Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra i diversi componenti di una soluzione Microsoft Sentinel e come possono collaborare per affrontare scenari importanti per i clienti.
La piattaforma Sentinel include un data lake, un grafo, processi notebook di Jupyter, un server MCP (Model Context Protocol) e dati di oltre 300 connettori Sentinel per aiutare i clienti a centralizzare e analizzare i dati di sicurezza in modo conveniente. Queste funzionalità e Microsoft Security Copilot consentono a clienti e partner di creare soluzioni di impatto, che possono essere pubblicate tramite Microsoft Security Store.
Sentinel SIEM viene usato dai team delle operazioni di sicurezza (SOC) per generare rilevamenti, analizzare comportamenti dannosi e correggere le minacce. Creando connettori Sentinel per inserire nuovi dati e creando contenuti come regole di analisi, playbook, query di ricerca, parser e cartelle di lavoro, i partner possono aiutare i team SOC a ottenere informazioni necessarie per identificare le minacce e rispondere in modo appropriato. Sentinel soluzioni SIEM vengono pubblicate tramite l'hub contenuti di Sentinel.
Raccolta dei dati
Sia che si stia creando una soluzione che usa componenti della piattaforma o che abbia come destinazione un'integrazione SIEM Sentinel, è fondamentale disporre dei dati corretti per lo scenario.
Sentinel Connettori consentono di inserire dati in Sentinel, che possono quindi essere analizzati nel lago usando i notebook e i processi di Jupyter o risolti con contenuti SIEM Sentinel, ad esempio regole di analisi e query di ricerca.
Tali dati possono includere i tipi seguenti:
| Tipo | Descrizione |
|---|---|
| Dati non elaborati | Supporta i rilevamenti e i processi di ricerca. Analizzare i dati operativi non elaborati in cui possono essere presenti segni di attività dannose. Portare i dati non elaborati in Microsoft Sentinel per usare le funzionalità predefinite di ricerca e rilevamento di Microsoft Sentinel per identificare nuove minacce e altro ancora. Esempi: dati syslog, dati CEF su Syslog, applicazione, firewall, autenticazione o log di accesso e altro ancora. |
| Conclusioni sulla sicurezza | Crea la visibilità degli avvisi e l'opportunità di correlazione. Gli avvisi e i rilevamenti sono conclusioni che sono già state fatte sulle minacce. L'inserimento dei rilevamenti nel contesto di tutte le attività e di altri rilevamenti visibili nelle indagini Microsoft Sentinel, consente di risparmiare tempo per gli analisti e crea un quadro più completo di un evento imprevisto, con conseguente migliore definizione delle priorità e decisioni migliori. Esempi: avvisi antimalware, processi sospetti, comunicazione con host non validi noti, traffico di rete bloccato e perché, accessi sospetti, attacchi con password spray rilevati, attacchi di phishing identificati, eventi di esfiltrazione dei dati e altro ancora. |
| Dati di riferimento | Crea un contesto con ambienti a cui si fa riferimento, risparmiando il lavoro di indagine e aumentando l'efficienza. Esempi: CMDB, database di asset ad alto valore, database delle dipendenze dell'applicazione, log di assegnazione IP, raccolte di intelligence sulle minacce per l'arricchimento e altro ancora. |
| Intelligence sulle minacce | Potenzia il rilevamento delle minacce fornendo indicatori di minacce note. Le informazioni sulle minacce possono includere indicatori correnti che rappresentano minacce immediate o indicatori cronologici conservati per la prevenzione futura. I set di dati cronologici sono spesso di grandi dimensioni e si fa riferimento ad hoc, invece di importarli direttamente in Microsoft Sentinel. |
Parser
I parser sono funzioni KQL che trasformano i dati personalizzati da prodotti di terze parti in uno schema ASIM normalizzato. La normalizzazione garantisce che gli analisti soc non devono conoscere i dettagli sui nuovi schemi e creare regole analitiche e cercare query sullo schema normalizzato con cui hanno già familiarità. Esaminare gli schemi ASIM disponibili forniti da Microsoft Sentinel per identificare gli schemi ASIM pertinenti (uno o più) per i dati per garantire un onboarding più semplice per gli analisti SOC e per garantire che il contenuto di sicurezza esistente scritto per lo schema ASIM sia applicabile all'uso predefinito per i dati del prodotto. Per altre informazioni sugli schemi ASIM disponibili, vedere Schemi ASIM (Advanced Security Information Model).
Visualizzazione
È possibile includere visualizzazioni per aiutare i clienti a gestire e comprendere i dati, includendo visualizzazioni grafiche del flusso dei dati in Microsoft Sentinel e del modo in cui contribuisce efficacemente ai rilevamenti.
È possibile includere visualizzazioni per aiutare i clienti a gestire e comprendere i dati, includendo visualizzazioni grafiche del flusso dei dati in Microsoft Sentinel e del modo in cui contribuisce efficacemente ai rilevamenti.
Monitoraggio e rilevamento
le funzionalità di monitoraggio e rilevamento di Sentinel creano rilevamenti automatizzati per aiutare i clienti a ridimensionare le competenze del team SOC.
Le sezioni seguenti descrivono gli elementi di monitoraggio e rilevamento che è possibile includere nella soluzione.
agenti Security Copilot
Security Copilot agenti automatizzano le attività ripetitive e riducono i carichi di lavoro manuali. Migliorano la sicurezza e le operazioni IT in tutto il cloud, la sicurezza e la privacy dei dati, l'identità e la sicurezza di rete. Per Sentinel, gli agenti possono eseguire query sul SIEM o sul data lake e chiamare le API per arricchire Microsoft Sentinel dati. Possono utilizzare processi notebook per l'elaborazione o l'analisi dei dati intensivi e utilizzare un numero qualsiasi di plug-in.
Processi del notebook di Jupyter
I processi notebook di Jupyter offrono strumenti avanzati per l'esecuzione di complesse trasformazioni dei dati e l'esecuzione di modelli di Machine Learning usando processi Spark in Sentinel Data Lake. Possono essere usati dagli agenti Security Copilot per fornire un mezzo deterministico ed efficiente per eseguire l'analisi e il riepilogo dei dati ed eseguire in modo continuativo. I processi notebook possono scrivere tabelle dati personalizzate nel livello di analisi e nel data lake per l'uso da parte di componenti downstream come agenti, cartelle di lavoro, query di ricerca e altri.
Regole di analisi
Le regole di analisi sono rilevamenti sofisticati che possono creare avvisi accurati e significativi.
Aggiungere regole di analisi alla soluzione per aiutare i clienti a trarre vantaggio dai dati del sistema in Microsoft Sentinel. Ad esempio, le regole di analisi possono aiutare a fornire competenze e informazioni dettagliate sulle attività che possono essere rilevate nei dati forniti dall'integrazione.
Possono generare avvisi (eventi rilevanti), eventi imprevisti (unità di indagine) o attivare playbook di automazione.
È possibile aggiungere regole di analisi includendole in una soluzione e tramite la community di Microsoft Sentinel ThreatHunters. Contribuire tramite la community per incoraggiare la creatività della community rispetto ai dati di origine partner, aiutando i clienti con rilevamenti più affidabili ed efficaci.
Ricerca di query
Le query di ricerca consentono agli analisti soc di cercare in modo proattivo nuove anomalie che non vengono rilevate dalle regole di analisi attualmente pianificate. Le query di ricerca guidano gli analisti SOC a porre le domande corrette per trovare i problemi dai dati già disponibili in Microsoft Sentinel e li aiuta a identificare i potenziali scenari di minaccia. Includendo le query di ricerca, è possibile aiutare i clienti a trovare minacce sconosciute nei dati forniti.
Cartelle
Le cartelle di lavoro forniscono report e dashboard interattivi che consentono agli utenti di visualizzare i dati di sicurezza e identificare i modelli all'interno dei dati. La necessità di cartelle di lavoro dipende dal caso d'uso specifico. Quando si progetta la soluzione, si pensi a scenari che potrebbero essere illustrati in modo più visivo, in particolare per gli scenari per tenere traccia delle prestazioni.
Indagine
Il grafico dell'indagine Sentinel fornisce agli investigatori i dati pertinenti quando ne hanno bisogno, fornendo visibilità sugli eventi imprevisti e sugli avvisi di sicurezza tramite entità connesse. Gli investigatori possono usare il grafico di indagine per trovare eventi rilevanti o correlati che contribuiscono alla minaccia sottoposta a indagine.
I partner possono contribuire al grafico di indagine fornendo:
- Microsoft Sentinel avvisi e eventi imprevisti, creati tramite regole di analisi nelle soluzioni partner.
- Query di esplorazione personalizzate per i dati forniti dal partner. Le query di esplorazione personalizzate offrono un'esplorazione avanzata e connettività tra dati e informazioni dettagliate per gli investigatori della sicurezza.
Risposta
I playbook supportano i flussi di lavoro con automazione avanzata, eseguendo attività correlate alla sicurezza in tutti gli ambienti dei clienti. Sono fondamentali per garantire che gli analisti soc non siano sovraccaricati da elementi tattici e possano concentrarsi sulla causa più strategica e più profonda delle vulnerabilità. Ad esempio, se viene rilevato un avviso di gravità elevata, un playbook può avviare automaticamente una serie di azioni, ad esempio notificare al team di sicurezza, isolare i sistemi interessati e raccogliere i log pertinenti per un'ulteriore analisi.
Ad esempio, i playbook possono essere utili in uno dei modi seguenti e altro ancora:
- Aiutare i clienti a configurare i criteri di sicurezza nei prodotti partner
- Raccolta di dati aggiuntivi per informare le decisioni investigative
- Collegamento di eventi imprevisti Microsoft Sentinel a sistemi di gestione esterni
- Integrazione della gestione del ciclo di vita degli avvisi tra le soluzioni partner
Quando si progetta la soluzione, si pensi alle azioni automatizzate che è possibile eseguire per risolvere gli eventi imprevisti creati dalle regole di analisi definite nella soluzione.
esempi di scenario SIEM Sentinel
Le sezioni seguenti descrivono scenari comuni per i partner e consigli su cosa includere in una soluzione per ogni scenario.
Il prodotto genera dati importanti per le indagini di sicurezza
Scenario: il prodotto genera dati in grado di informare le indagini sulla sicurezza.
Esempio: i prodotti che forniscono una qualche forma di dati di log includono firewall, broker di sicurezza delle applicazioni cloud, sistemi di accesso fisico, output syslog, applicazioni LOB disponibili in commercio e compilate a livello aziendale, server, metadati di rete, qualsiasi risultato finale su Syslog in formato Syslog o CEF o tramite API REST in formato JSON.
Come usare i dati in Microsoft Sentinel: importare i dati del prodotto in Microsoft Sentinel tramite un connettore dati per fornire analisi, ricerca, indagini, visualizzazioni e altro ancora.
Cosa compilare: per questo scenario, includere gli elementi seguenti nella soluzione:
| Tipo | Elementi da includere |
|---|---|
| Obbligatorio | - Un connettore dati Microsoft Sentinel per distribuire i dati e collegare altre personalizzazioni nel portale. Query di dati di esempio |
| Consigliata | -Cartelle - Regole di analisi per creare rilevamenti basati sui dati in Microsoft Sentinel |
| Opzionale | - Ricerca di query, per fornire ai cacciatori query predefinite da usare durante la ricerca - Notebook, per offrire un'esperienza di caccia completamente guidata e ripetibile |
Il prodotto fornisce rilevamenti
Scenario: il prodotto fornisce rilevamenti che integrano avvisi e eventi imprevisti di altri sistemi
Esempi: soluzioni antimalware, soluzioni di rilevamento e risposta aziendali, soluzioni di rilevamento e risposta di rete, soluzioni di sicurezza della posta elettronica come prodotti anti-phishing, analisi delle vulnerabilità, soluzioni di gestione dei dispositivi mobili, soluzioni UEBA, servizi di protezione delle informazioni e così via.
Come usare i dati in Microsoft Sentinel: rendere disponibili i rilevamenti, gli avvisi o gli eventi imprevisti in Microsoft Sentinel per visualizzarli nel contesto di altri avvisi e eventi imprevisti che potrebbero verificarsi negli ambienti dei clienti. Considerare anche la distribuzione dei log e dei metadati che alimentano i rilevamenti, come contesto aggiuntivo per le indagini.
Cosa compilare: per questo scenario, includere gli elementi seguenti nella soluzione:
| Tipo | Elementi da includere |
|---|---|
| Obbligatorio | Un connettore dati Microsoft Sentinel per distribuire i dati e collegare altre personalizzazioni nel portale. |
| Consigliata | Regole di analisi, per creare Microsoft Sentinel eventi imprevisti dai rilevamenti utili nelle indagini |
Il prodotto fornisce indicatori di intelligence sulle minacce
Scenario: il prodotto fornisce indicatori di intelligence sulle minacce che possono fornire il contesto per gli eventi di sicurezza che si verificano negli ambienti dei clienti
Esempi: piattaforme TIP, raccolte STIX/TAXII e origini di intelligence sulle minacce pubbliche o con licenza. Dati di riferimento, ad esempio WhoIS, GeoIP o domini appena osservati.
Come usare i dati in Microsoft Sentinel: fornire indicatori correnti a Microsoft Sentinel da usare nelle piattaforme di rilevamento Microsoft. Usare set di dati cronologici o su larga scala per scenari di arricchimento, tramite l'accesso remoto.
Cosa compilare: per questo scenario, includere gli elementi seguenti nella soluzione:
| Tipo | Elementi da includere |
|---|---|
| Intelligence sulle minacce corrente | Creare un connettore dati GSAPI per eseguire il push degli indicatori in Microsoft Sentinel. Fornire un server TAXII STIX 2.0 o 2.1 che i clienti possono usare con il connettore dati TAXII predefinito. |
| Indicatori cronologici e/o set di dati di riferimento | Fornire un connettore di app per la logica per accedere ai dati e un playbook del flusso di lavoro di arricchimento che indirizza i dati alle posizioni corrette. |
Il prodotto offre un contesto aggiuntivo per le indagini
Scenario: il prodotto fornisce dati contestuali aggiuntivi per le indagini basate su Microsoft Sentinel.
Esempi: CMDB di contesto aggiuntivo, database di asset di valore elevato, database VIP, database di dipendenza delle applicazioni, sistemi di gestione degli eventi imprevisti, sistemi di ticketing
Come usare i dati in Microsoft Sentinel: usare i dati in Microsoft Sentinel per arricchire sia gli avvisi che gli eventi imprevisti.
Cosa compilare: per questo scenario, includere gli elementi seguenti nella soluzione:
- Un connettore app per la logica
- Playbook del flusso di lavoro di arricchimento
- Flusso di lavoro di gestione del ciclo di vita degli eventi imprevisti esterni (facoltativo)
Il prodotto può implementare criteri di sicurezza
Scenario: il prodotto può implementare criteri di sicurezza in Criteri di Azure e in altri sistemi
Esempi: firewall, NDR, EDR, MDM, soluzioni di identità, soluzioni di accesso condizionale, soluzioni di accesso fisico o altri prodotti che supportano i criteri di sicurezza bloccati/consentiti o altri criteri di sicurezza interattivi
Come usare i dati in Microsoft Sentinel: Microsoft Sentinel azioni e flussi di lavoro che consentono correzioni e risposte alle minacce
Cosa compilare: per questo scenario, includere gli elementi seguenti nella soluzione:
- Un connettore app per la logica
- Playbook del flusso di lavoro azione
Riferimenti per l'introduzione
Tutte le integrazioni Microsoft Sentinel SIEM iniziano con il Microsoft Sentinel repository GitHub e le indicazioni sui contributi.
Quando si è pronti per iniziare a lavorare alla soluzione Microsoft Sentinel, trovare le istruzioni per l'invio, la creazione di pacchetti e la pubblicazione nella Guida alla creazione di soluzioni Microsoft Sentinel.
Introduzione al mercato
Microsoft offre i programmi per aiutare i partner ad affrontare i clienti Microsoft:
Microsoft Partner Network (MPN). Il programma principale per la collaborazione con Microsoft è Microsoft Partner Network. L'appartenenza a MPN deve diventare un editore Azure Marketplace, dove vengono pubblicate tutte le soluzioni Microsoft Sentinel.
Azure Marketplace. Microsoft Sentinel soluzioni vengono fornite tramite Azure Marketplace, che consente ai clienti di individuare e distribuire integrazioni generali Azure fornite da Microsoft e dai partner.
Microsoft Sentinel soluzioni sono uno dei molti tipi di offerte disponibili nel Marketplace. È anche possibile trovare le offerte di soluzione incorporate nell'hub del contenuto Microsoft Sentinel
Microsoft Intelligent Security Association (MISA). MISA fornisce ai partner microsoft per la sicurezza assistenza per la creazione di informazioni sulle integrazioni create dai partner con i clienti Microsoft e aiuta a fornire individuabilità per le integrazioni dei prodotti Microsoft Security.
Per partecipare al programma MISA è necessaria una candidatura da parte di un team del prodotto Microsoft Security partecipante. La creazione di una delle integrazioni seguenti può qualificare i partner per la candidatura:
- Un connettore dati Microsoft Sentinel e il contenuto associato, ad esempio cartelle di lavoro, query di esempio e regole di analisi
- Connettore app per la logica pubblicato e playbook di Microsoft Sentinel
- Integrazioni api, caso per caso
Per richiedere una revisione della candidatura MISA o per domande, contattare AzureSentinelPartner@microsoft.com.
Passaggi successivi
Per ulteriori informazioni, vedere:
Raccolta dati:
- Procedure consigliate per la raccolta dei dati
- connettori dati Microsoft Sentinel
- Trovare il connettore dati Microsoft Sentinel
- Informazioni sull'intelligence sulle minacce in Microsoft Sentinel
Rilevamento delle minacce:
- Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con le regole di automazione
- Analizzare gli eventi imprevisti con Microsoft Sentinel
- Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
Ricerca e notebook:
- Cercare le minacce con Microsoft Sentinel
- Gestire le query di ricerca in Microsoft Sentinel usando l'API REST
- Usare i notebook di Jupyter per cercare le minacce alla sicurezza
Visualizzazione: visualizzare i dati raccolti.
Indagine: analizzare gli eventi imprevisti con Microsoft Sentinel.
Risposta: