbe essere un buon momento per ricominciare e ripensare l'implementazione SIEM, è opportuno usare alcuni degli asset già compilati nell'implementazione corrente. Visualizzare il webinar "Procedure consigliate per la conversione delle regole di rilevamento" (da Splunk, QRadar e ArcSight ad Azure Microsoft Sentinel): YouTube, MP4, presentazione o blog.
È anche possibile che si sia interessati alle risorse seguenti:
- Mapping di Splunk Search Processing Language (SPL) a KQL
- Esempi di mapping delle regole ArcSight e QRadar
Modulo 9: Modello di informazioni SIEM avanzato e normalizzazione
L'uso di diversi tipi di dati e tabelle può presentare una sfida. È necessario acquisire familiarità con questi tipi di dati e schemi durante la scrittura e l'uso di un set univoco di regole di analisi, cartelle di lavoro e query di ricerca. La correlazione tra i tipi di dati necessari per l'analisi e la ricerca può anche essere difficile.
Advanced SIEM Information Model (ASIM) offre un'esperienza perfetta per la gestione di varie origini in visualizzazioni uniformi e normalizzate. ASIM è allineato al modello informativo comune OS edizione Standard M (Open Source Security Events Metadata), promuovendo la normalizzazione a livello di settore indipendente dal fornitore. Visualizzare il webinar "Advanced SIEM Information Model (ASIM): Now built into Microsoft Sentinel" (Modello di informazioni SIEM avanzato: Ora integrato in Microsoft Sentinel): YouTube o presentazione.
L'implementazione corrente si basa sulla normalizzazione del tempo di query, che usa le funzioni KQL:
Gli schemi normalizzati riguardano set standard di tipi di eventi stimabili facili da usare e creare funzionalità unificate. Lo schema definisce i campi che devono rappresentare un evento, una convenzione di denominazione delle colonne normalizzate e un formato standard per i valori dei campi.
- Visualizzare il webinar "Understanding normalization in Microsoft Sentinel" ( Informazioni sulla normalizzazione in Microsoft Sentinel): YouTube o presentazione.
- Visualizzare il webinar "Approfondimento sui parser di normalizzazione e contenuti normalizzati" di Microsoft Sentinel: YouTube, MP3 o presentazione.
I parser eseguono il mapping dei dati esistenti agli schemi normalizzati. I parser vengono implementati usando le funzioni KQL. Visualizza il webinar "Estendere e gestire ASIM: Sviluppo, test e distribuzione di parser" : YouTube o presentazione.
Il contenuto per ogni schema normalizzato include regole di analisi, cartelle di lavoro e query di ricerca. Questo contenuto funziona su tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine.
L'uso di ASIM offre i vantaggi seguenti:
Rilevamento tra origini: le regole di analisi normalizzate funzionano tra origini locali e nel cloud. Le regole rilevano attacchi, ad esempio la forza bruta o il viaggio impossibile tra sistemi, tra cui Okta, AWS e Azure.
Consente il contenuto indipendente dall'origine: la copertura del contenuto predefinito e personalizzato tramite ASIM si espande automaticamente a qualsiasi origine che supporta ASIM, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di elaborazione supporta qualsiasi origine che un cliente potrebbe usare per inserire i dati, tra cui Microsoft Defender per endpoint, eventi di Windows e Sysmon. È possibile aggiungere Sysmon per Linux e WEF quando è stato rilasciato.
Supporto per le origini personalizzate nell'analisi predefinita
Facilità d'uso: gli analisti che imparano ASIM trovano molto più semplice scrivere query perché i nomi dei campi sono sempre gli stessi.
Altre informazioni su ASIM
Sfruttare le risorse seguenti:
Visualizzare il webinar di panoramica sulla normalizzazione in Azure Sentinel: YouTube o presentazione.
Visualizzare il webinar "Approfondimento sulla normalizzazione dei parser e sui contenuti normalizzati" di Microsoft Sentinel: YouTube, MP3 o presentazione.
Visualizza il webinar "Turbocharge ASIM: Assicurati che la normalizzazione aiuti le prestazioni invece di influire su di esso" : YouTube, MP4 o presentazione.
Leggere la documentazione di ASIM.
Distribuire ASIM
Distribuire i parser dalle cartelle, a partire da "ASIM*" nella cartella parsers in GitHub.
Attivare le regole analitiche che usano ASIM. Cercare normale nella raccolta modelli per trovarli. Per ottenere l'elenco completo, usare questa ricerca in GitHub.
Usare ASIM
Usare le query di ricerca di ASIM da GitHub.
Usare query ASIM quando si usa KQL nella schermata di log.
Scrivere regole di analisi personalizzate usando ASIM o convertire le regole esistenti.
Scrivere parser per le origini personalizzate per renderli compatibili con ASIM e partecipare all'analisi predefinita.
Parte 3: Creazione di contenuto
Che cos'è il contenuto di Microsoft Sentinel?
Il valore della sicurezza di Microsoft Sentinel è una combinazione delle funzionalità predefinite e della possibilità di creare funzionalità personalizzate e personalizzare quelle predefinite. Tra le funzionalità predefinite, sono disponibili regole di analisi del comportamento di utenti ed entità (UEBA), machine learning o predefinite. Le funzionalità personalizzate vengono spesso definite "contenuto" e includono regole analitiche, query di ricerca, cartelle di lavoro, playbook e così via.
In questa sezione sono stati raggruppati i moduli che consentono di apprendere come creare tali contenuti o modificare contenuti predefiniti in base alle proprie esigenze. Si inizia con KQL, la lingua franca di Azure Microsoft Sentinel. I moduli seguenti illustrano uno dei blocchi predefiniti del contenuto, ad esempio regole, playbook e cartelle di lavoro. Vengono descritti i casi d'uso, che includono elementi di tipi diversi che rispondono a specifici obiettivi di sicurezza, ad esempio rilevamento delle minacce, ricerca o governance.
Modulo 10: Linguaggio di query Kusto
La maggior parte delle funzionalità di Microsoft Sentinel usa Linguaggio di query Kusto (KQL). Quando si esegue la ricerca nei log, si scrivono regole, si creano query di ricerca o si progettano cartelle di lavoro, si usa KQL.
La sezione successiva sulla scrittura di regole illustra come usare KQL nel contesto specifico delle regole SIEM.
Percorso consigliato per l'apprendimento di Microsoft Sentinel KQL
Corso pluralsight KQL: fornisce le nozioni di base
Must Learn KQL: una serie KQL in 20 parti che illustra le nozioni di base della creazione della prima regola di analisi (include una valutazione e un certificato)
Il lab KQL di Microsoft Sentinel: un lab interattivo che insegna KQL con particolare attenzione a ciò che serve per Microsoft Sentinel:
- Modulo di apprendimento (SC-200 parte 4)
- URL presentazione o lab
- Versione dei notebook di Jupyter che consente di testare le query all'interno del notebook
- Webinar di apprendimento: YouTube o MP4
- Webinar sulla revisione delle soluzioni lab: YouTube o MP4
Webinar "Ottimizzazione delle query KQL di Azure Sentinel" : YouTube, MP4 o presentazione
"Uso di ASIM nelle query KQL": YouTube o presentazione
Webinar "KQL framework for Microsoft Sentinel: Empowering you to become KQL-savvy" ( Framework KQL per Microsoft Sentinel: supporto per diventare KQL-savvy): YouTube o presentazione
Durante l'apprendimento di KQL, è anche possibile trovare i riferimenti seguenti utili:
Modulo 11: Analisi
Scrittura di regole di analisi pianificate
Con Microsoft Sentinel è possibile usare modelli di regola predefiniti, personalizzare i modelli per l'ambiente o creare regole personalizzate. Il nucleo delle regole è una query KQL; Tuttavia, c'è molto di più di quello da configurare in una regola.
Per informazioni sulla procedura per la creazione di regole, vedere Creare regole di analisi personalizzate per rilevare le minacce. Per informazioni su come scrivere regole (vale a dire, cosa deve andare in una regola, concentrandosi su KQL per le regole), visualizzare il webinar: YouTube, MP4 o presentazione.
Le regole di analisi SIEM hanno modelli specifici. Informazioni su come implementare regole e scrivere KQL per questi modelli:
Regole di correlazione: vedere Uso degli elenchi e dell'operatore "in" o uso dell'operatore "join"
Aggregazione: vedere Uso di elenchi e dell'operatore "in" o di una finestra scorrevole più avanzata per la gestione dei criteri
Ricerche: ricerche regolari, o approssimative, parziali e combinate
Gestione dei falsi positivi
Eventi ritardati: un fatto di vita in qualsiasi SIEM e sono difficili da affrontare. Microsoft Sentinel consente di ridurre i ritardi nelle regole.
Usare le funzioni KQL come blocchi predefiniti: arricchire Sicurezza di Windows Eventi con funzioni con parametri.
Il post di blog "Indagini sull'archiviazione BLOB e file" offre un esempio dettagliato di scrittura di una regola analitica utile.
Uso dell'analisi predefinita
Prima di iniziare a scrivere una regola personalizzata, è consigliabile sfruttare le funzionalità di analisi predefinite. Non richiedono molto da te, ma vale la pena di conoscerli:
Usare i modelli di regola pianificati predefiniti. È possibile ottimizzare questi modelli modificandoli allo stesso modo per modificare qualsiasi regola pianificata. Assicurarsi di distribuire i modelli per i connettori dati connessi, elencati nella scheda Passaggi successivi del connettore dati.
Altre informazioni sulle funzionalità di Machine Learning di Microsoft Sentinel: YouTube, MP4 o presentazione.
Ottenere l'elenco dei rilevamenti avanzati e a più fasi (Fusion) di Microsoft Sentinel, abilitati per impostazione predefinita.
Visualizzare il webinar "Fusion Machine Learning detections with scheduled analytics rules" (Rilevamenti di Machine Learning Fusion con regole di analisi pianificate): YouTube, MP4 o presentazione.
Altre informazioni sulle anomalie di Machine Learning SOC predefinite di Microsoft Sentinel.
Visualizzare il webinar "Customd SOC-Machine Learning anomalie and how to use them" ( Anomalie personalizzate soC-machine learning e come usarle): YouTube, MP4 o presentazione.
Visualizzare il webinar "Fusion Machine Learning detections for emerging threats and configuration UI" ( Rilevamenti di Machine Learning Fusion per minacce e interfaccia utente di configurazione emergenti): YouTube o presentazione.
Modulo 12: Implementazione di SOAR
Nei SIEM moderni, ad esempio Microsoft Sentinel, SOAR costituisce l'intero processo dal momento in cui viene attivato un evento imprevisto fino a quando non viene risolto. Questo processo inizia con un'indagine sugli eventi imprevisti e continua con una risposta automatizzata. Il post di blog "Come usare Microsoft Sentinel per la risposta agli eventi imprevisti, l'orchestrazione e l'automazione" offre una panoramica dei casi d'uso comuni per SOAR.
Le regole di automazione sono il punto di partenza per l'automazione di Microsoft Sentinel. Forniscono un metodo leggero di gestione centralizzata e automatizzata degli eventi imprevisti, tra cui l'eliminazione, la gestione dei falsi positivi e l'assegnazione automatica.
Per offrire funzionalità di automazione affidabili basate sul flusso di lavoro, le regole di automazione usano i playbook di App per la logica. Per altre informazioni, vedere:
Visualizzare il webinar "Scatenare i trucchi jedi di automazione e creare playbook di App per la logica come un capo" : YouTube, MP4 o presentazione.
Informazioni su App per la logica, ovvero la tecnologia di base che guida i playbook di Microsoft Sentinel.
Vedere Connettore di App per la logica di Microsoft Sentinel, collegamento tra App per la logica e Microsoft Sentinel.
Sono disponibili decine di playbook utili nella cartellaPlaybook nel sito GitHub di Microsoft Sentinel oppure leggere Un playbook usando un watchlist per informare un proprietario della sottoscrizione su un avviso per una procedura dettagliata per un playbook.
Modulo 13: Cartelle di lavoro, creazione di report e visualizzazione
Workbooks
Come centro nervoso del SOC, Microsoft Sentinel è necessario per visualizzare le informazioni raccolte e produce. Usare le cartelle di lavoro per visualizzare i dati in Microsoft Sentinel.
Per informazioni su come creare cartelle di lavoro, leggere la documentazione di Cartelle di lavoro di Azure o guardare il training delle cartelle di lavoro di Billy York (e il testo a cui si accompagna).
Le risorse menzionate non sono specifiche di Microsoft Sentinel. Si applicano in generale alle cartelle di lavoro. Per altre informazioni sulle cartelle di lavoro in Microsoft Sentinel, vedere il webinar: YouTube, MP4 o presentazione. Leggi la documentazione.
Le cartelle di lavoro possono essere interattive e abilitare molto di più rispetto alla creazione di grafici. Con le cartelle di lavoro, è possibile creare app o moduli di estensione per Microsoft Sentinel per integrare la funzionalità predefinita. È anche possibile usare le cartelle di lavoro per estendere le funzionalità di Microsoft Sentinel. Ecco alcuni esempi di tali app:
La cartella di lavoro di Investigation Insights offre un approccio alternativo all'analisi degli eventi imprevisti.
La visualizzazione del grafico delle collaborazioni esterne di Teams consente di cercare l'uso di Teams rischioso.
La cartella di lavoro della mappa di viaggio degli utenti consente di analizzare gli avvisi relativi alla posizione geografica.
La guida all'implementazione della cartella di lavoro dei protocolli non sicuri di Microsoft Sentinel, i miglioramenti recenti e il video di panoramica consentono di identificare l'uso di protocolli non sicuri nella rete.
Infine, informazioni su come integrare le informazioni da qualsiasi origine usando le chiamate API in una cartella di lavoro.
Sono disponibili decine di cartelle di lavoro nella cartella Cartelle di lavoro in GitHub di Microsoft Sentinel. Alcuni di essi sono disponibili anche nella raccolta cartelle di lavoro di Microsoft Sentinel.
Creazione di report e altre opzioni di visualizzazione
Le cartelle di lavoro possono essere usate per la creazione di report. Per funzionalità di creazione di report più avanzate, ad esempio la pianificazione e la distribuzione dei report o le tabelle pivot, è possibile usare:
Power BI, che si integra in modo nativo con i log di Monitoraggio di Azure e Microsoft Sentinel.
Excel, che può usare i log di Monitoraggio di Azure e Microsoft Sentinel come origine dati e visualizzare il video "Integrare i log di Monitoraggio di Azure ed Excel con Monitoraggio di Azure".
I notebook di Jupyter, un argomento trattato più avanti nel modulo di ricerca, sono anche un ottimo strumento di visualizzazione.
Modulo 14: Notebook
I notebook di Jupyter sono completamente integrati con Microsoft Sentinel. Anche se considerato uno strumento importante nel petto degli strumenti del cacciatore e discusso i webinar nella sezione di caccia di seguito, il loro valore è molto più ampio. I notebook possono essere usati per la visualizzazione avanzata, come guida all'indagine e per l'automazione sofisticata.
Per comprendere meglio i notebook, vedere il video Introduzione ai notebook. Iniziare a usare il webinar sui notebook (YouTube, MP4 o presentazione) o leggere la documentazione. La serie Ninja dei notebook di Microsoft Sentinel è una serie di training in corso per migliorare l'esperienza nei notebook.
Una parte importante dell'integrazione è implementata da MSTICPy, che è una libreria Python sviluppata dal team di ricerca da usare con i notebook di Jupyter. Aggiunge interfacce di Microsoft Sentinel e funzionalità di sicurezza sofisticate ai notebook.
Modulo 15: Casi d'uso e soluzioni
Con connettori, regole, playbook e cartelle di lavoro, è possibile implementare casi d'uso, ovvero il termine SIEM per un pacchetto di contenuto destinato a rilevare e rispondere a una minaccia. È possibile distribuire casi d'uso predefiniti di Microsoft Sentinel attivando le regole suggerite durante la connessione di ogni connettore. Una soluzione è un gruppo di casi d'uso che rispondono a un dominio di minacce specifico.
Il webinar "Affrontare l'identità" (YouTube, MP4 o presentazione) spiega cosa è un caso d'uso e come affrontare la progettazione e presenta diversi casi d'uso che affrontano collettivamente le minacce all'identità.
Un'altra area di soluzione pertinente è la protezione del lavoro remoto. Visualizzare la sessione ignite sulla protezione del lavoro remoto e altre informazioni sui casi d'uso specifici seguenti:
Casi d'uso di Ricerca di Microsoft Teams e Visualizzazione graph delle collaborazioni esterne di Microsoft Teams
Monitoraggio zoom con Microsoft Sentinel: connettori personalizzati, regole analitiche e query di ricerca.
Monitoraggio di Desktop virtuale Azure con Microsoft Sentinel: usare eventi Sicurezza di Windows, log di accesso di Microsoft Entra, Microsoft Defender XDR per endpoint e log di diagnostica di Desktop virtuale Azure per rilevare e cercare minacce per Desktop virtuale Azure.
Monitorare Microsoft Intune usando query e cartelle di lavoro.
Infine, concentrandosi sugli attacchi recenti, si apprenderà come monitorare la supply chain del software con Microsoft Sentinel.
Le soluzioni di Microsoft Sentinel offrono l'individuabilità nel prodotto, la distribuzione in un unico passaggio e l'abilitazione di scenari end-to-end di prodotti, domini e/o verticali in Microsoft Sentinel. Per altre informazioni, vedere Informazioni su contenuti e soluzioni di Microsoft Sentinel e visualizzare il webinar "Creare soluzioni Microsoft Sentinel personalizzate" : YouTube o presentazione.
Parte 4: Funzionamento
Modulo 16: Gestione degli eventi imprevisti
Dopo aver compilato il SOC, è necessario iniziare a usarlo. Il webinar "day in an SOC analyst's life" (YouTube, MP4 o presentation) illustra l'uso di Microsoft Sentinel nel SOC per valutare, analizzare e rispondere agli eventi imprevisti.
Per consentire ai team di collaborare senza problemi nell'organizzazione e con gli stakeholder esterni, vedere Integrazione con Microsoft Teams direttamente da Microsoft Sentinel. E visualizzare il webinar "Riduci mttr (tempo medio per rispondere) del SOC integrando Microsoft Sentinel con Microsoft Teams ".
È anche possibile leggere l'articolo della documentazione sull'indagine sugli eventi imprevisti. Come parte dell'indagine, si useranno anche le pagine delle entità per ottenere altre informazioni sulle entità correlate all'evento imprevisto o identificate come parte dell'indagine.
L'indagine sugli eventi imprevisti in Microsoft Sentinel si estende oltre la funzionalità di indagine principale degli eventi imprevisti. È possibile creare strumenti di analisi aggiuntivi usando cartelle di lavoro e notebook, i notebook sono descritti nella sezione successiva, Modulo 17: Ricerca. È anche possibile creare altri strumenti di analisi o modificarne quelli esistenti in base alle esigenze specifiche. Alcuni esempi:
La cartella di lavoro di Investigation Insights offre un approccio alternativo all'analisi degli eventi imprevisti.
I notebook migliorano l'esperienza di indagine. Per informazioni su come usare Jupyter per le indagini sulla sicurezza, vedere Perché usare Jupyter notebook di Microsoft Sentinel e Jupyter:
Modulo 17: Ricerca
Sebbene la maggior parte delle discussioni abbia finora incentrato sul rilevamento e sulla gestione degli eventi imprevisti, la ricerca è un altro caso d'uso importante per Microsoft Sentinel. La ricerca è una ricerca proattiva di minacce anziché una risposta reattiva agli avvisi.
Il dashboard di ricerca viene costantemente aggiornato. Mostra tutte le query scritte dal team microsoft di analisti della sicurezza e tutte le query aggiuntive create o modificate. Ogni query fornisce una descrizione del tipo di ricerca e del tipo di dati su cui viene eseguito. Questi modelli sono raggruppati in base alle varie tattiche. Le icone a destra classificano il tipo di minaccia, ad esempio l'accesso iniziale, la persistenza e l'esfiltrazione. Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel.
Per altre informazioni sulla ricerca e sul modo in cui Microsoft Sentinel lo supporta, vedere il webinar introduttivo "Ricerca di minacce": YouTube, MP4 o presentazione. Il webinar inizia con un aggiornamento sulle nuove funzionalità. Per informazioni sulla caccia, iniziare dalla diapositiva 12. Il video di YouTube è già impostato per iniziare.
Anche se il webinar introduttivo è incentrato sugli strumenti, la ricerca riguarda la sicurezza. Il webinar del nostro team di ricerca sulla sicurezza (YouTube, MP4 o presentazione) è incentrato su come cercare effettivamente.
Il webinar di completamento, "Ricerca di minacce AWS con Microsoft Sentinel" (YouTube, MP4 o presentazione) guida il punto mostrando uno scenario di ricerca end-to-end in un ambiente di destinazione di alto valore.
Infine, è possibile imparare a eseguire la ricerca post-compromissione di SolarWinds con Microsoft Sentinel e la ricerca di WebShell, motivata dalle più recenti vulnerabilità nei server Microsoft Exchange locali.
Modulo 18: Analisi del comportamento dell'utente e dell'entità (UEBA)
Il modulo UEBA (User and Entity Behavior Analytics) di Microsoft Sentinel appena introdotto consente di identificare e analizzare le minacce all'interno dell'organizzazione e il loro potenziale impatto, indipendentemente dal fatto che provengano da un'entità compromessa o da un utente malintenzionato.
Poiché Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione (ad esempio utenti, host, indirizzi IP e applicazioni) nel tempo e nell'orizzonte del gruppo peer. Tramite varie tecniche e funzionalità di Machine Learning, Microsoft Sentinel può quindi identificare le attività anomale e determinare se un asset è stato compromesso. Inoltre, può determinare la sensibilità relativa di risorse specifiche, identificare gruppi peer di risorse e valutare l'impatto potenziale di qualsiasi risorsa compromessa: il cosiddetto raggio di attacco. Con queste informazioni, è possibile classificare in ordine di priorità l'indagine e la gestione degli eventi imprevisti in modo efficace.
Scopri di più sull'UEBA visualizzando il webinar (YouTube, MP4 o presentazione) e leggi l'uso di UEBA per le indagini nel tuo SOC.
Per informazioni sugli aggiornamenti più recenti, vedere il webinar "Future of Users Entity Behavior Analytics in Microsoft Sentinel".
Modulo 19: Monitoraggio dell'integrità di Microsoft Sentinel
Parte del funzionamento di un sistema SIEM garantisce che funzioni senza problemi ed è un'area in continua evoluzione in Azure Microsoft Sentinel. Usare quanto segue per monitorare l'integrità di Microsoft Sentinel:
Misurare l'efficienza delle operazioni di sicurezza (video).
La tabella dei dati sull'integrità di Microsoft Sentinel fornisce informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti per ogni connettore o i connettori con modifiche da esito positivo a stati di errore, che è possibile usare per creare avvisi e altre azioni automatizzate. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati. Visualizzare il video "Data Connessione ors Health Monitoring Workbook". E ricevere notifiche sulle anomalie.
Monitorare gli agenti usando la soluzione di integrità degli agenti (solo Windows) e la tabella Heartbeat (Linux e Windows).
Monitorare l'area di lavoro Log Analytics: YouTube, MP4 o presentazione, inclusi l'esecuzione delle query e l'integrità dell'inserimento.
La gestione dei costi è anche una procedura operativa importante nel SOC. Usare il playbook avvisi costi di inserimento per assicurarsi di essere sempre a conoscenza di eventuali aumenti dei costi.
Parte 5: Avanzate
Modulo 20: Estensione e integrazione tramite le API di Microsoft Sentinel
Come siem nativo del cloud, Microsoft Sentinel è un sistema API-first. Ogni funzionalità può essere configurata e usata tramite un'API, consentendo un'integrazione semplice con altri sistemi ed estendendo Microsoft Sentinel con il proprio codice. Se l'API sembra intimidire, non preoccuparti. Qualsiasi elemento disponibile usando l'API è disponibile anche tramite PowerShell.
Per altre informazioni sulle API di Microsoft Sentinel, vedere il breve video introduttivo e leggere il post di blog. Per un approfondimento, vedere il webinar "Estensione e integrazione di Sentinel (API)" (YouTube, MP4 o presentazione) e leggere il post di blog Estensione di Microsoft Sentinel: API, integrazione e automazione della gestione.
Modulo 21: Creare un machine learning personalizzato
Microsoft Sentinel offre una piattaforma ideale per l'implementazione di algoritmi di Machine Learning personalizzati. Viene chiamato modello di Machine Learning personalizzato o BYO ML. BYO ML è destinato agli utenti avanzati. Se si sta cercando un'analisi comportamentale predefinita, usare le regole di analisi di Machine Learning o il modulo UEBA o scrivere regole di analisi comportamentali personalizzate basate su KQL.
Per iniziare a portare il proprio machine learning in Microsoft Sentinel, visualizzare il video "Creare un modello di Machine Learning personalizzato" e leggere il post di blog Build-your-own Machine Learning model detections (Rilevamenti di modelli di Machine Learning personalizzati) nel post di blog SIEM di Azure Sentinel immersi nell'intelligenza artificiale. È anche possibile fare riferimento alla documentazione di BYO ML.
Passaggi successivi
- Attività di pre-distribuzione e prerequisiti per la distribuzione di Microsoft Azure Sentinel
- Avvio rapido: Onboarding in Microsoft Azure Sentinel
- Novità di Microsoft Sentinel
Contenuti consigliati
- Procedure consigliate per Microsoft Sentinel
- Progettazioni di aree di lavoro di esempio di Microsoft Azure Sentinel
- Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel
- Ruoli e autorizzazioni in Microsoft Sentinel
- Distribuire Microsoft Sentinel side-by-side con un siem esistente