Training per lo sviluppo di competenze in Microsoft Sentinel
Questo articolo illustra un training di livello 400 che consente di migliorare le competenze in Microsoft Sentinel. Il training comprende 21 moduli auto-passo che presentano la documentazione del prodotto pertinente, i post di blog e altre risorse.
I moduli elencati di seguito sono suddivisi in cinque parti che seguono il ciclo di vita di un Centro operazioni di sicurezza (SOC):
- Modulo 0: Altre opzioni di apprendimento e supporto
- Modulo 1: informazioni di base su Microsoft Sentinel
- Modulo 2: Come viene usato Microsoft Sentinel?
Parte 2: Progettazione e distribuzione
- Modulo 3: Architettura dell'area di lavoro e del tenant
- Modulo 4: Raccolta dati
- Modulo 5: Gestione dei log
- Modulo 6: Arricchimento: Intelligence sulle minacce, watchlist e altro ancora
- Modulo 7: Trasformazione Log
- Modulo 8: Migrazione
- Modulo 9: Modello di informazioni SIEM avanzato e normalizzazione
Parte 3: Creazione di contenuto
- Modulo 10: Linguaggio di query Kusto
- Modulo 11: Analisi
- Modulo 12: Implementazione di SOAR
- Modulo 13: Cartelle di lavoro, creazione di report e visualizzazione
- Modulo 14: Notebook
- Modulo 15: Casi d'uso e soluzioni
- Modulo 16: Un giorno nella vita di un analista SOC, nella gestione degli incidenti e nell'indagine
- Modulo 17: Ricerca
- Modulo 18: abilitare l'analisi del comportamento di utenti ed entità (UEBA)
- Modulo 19: Monitoraggio dell'integrità di Microsoft Sentinel
- Modulo 20: Estensione e integrazione tramite le API di Microsoft Sentinel
- Modulo 21: compilare i modelli di Machine Learning
Parte 1: Panoramica
Modulo 0: Altre opzioni di apprendimento e supporto
Questo training di competenze è un training di livello 400 basato sul training ninja di Microsoft Sentinel. Se non si vuole approfondire o si verifica un problema specifico da risolvere, altre risorse potrebbero essere più adatte:
- Anche se il training di competenze è esteso, naturalmente deve seguire uno script e non può espandersi su ogni argomento. Per informazioni su ogni articolo, vedere la documentazione di riferimento.
- Ora è possibile ottenere la nuova certificazione SC-200: Microsoft Security Operations Analyst che riguarda Microsoft Sentinel. Per una visualizzazione più ampia e di livello superiore della famiglia di prodotti Microsoft Security, è possibile anche prendere in considerazione SC-900: Microsoft Security, Compliance e Identity Fundamentals o AZ-500: Microsoft Azure Security Technologies.
- Se si è già esperti in Microsoft Sentinel, tenere traccia delle novità o partecipare al programma Microsoft Cloud Security Private Community per una visualizzazione in anticipo delle versioni future.
- Hai un'idea di funzionalità da condividere con noi? Inviare un messaggio nella pagina della voce dell'utente di Microsoft Sentinel.
- Sei un cliente premier? È disponibile il workshop sui concetti fondamentali di Microsoft Sentinel in loco o in remoto. Per altri dettagli , contattare il Customer Success Account Manager.
- Si è verificato un problema specifico? Chiedere (o rispondere ad altri) nella community tecnica di Microsoft Sentinel. In alternativa, è possibile inviare un messaggio di posta elettronica con la propria domanda o problema all'indirizzo MicrosoftSentinel@microsoft.com.
Modulo 1: Informazioni di base su Microsoft Sentinel
Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel offre funzionalità di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Offre un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Per altre informazioni, vedere Che cos'è Microsoft Sentinel?.
Se si vuole ottenere una panoramica iniziale delle funzionalità tecniche di Microsoft Sentinel, la presentazione di Ignite più recente è un buon punto di partenza. È anche possibile trovare l'utile Guida introduttiva a Microsoft Sentinel (è necessaria la registrazione del sito).
Per una panoramica più dettagliata, vedere questo webinar di Microsoft Sentinel: YouTube, MP4 o la presentazione.
Infine, vuoi provarlo da solo? Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4o presentazione) offre un modo semplice per iniziare. Per informazioni su come iniziare, esaminare la documentazione di onboarding o visualizzare video di installazione e configurazione di Microsoft Sentinel di Insight.
Imparare da altri utenti
Migliaia di organizzazioni e provider di servizi usano Microsoft Sentinel. Come al solito con i prodotti per la sicurezza, la maggior parte delle organizzazioni non ne pubblicano il pubblico. Ancora, ecco alcuni che hanno:
- Sono disponibili i casi d'uso dei clienti pubblici.
- Stuart Gregg, Security Operations Manager presso ASOS, ha pubblicato unpost di blog molto più dettagliato dell'esperienza di Microsoft Sentinel, concentrandosi sulla ricerca.
Imparare dagli analisti
- Azure Sentinel ottiene un posizionamento leader in Forrester Wave, con la classifica più alta in Strategy
- Microsoft ha nominato un visionario nel quadrante magico di Gartner 2021 per SIEM per Microsoft Sentinel
Modulo 2: Come viene usato Microsoft Sentinel?
Molte organizzazioni usano Microsoft Sentinel come SIEM principale. La maggior parte dei moduli di questo corso illustra questo caso d'uso. In questo modulo vengono illustrati alcuni modi aggiuntivi per usare Microsoft Sentinel.
Come parte dello stack di sicurezza Microsoft
Usare Microsoft Sentinel, Microsoft Defender per il Cloud e Microsoft Defender XDR insieme per proteggere i carichi di lavoro Microsoft, tra cui Windows, Azure e Office:
- Altre informazioni sulla soluzione SIEM+XDR completa che combina Microsoft Sentinel e Microsoft Defender XDR.
- Per informazioni sul progetto Microsoft per le operazioni di sicurezza, vedere the Azure Security compass ("La bussola di sicurezza di Azure"), ora Microsoft Security Best Practices.
- Leggere e guardare come questa configurazione consente di rilevare e rispondere a un attacco WebShell: blog o demo video.
- Visualizzare il webinar Better Together "Rilevamento, indagine e risposta degli attacchi OT e IOT".
Per monitorare i carichi di lavoro multicloud
Il cloud è (ancora) nuovo e spesso non monitorato con un'ampia gamma di carichi di lavoro locali. Leggere questa presentazione per informazioni su come Microsoft Sentinel può aiutare a colmare il divario di monitoraggio del cloud tra i cloud.
Side-by-side con il SIEM esistente
Per un periodo di transizione o per un periodo più lungo, se si usa Microsoft Sentinel per i carichi di lavoro cloud, è possibile usare Microsoft Sentinel insieme al SIEM esistente. È anche possibile usare entrambi con un sistema di ticket, ad esempio Service Now.
Per altre informazioni sulla migrazione da un altro SIEM a Microsoft Sentinel, vedere il webinar sulla migrazione: YouTube , MP4 o una presentazione.
Esistono tre scenari comuni per la distribuzione side-by-side:
Se si dispone di un sistema di ticketing nel SOC, è consigliabile inviare avvisi o eventi imprevisti da entrambi i sistemi SIEM a un sistema di ticketing, ad esempio Service Now. Gli esempi includono l'uso della sincronizzazione bidirezionale degli eventi imprevisti di Microsoft Sentinel con ServiceNow o l'invio di avvisi arricchiti con eventi di supporto da Microsoft Sentinel a SIEM di terze parti.
Almeno inizialmente, molti utenti inviano avvisi da Microsoft Sentinel al SIEM locale. Per informazioni, vedere Inviare avvisi arricchiti con eventi di supporto da Microsoft Sentinel a SIEM di terze parti.
Nel corso del tempo, poiché Microsoft Sentinel copre più carichi di lavoro, in genere si inverte la direzione e si inviano avvisi dal SIEM locale a Microsoft Sentinel. A questo scopo:
- Per Splunk, vedere Inviare dati ed eventi rilevanti da Splunk a Microsoft Sentinel.
- Per QRadar, vedere Inviare le offese QRadar a Microsoft Sentinel.
- Per ArcSight, vedere Inoltro CEF (Common Event Format).
È anche possibile inviare gli avvisi da Microsoft Sentinel al sistema SIEM o di creazione di ticket di terze parti usando l'API Graph Security. Questo approccio è più semplice, ma non abilita l'invio di altri dati.
Per gli MSSP
Poiché elimina il costo di configurazione ed è indipendente dalla posizione, Microsoft Sentinel è una scelta popolare per fornire SIEM come servizio. Individuare un elenco di provider di servizi di sicurezza gestiti da membri (MSSP) di MISA (Microsoft Intelligent Security Association) che usano Microsoft Sentinel. Molti altri MSSP, in particolare quelli regionali e più piccoli, usano Microsoft Sentinel, ma non sono membri MISA.
Per iniziare il percorso come MSSP, leggere i playbook tecnici di Microsoft Sentinel per gli MSSP. Altre informazioni sul supporto MSSP sono incluse nel modulo successivo, che illustra l'architettura cloud e il supporto multi-tenant.
Parte 2: Progettazione e distribuzione
Anche se "Parte 1: Panoramica" offre modi per iniziare a usare Microsoft Sentinel in pochi minuti, prima di avviare una distribuzione di produzione, è importante creare un piano.
Questa sezione illustra le aree da considerare quando si progetta la soluzione e fornisce linee guida su come implementare la progettazione:
- Architettura dell'area di lavoro e del tenant
- Raccolta dati
- Gestione log
- Acquisizione di intelligence sulle minacce
Modulo 3: Architettura dell'area di lavoro e del tenant
Un'istanza di Microsoft Sentinel è denominata area di lavoro. L'area di lavoro è la stessa di un'area di lavoro Log Analytics e supporta qualsiasi funzionalità di Log Analytics. È possibile considerare Microsoft Sentinel come una soluzione che aggiunge funzionalità SIEM in un'area di lavoro Log Analytics.
Spesso sono necessarie più aree di lavoro e possono fungere da singolo sistema di Microsoft Sentinel. Un caso d'uso speciale consiste nel fornire un servizio usando Microsoft Sentinel (ad esempio, da un MSSP (provider di servizi di sicurezza gestiti) o da un SOC globale in un'organizzazione di grandi dimensioni).
Per altre informazioni sull'uso di più aree di lavoro come un sistema di Microsoft Sentinel, vedere Estendere Microsoft Sentinel tra aree di lavoro e tenant o visualizzare il webinar: YouTube, MP4 o presentazione.
Quando si usano più aree di lavoro, tenere presente quanto segue:
- Un driver importante per l'uso di più aree di lavoro è la residenza dei dati. Per altre informazioni, vedere Residenza dei dati di Microsoft Sentinel.
- Per distribuire Microsoft Sentinel e gestire i contenuti in modo efficiente in più aree di lavoro, è possibile gestire Microsoft Sentinel come codice usando la tecnologia di integrazione continua/recapito continuo (CI/CD). Una procedura consigliata per Microsoft Sentinel consiste nell'abilitare la distribuzione continua. Per altre informazioni, vedere Abilitare la distribuzione continua in modo nativo con i repository di Microsoft Sentinel.
- Quando si gestiscono più aree di lavoro come MSSP, è possibile proteggere la proprietà intellettuale MSSP in Microsoft Sentinel.
Il playbook tecnico di Microsoft Sentinel per i provider di servizi gestiti fornisce linee guida dettagliate per molti di questi argomenti ed è utile per le organizzazioni di grandi dimensioni, non solo per gli MSSP.
Modulo 4: Raccolta dati
La base di un SIEM è la raccolta di dati di telemetria: eventi, avvisi e informazioni di arricchimento contestuali, ad esempio intelligence sulle minacce, dati sulle vulnerabilità e informazioni sugli asset. Ecco un elenco di origini a cui fare riferimento:
- Leggere Connettori dati di Microsoft Sentinel.
- Passare a Trova il connettore dati di Microsoft Sentinel per visualizzare tutti i connettori dati supportati e predefiniti. Trovare collegamenti a procedure di distribuzione generiche e passaggi aggiuntivi necessari per connettori specifici.
- Scenari di raccolta dati: informazioni sui metodi di raccolta, ad esempio Logstash/CEF/WEF. Altri scenari comuni sono la restrizione delle autorizzazioni per le tabelle, il filtro dei log, la raccolta di log da Amazon Web Services (AWS) o Google Cloud Platform (GCP), i log non elaborati di Microsoft 365 e così via. Tutto è disponibile nel webinar "Scenari di raccolta dati": YouTube, MP4 o presentazione.
La prima parte di informazioni visualizzate per ogni connettore è il relativo metodo di inserimento dati. Il metodo visualizzato include un collegamento a una delle procedure di distribuzione generiche seguenti, che contengono la maggior parte delle informazioni necessarie per connettere le origini dati a Microsoft Sentinel:
| Metodo di inserimento dati | Articolo associato |
|---|---|
| Integrazione da servizio a servizio di Azure | Connettersi ai servizi Azure, Windows, Microsoft e Amazon |
| Common Event Format (CEF) su Syslog | Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure |
| API di raccolta dati di Microsoft Sentinel | Connettere l'origine dati all'API dell'agente di raccolta dati di Microsoft Sentinel per inserire dati |
| Funzioni di Azure e l'API REST | Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati |
| Syslog | Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure |
| Log personalizzati | Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche |
Se l'origine non è disponibile, è possibile creare un connettore personalizzato. I connettori personalizzati usano l'API di inserimento e pertanto sono simili alle origini dirette. Spesso si implementano connettori personalizzati usando App per la logica di Azure, che offre un'opzione senza codice o Funzioni di Azure.
Modulo 5: Gestione dei log
La prima decisione di architettura da prendere in considerazione quando si configura Microsoft Sentinel è il numero di aree di lavoro e quelle da usare. Altre decisioni di architettura per la gestione dei log chiave da prendere in considerazione includono:
- Dove e per quanto tempo conservare i dati.
- Come gestire al meglio l'accesso ai dati e proteggerlo.
Inserimento, archiviazione, ricerca e ripristino dei dati all'interno di Microsoft Sentinel
Per iniziare, vedere il webinar "Gestire il ciclo di vita dei log con nuovi metodi per l'inserimento, l'archiviazione, la ricerca e il ripristino".
Questa suite di funzionalità contiene:
- Livello di inserimento di base: un nuovo piano tariffario per i log di Monitoraggio di Azure che consente di inserire i log a un costo inferiore. Questi dati vengono conservati nell'area di lavoro solo per otto giorni.
- Livello archivio: i log di Monitoraggio di Azure hanno ampliato la capacità di conservazione da due anni a sette anni. Con questo nuovo livello, è possibile conservare i dati per un massimo di sette anni in uno stato di archiviazione a basso costo.
- Processi di ricerca: attività di ricerca che eseguono KQL limitate per trovare e restituire tutti i log pertinenti. Questi processi eseguono ricerche nei dati nel livello di analisi, nel livello basic e nei dati archiviati.
- Ripristino dei dati: una nuova funzionalità che consente di selezionare una tabella dati e un intervallo di tempo in modo da poter ripristinare i dati nell'area di lavoro tramite una tabella di ripristino.
Per altre informazioni su queste nuove funzionalità, vedere Inserimento, archiviazione, ricerca e ripristino dei dati in Microsoft Sentinel.
Opzioni di conservazione alternative all'esterno della piattaforma Microsoft Sentinel
Se si vogliono conservare i dati per più di due anni o ridurre i costidi conservazione, è consigliabile usare Esplora dati di Azure per la conservazione a lungo termine dei log di Microsoft Sentinel. Vedere le diapositive del webinar, la registrazione del webinar o il blog.
Si desiderano informazioni più approfondite? Visualizzare il webinar "Miglioramento dell'ampiezza e della copertura della ricerca delle minacce con il supporto di ADX, altri tipi di entità e l'integrazione MITRE aggiornata".
Se si preferisce un'altra soluzione di conservazione a lungo termine, vedere Esportare da Microsoft Sentinel/area di lavoro Log Analytics in Archiviazione di Azure e hub eventi o Spostare i log nell'archiviazione a lungo termine usando App per la logica di Azure. Il vantaggio dell'uso di App per la logica è che può esportare dati storici.
Infine, è possibile impostare periodi di conservazione con granularità fine usando le impostazioni di conservazione a livello di tabella. Per altre informazioni, vedere Configurare i criteri di conservazione e archiviazione dei dati nei log di Monitoraggio di Azure (anteprima).
Sicurezza dei log
Usare il controllo degli accessi in base al ruolo delle risorse o il controllo degli accessi in base al ruolo a livello di tabella per consentire a più team di usare una singola area di lavoro.
Se necessario, eliminare il contenuto dei clienti dalle aree di lavoro.
Informazioni su come controllare le query dell'area di lavoro e l'uso di Microsoft Sentinel usando cartelle di lavoro e query di avvisi.
Usare collegamenti privati per assicurarsi che i log non lascino mai la rete privata.
Cluster dedicato
Usare un cluster di aree di lavoro dedicato se l'inserimento dati previsto è di 500 TB o più al giorno. Con un cluster dedicato è possibile proteggere le risorse per i dati di Microsoft Sentinel, in modo da migliorare le prestazioni delle query per grandi set di dati.
Modulo 6: Arricchimento: Intelligence sulle minacce, watchlist e altro ancora
Una delle funzioni importanti di un sistema SIEM consiste nell'applicare informazioni contestuali al flusso di eventi, che consente il rilevamento, la definizione delle priorità degli avvisi e l'analisi degli eventi imprevisti. Le informazioni contestuali includono, ad esempio, intelligence sulle minacce, informazioni sull'ip, host e utente e watchlist.
Microsoft Sentinel offre strumenti completi per importare, gestire e usare intelligence sulle minacce. Per altri tipi di informazioni contestuali, Microsoft Sentinel fornisce watchlist e altre soluzioni alternative.
Intelligence per le minacce
L'intelligence per le minacce è un blocco predefinito importante di un sistema SIEM. Visualizzare il webinar"Esplorare la potenza dell'intelligence sulle minacce in Microsoft Sentinel".
In Microsoft Sentinel è possibile integrare l'intelligence sulle minacce usando i connettori predefiniti dei server TAXII (Trusted Automated eXchange of Indicator Information) o tramite l'API Microsoft Graph Security. Per altre informazioni, vedere Integrazione di Intelligence sulle minacce in Microsoft Sentinel. Per altre informazioni sull'importazione dell'intelligence sulle minacce, vedere le sezioni Modulo 4: Raccolta dati.
Dopo l'importazione, l'intelligence sulle minacce viene usata ampiamente in Microsoft Sentinel. Le funzionalità seguenti sono incentrate sull'uso dell'intelligence sulle minacce:
Visualizzare e gestire l'intelligence sulle minacce importata nei log nella nuova area Intelligence per le minacce di Microsoft Sentinel.
Usare i modelli predefiniti di regole di analisi delle minacce per generare avvisi di sicurezza e eventi imprevisti usando l'intelligence sulle minacce importata.
Visualizzare le informazioni chiave sull'intelligence sulle minacce in Microsoft Sentinel usando la cartella di lavoro intelligence sulle minacce.
Visualizzare il webinar "Automatizzare le attività di valutazione di Microsoft Sentinel con RiskIQ Threat Intelligence": YouTube o la presentazione.
Hai poco tempo? Visualizzare la sessione Ignite (28 minuti).
Si desiderano informazioni più approfondite? Visualizzare il webinar "Approfondimento sull'intelligence sulle minacce": YouTube, MP4 o presentazione.
Watchlist e altri meccanismi di ricerca
Per importare e gestire qualsiasi tipo di informazioni contestuali, Microsoft Sentinel fornisce watchlist. Usando watchlist, è possibile caricare tabelle dati in formato CSV e usarle nelle query KQL. Per altre informazioni, vedere Usare watchlist in Microsoft Sentinelo visualizzare il webinar "Usare gli elenchi di controllo per gestire gli avvisi, ridurre l'affaticamento degli avvisi e migliorare l'efficienza SOC": YouTube o presentazione.
Usare watchlist per semplificare gli scenari seguenti:
Analizzare le minacce e rispondere rapidamente agli incidenti: importare rapidamente indirizzi IP, hash di file e altri dati da file CSV. Dopo aver importato i dati, usare coppie nome-valore watchlist per join e filtri nelle regole di avviso, ricerca di minacce, cartelle di lavoro, notebook e query generali.
Importare dati aziendali come watchlist: ad esempio, importare elenchi di utenti con accesso al sistema con privilegi o dipendenti terminati. Usare quindi la watchlist per creare elenchi di elementi consentiti e elenchi di blocchi per rilevare o impedire a tali utenti di accedere alla rete.
Ridurre l'affaticamento degli avvisi: creare elenchi consentiti per eliminare gli avvisi da un gruppo di utenti, ad esempio gli utenti di indirizzi IP autorizzati che eseguono attività che normalmente attivano l'avviso. Impedire che eventi non dannosi diventino avvisi.
Arricchire i dati dell'evento: usare watchlist per arricchire i dati dell'evento con combinazioni nome-valore derivate da origini dati esterne.
Oltre agli watchlist, è possibile usare l'operatore KQL external-data, i log personalizzati e le funzioni KQL per gestire ed eseguire query sulle informazioni sul contesto. Ognuno dei quattro metodi presenta vantaggi e svantaggi ed è possibile leggere altre informazioni sui confronti tra di essi nel post di blog "Implementazione delle ricerche in Microsoft Sentinel". Anche se ogni metodo è diverso, l'uso delle informazioni risultanti nelle query è simile e consente di passare facilmente da un metodo all'altro.
Per idee sull'uso di watchlist al di fuori delle regole analitiche, vedere Usare watchlist per migliorare l'efficienza durante le indagini di Microsoft Sentinel.
Visualizza il webinar "Usa watchlist per gestire gli avvisi, ridurre l'affaticamento degli avvisi e migliorare l'efficienza SOC": YouTube o presentazione.
Modulo 7: Trasformazione Log
Microsoft Sentinel supporta due nuove funzionalità per l'inserimento e la trasformazione dei dati. Queste funzionalità, fornite da Log Analytics, agiscono sui dati anche prima che vengano archiviati nell'area di lavoro. Le funzionalità sono:
API di inserimento log: usarla per inviare log in formato personalizzato da qualsiasi origine dati all'area di lavoro Log Analytics e quindi archiviare tali log in determinate tabelle standard specifiche o in tabelle in formato personalizzato create dall'utente. È possibile eseguire l'inserimento effettivo di questi log usando chiamate API dirette. È possibile usare le regole di raccolta dati di Monitoraggio di Azure per definire e configurare questi flussi di lavoro.
Trasformazioni dei dati dell'area di lavoro per i log standard: usa regole di raccolta dati per escludere dati irrilevanti, per arricchire o contrassegnare i dati o nascondere informazioni riservate o personali. È possibile configurare la trasformazione dei dati in fase di inserimento per i tipi di connettori dati predefiniti seguenti:
- Connettori dati basati sull'agente di Monitoraggio di Azure (AMA) (Syslog e CEF | DNS | Personalizzato)
- Connettori dati che usano le impostazioni di diagnostica
- Connettori dati da servizio a servizio
Per altre informazioni, vedi:
- Trasformare o personalizzare i dati in fase di inserimento in Microsoft Sentinel
- Trovare il connettore dati di Microsoft Sentinel
Modulo 8: Migrazione
In molti casi (se non nella maggior parte dei casi), si dispone già di una soluzione SIEM ed è necessario eseguire la migrazione a Microsoft Sentinel. Anche se potrebbe essere un buon momento per ricominciare e ripensare l'implementazione SIEM, è opportuno usare alcuni degli asset già compilati nell'implementazione corrente. Visualizzare il webinar "Procedure consigliate per la conversione delle regole di rilevamento" (da Splunk, QRadar e ArcSight ad Azure Microsoft Sentinel): YouTube, MP4, presentazione o blog.
È anche possibile che si sia interessati alle risorse seguenti:
- Mapping di Splunk Search Processing Language (SPL) a KQL
- Esempi di mapping delle regole ArcSight e QRadar
Modulo 9: Modello di informazioni SIEM avanzato e normalizzazione
L'uso di diversi tipi di dati e tabelle può presentare una sfida. È necessario acquisire familiarità con questi tipi di dati e schemi durante la scrittura e l'uso di un set univoco di regole di analisi, cartelle di lavoro e query di ricerca. La correlazione tra i tipi di dati necessari per l'analisi e la ricerca può anche essere difficile.
Advanced SIEM Information Model (ASIM) offre un'esperienza perfetta per la gestione di varie origini in visualizzazioni uniformi e normalizzate. ASIM è allineato al modello informativo comune OSSEM (Open Source Security Events Metadata), promuovendo la normalizzazione indipendente dal fornitore e a livello di settore. Visualizzare il webinar "Modello di informazioni SIEM avanzato (ASIM): ora integrato in Microsoft Sentinel" : YouTube o presentazione.
L'implementazione corrente si basa sulla normalizzazione del tempo di query, che usa le funzioni KQL:
- Gli schemi normalizzati riguardano set standard di tipi di eventi stimabili facili da usare e creare funzionalità unificate. Lo schema definisce i campi che devono rappresentare un evento, una convenzione di denominazione delle colonne normalizzate e un formato standard per i valori dei campi.
- Visualizzare il webinar "Informazioni sulla normalizzazione in Microsoft Sentinel": YouTube o presentazione.
- Visualizzare il webinar "Approfondimento sui parser di normalizzazione e contenuti normalizzati" di Microsoft Sentinel: YouTube, MP3 o presentazione.
I parser eseguono il mapping dei dati esistenti agli schemi normalizzati. I parser vengono implementati usando le funzioni KQL. Visualizza il webinar "Estendere e gestire ASIM: Sviluppo, test e distribuzione di parser" : YouTube o presentazione.
Il contenuto per ogni schema normalizzato include regole di analisi, cartelle di lavoro e query di ricerca. Questo contenuto funziona su tutti i dati normalizzati senza la necessità di creare contenuto specifico dell'origine.
L'uso di ASIM offre i vantaggi seguenti:
Rilevamento tra origini: le regole di analisi normalizzate funzionano tra origini locali e nel cloud. Le regole rilevano attacchi, ad esempio la forza bruta o il viaggio impossibile tra sistemi, tra cui Okta, AWS e Azure.
Consente il contenuto indipendente dall'origine: la copertura del contenuto predefinito e personalizzato tramite ASIM si espande automaticamente a qualsiasi origine che supporta ASIM, anche se l'origine è stata aggiunta dopo la creazione del contenuto. Ad esempio, l'analisi degli eventi di elaborazione supporta qualsiasi origine che un cliente potrebbe usare per inserire i dati, tra cui Microsoft Defender per endpoint, eventi di Windows e Sysmon. È possibile aggiungere Sysmon per Linux e WEF quando è stato rilasciato.
Supporto per le origini personalizzate nell'analisi predefinita
Facilità d'uso: gli analisti che imparano ASIM trovano molto più semplice scrivere query perché i nomi dei campi sono sempre gli stessi.
Altre informazioni su ASIM
Sfruttare le risorse seguenti:
Visualizzare il webinar di panoramica sulla normalizzazione in Azure Sentinel: YouTube o presentazione.
Visualizzare il webinar "Approfondimento sulla normalizzazione dei parser e sui contenuti normalizzati" di Microsoft Sentinel: YouTube, MP3 o presentazione.
Visualizzare il webinar "Turbocharge ASIM: assicurarsi che la normalizzazione aiuti le prestazioni anziché influire su questa" : YouTube, MP4 o presentazione.
Leggere la documentazione di ASIM.
Distribuire ASIM
Distribuire i parser dalle cartelle, a partire da "ASIM*" nella cartella parser in GitHub.
Attivare le regole analitiche che usano ASIM. Cercare normal nella raccolta modelli per trovarli. Per ottenere l'elenco completo, usare questa ricerca in GitHub.
Usare ASIM
Usare le query di ricerca di ASIM da GitHub.
Usare query ASIM quando si usa KQL nella schermata di log.
Scrivere regole di analisi personalizzate usando ASIM o convertire le regole esistenti.
Scrivere parser per le origini personalizzate per renderli compatibili con ASIM e partecipare all'analisi predefinita.
Parte 3: Creazione di contenuto
Che cos'è il contenuto di Microsoft Sentinel?
Il valore della sicurezza di Microsoft Sentinel è una combinazione delle funzionalità predefinite e della possibilità di creare funzionalità personalizzate e personalizzare quelle predefinite. Tra le funzionalità predefinite, sono disponibili regole di analisi del comportamento di utenti ed entità (UEBA), machine learning o predefinite. Le funzionalità personalizzate vengono spesso definite "contenuto" e includono regole analitiche, query di ricerca, cartelle di lavoro, playbook e così via.
In questa sezione sono stati raggruppati i moduli che consentono di apprendere come creare tali contenuti o modificare contenuti predefiniti in base alle proprie esigenze. Si inizia con KQL, la lingua franca di Azure Microsoft Sentinel. I moduli seguenti illustrano uno dei blocchi predefiniti del contenuto, ad esempio regole, playbook e cartelle di lavoro. Vengono descritti i casi d'uso, che includono elementi di tipi diversi che rispondono a specifici obiettivi di sicurezza, ad esempio rilevamento delle minacce, ricerca o governance.
Modulo 10: Linguaggio di query Kusto
La maggior parte delle funzionalità di Microsoft Sentinel usa il linguaggio di query Kusto (KQL). Quando si esegue la ricerca nei log, si scrivono regole, si creano query di ricerca o si progettano cartelle di lavoro, si usa KQL.
La sezione successiva sulla scrittura di regole illustra come usare KQL nel contesto specifico delle regole SIEM.
Percorso consigliato per l'apprendimento di Microsoft Sentinel KQL
Corso KQL Pluralsight: fornisce le nozioni di base
Must Learn KQL: una serie KQL in 20 parti che illustra le nozioni di base della creazione della prima regola di analisi (include una valutazione e un certificato)
Il lab KQL di Microsoft Sentinel: un lab interattivo che insegna KQL con particolare attenzione a ciò che serve per Microsoft Sentinel:
- Modulo di apprendimento (SC-200 parte 4)
- Presentazione o URL lab
- Una versione di Jupyter Notebooks che consente di testare le query all'interno del notebook
- Webinar di apprendimento: YouTube o MP4
- Webinar sulla revisione delle soluzioni lab: YouTube o MP4
Webinar "Ottimizzazione delle query KQL di Microsoft Sentinel": YouTube, MP4 o presentazione
"Uso di ASIM nelle query KQL": YouTube o presentazione
Webinar "Framework KQL per Microsoft Sentinel: supporto per diventare esperti in KQL": YouTube o presentazione
Durante l'apprendimento di KQL, è anche possibile trovare i riferimenti seguenti utili:
Modulo 11: Analisi
Scrittura di regole di analisi pianificate
Con Microsoft Sentinel è possibile usare modelli di regole predefiniti, personalizzare i modelli per l'ambiente o creare regole personalizzate. Il nucleo delle regole è una query KQL; Tuttavia, c'è molto di più di quello da configurare in una regola.
Per informazioni sulla procedura per la creazione di regole, vedere Creare regole di analisi personalizzate per rilevare le minacce. Per informazioni su come scrivere regole (vale a dire, cosa dovrebbe andare in una regola, concentrandosi su KQL per le regole), vedere il webinar: YouTube, MP4 o presentazione.
Le regole di analisi SIEM hanno modelli specifici. Informazioni su come implementare regole e scrivere KQL per questi modelli:
Regole di correlazione: vedere Uso degli elenchi e dell'operatore "in" o uso dell'operatore "join"
Aggregazione: vedere Uso di elenchi e dell'operatore "in" o di finestre scorrevoli più avanzate per la gestione dei criteri
Ricerche: ricerche regolari, o approssimative parziali e combinate
Gestione dei falsi positivi
Eventi ritardati: un fatto di vita in qualsiasi SIEM e sono difficili da affrontare. Microsoft Sentinel consente di ridurre i ritardi nelle regole.
Usare le funzioni KQL come blocchi predefiniti: arricchire gli eventi di sicurezza di Windows con funzioni con parametri.
Il post di blog "Analisi sull'archiviazione BLOB e file" offre un esempio dettagliato di scrittura di una regola analitica utile.
Utilizzo di analisi predefinite
Prima di iniziare a scrivere una regola personalizzata, è consigliabile sfruttare le funzionalità di analisi predefinite. Non richiedono molto da te, ma vale la pena di conoscerli:
Usare i modelli di regola pianificati predefiniti. È possibile ottimizzare questi modelli modificandoli allo stesso modo per modificare qualsiasi regola pianificata. Assicurarsi di distribuire i modelli per i connettori dati connessi, elencati nella scheda connettore dati Passaggi successivi.
Altre informazioni sulle funzionalità di Machine Learning di Microsoft Sentinel:YouTube, MP4 opresentazione.
Ottenere l'elenco dei rilevamenti avanzati e a più fasi (Fusion) di Microsoft Sentinel abilitati per impostazione predefinita.
Visualizzare il webinar "Rilevamenti di Machine Learning Fusion con regole di analisi pianificate": YouTube, MP4 o presentazione.
Altre informazioni su anomalie di Machine Learning SOC predefinite di Microsoft Sentinel.
Visualizzare il webinar "Anomalie personalizzate SOC-machine learning e come usarle": YouTube, MP4 o presentazione.
Visualizzare il webinar "Rilevamenti di Machine Learning Fusion per le minacce emergenti e l'interfaccia utente della configurazione": YouTube o presentazione.
Modulo 12: Implementazione di SOAR
Nei SIEM moderni, ad esempio Microsoft Sentinel, SOAR costituisce l'intero processo dal momento in cui viene attivato un evento imprevisto fino a quando non viene risolto. Questo processo inizia con un'indagine sugli incidenti e continua con una risposta automatizzata. Il post di blog "Come usare Microsoft Sentinel per la risposta agli eventi imprevisti, l'orchestrazione e l'automazione" offre una panoramica dei casi d'uso comuni per SOAR.
Le regole di automazione sono il punto di partenza per l'automazione di Microsoft Sentinel. Forniscono un metodo leggero di gestione centralizzata e automatizzata degli eventi imprevisti, tra cui l'eliminazione, la gestione dei falsi positivie l'assegnazione automatica.
Per offrire funzionalità di automazione affidabili basate sul flusso di lavoro, le regole di automazione usano playbook di App per la logica. Per altre informazioni, vedere:
Visualizzare il webinar "Dare inizio ai trucchi jedi di automazione e creare playbook di App per la logica come un capo" : YouTube, MP4o presentazione.
Informazioni su App per la logica, che è la tecnologia di base che guida i playbook di Microsoft Sentinel.
Vedere Il connettore di App per la logica di Microsoft Sentinel, il collegamento tra App per la logica e Microsoft Sentinel.
Trovare decine di playbook utili nella cartella Playbook nel sito GitHub di Microsoft Sentinel oppure leggere Un playbook usando un watchlist per informare un proprietario della sottoscrizione su un avviso per una procedura dettagliata di un playbook.
Modulo 13: Cartelle di lavoro, creazione di report e visualizzazione
Cartelle di lavoro
Come centro nervoso del SOC, Microsoft Sentinel è necessario per visualizzare le informazioni raccolte e produce. Usare le cartelle di lavoro per visualizzare i dati in Microsoft Sentinel.
Per informazioni su come creare cartelle di lavoro, leggere la documentazione di cartelle di lavoro di Azure oppure osservare il training sulle cartelle di lavoro di Billy York (con testo).
Le risorse menzionate non sono specifiche di Microsoft Sentinel. Si applicano in generale alle cartelle di lavoro. Per altre informazioni sulle cartelle di lavoro in Microsoft Sentinel, vedere il webinar: YouTube, MP4 o presentazione. Leggi la documentazione.
Le cartelle di lavoro possono essere interattive e abilitare molto di più rispetto alla creazione di grafici. Con le cartelle di lavoro, è possibile creare app o moduli di estensione per Microsoft Sentinel per integrare la funzionalità predefinita. È anche possibile usare le cartelle di lavoro per estendere le funzionalità di Microsoft Sentinel. Ecco alcuni esempi di tali app:
La cartella di lavoro di Investigation Insights offre un approccio alternativo all'analisi degli eventi imprevisti.
La visualizzazione Graph delle collaborazioni esterne di Teams consente di cercare l'uso di Teams rischioso.
La cartella di lavoro della mappa di viaggio degli utenti consente di analizzare gli avvisi relativi alla posizione geografica.
La guida all'implementazione della cartella di lavoro dei protocolli non sicuri di Microsoft Sentinel, i miglioramenti recenti e il video di panoramicaconsentono di identificare l'uso di protocolli non sicuri nella rete.
Infine, informazioni su come integrare le informazioni da qualsiasi origine usando le chiamate API in una cartella di lavoro.
Sono disponibili decine di cartelle di lavoro nella cartella Cartelle di lavoro nel GitHub di Microsoft Sentinel. Alcuni di essi sono disponibili anche nella raccolta cartelle di lavoro di Microsoft Sentinel.
Creazione di report e altre opzioni di visualizzazione
Le cartelle di lavoro possono essere usate per la creazione di report. Per funzionalità di creazione di report più avanzate, ad esempio la pianificazione e la distribuzione dei report o le tabelle pivot, è possibile usare:
Power BI, che in modo nativo si integra con i log di Monitoraggio di Azure e Microsoft Sentinel.
Excel, che può usare log di Monitoraggio di Azure e Microsoft Sentinel come origine dati e visualizzare il video "Integrare i log di Monitoraggio di Azure ed Excel con Monitoraggio di Azure".
I notebook di Jupyter, un argomento trattato più avanti nel modulo di ricerca, sono anche un ottimo strumento di visualizzazione.
Modulo 14: Notebook
I notebook di Jupyter sono completamente integrati con Microsoft Sentinel. Anche se considerato uno strumento importante nel petto degli strumenti del cacciatore e discusso i webinar nella sezione di caccia, il loro valore è molto più ampio. I notebook possono essere usati per la visualizzazione avanzata, come guida all'indagine e per l'automazione sofisticata.
Per comprendere meglio i notebook, vedere video Introduzione ai notebook. Iniziare a usare il webinar sui notebook (YouTube, MP4o presentazione) o leggere la documentazione. Il serie Ninja di Microsoft Sentinel Notebooks è una serie di training in corso per migliorare l'esperienza nei notebook.
Una parte importante dell'integrazione è implementata da MSTICPy, che è una libreria Python sviluppata dal team di ricerca da usare con i notebook di Jupyter. Aggiunge interfacce di Microsoft Sentinel e funzionalità di sicurezza sofisticate ai notebook.
Modulo 15: Casi d'uso e soluzioni
Con connettori, regole, playbook e cartelle di lavoro, è possibile implementare casi d'uso, ovvero il termine SIEM per un pacchetto di contenuto destinato a rilevare e rispondere a una minaccia. È possibile distribuire casi d'uso predefiniti di Microsoft Sentinel attivando le regole suggerite durante la connessione di ogni connettore. Una soluzione è un gruppo di casi d'uso che rispondono a un dominio di minacce specifico.
Il webinar "Affrontare l'identità" (YouTube, MP4 o presentazione) spiega cosa è un caso d'uso e come affrontare la progettazione e presenta diversi casi d'uso che affrontano collettivamente le minacce all'identità.
Un'altra area di soluzione pertinente è la protezione del lavoro remoto. Visualizzare la sessione Ignite sulla protezione del lavoro remoto e altre informazioni sui casi d'uso specifici seguenti:
Casi d'uso di Ricerca di Microsoft Teams e Visualizzazione Graph delle collaborazioni esterne di Microsoft Teams
Monitoraggio zoom con Microsoft Sentinel: connettori personalizzati, regole analitiche e query di ricerca.
Monitoraggio di Desktop virtuale Azure con Microsoft Sentinel: usare eventi di sicurezza di Windows, log di accesso di Microsoft Entra, Microsoft Defender XDR per endpoint e log di diagnostica di Desktop virtuale Azure per rilevare e cercare minacce per Desktop virtuale Azure.
Monitorare Microsoft Intune usando query e cartelle di lavoro.
Infine, concentrandosi sugli attacchi recenti, si apprenderà come monitorare la supply chain del software con Microsoft Sentinel.
Le soluzioni di Microsoft Sentinel offrono l'individuabilità nel prodotto, la distribuzione in un unico passaggio e l'abilitazione di scenari end-to-end di prodotti, domini e/o verticali in Microsoft Sentinel. Per altre informazioni, vedere Informazioni su contenuti e soluzioni di Microsoft Sentinel e visualizzare il webinar "Creare soluzioni Microsoft Sentinel personalizzate": YouTube o presentazione.
Parte 4: Funzionamento
Modulo 16: Gestione degli eventi imprevisti
Dopo aver compilato il SOC, è necessario iniziare a usarlo. Il webinar "Un giorno nella vita di un analista SOC" (YouTube, MP4 o presentazione) illustra l'uso di Microsoft Sentinel nel SOC per valutare, analizzare e rispondere agli incidenti.
Per consente ai team di collaborare senza problemi nell'intera organizzazione e con gli stakeholder esterni, vedere Integrazione con Microsoft Teams direttamente da Microsoft Sentinel. E visualizzare il webinar "Riduci MTTR (tempo medio di risposta) del SOC integrando Microsoft Sentinel con Microsoft Teams".
È anche possibile leggere l'articolo della documentazione sull'indagine sugli incidenti. Come parte dell'indagine, si useranno anche le pagine delle entità per ottenere altre informazioni sulle entità correlate all'evento imprevisto o identificate come parte dell'indagine.
L'indagine sugli eventi imprevisti in Microsoft Sentinel si estende oltre la funzionalità di indagine principale degli eventi imprevisti. È possibile creare altri strumenti di analisi usando cartelle di lavoro e notebook, i notebook sono illustrati nella sezione successiva, Modulo 17: Ricerca. È anche possibile creare altri strumenti di analisi o modificarne quelli esistenti in base alle esigenze specifiche. Alcuni esempi:
La cartella di lavoro di Investigation Insights offre un approccio alternativo all'analisi degli eventi imprevisti.
I notebook migliorano l'esperienza di indagine. Leggere Perché usare Jupyter per le indagini sulla sicurezza? in cui viene spiegato come fare analisi tramite Microsoft Sentinel e Jupyter notebooks:
Modulo 17: Ricerca
Sebbene la maggior parte delle discussioni abbia finora incentrato sul rilevamento e sulla gestione degli eventi imprevisti, la ricerca è un altro caso d'uso importante per Microsoft Sentinel. La ricerca è una ricerca proattiva di minacce anziché una risposta reattiva agli avvisi.
Il dashboard di ricerca viene costantemente aggiornato. Mostra tutte le query scritte dal team Microsoft di analisti della sicurezza e tutte le query aggiuntive create o modificate. Ogni query fornisce una descrizione del tipo di ricerca e del tipo di dati su cui viene eseguito. Questi modelli sono raggruppati in base alle varie tattiche. Le icone a destra classificano il tipo di minaccia, ad esempio l'accesso iniziale, la persistenza e l'esfiltrazione. Per altre informazioni, vedere Cercare le minacce con Microsoft Sentinel.
Per altre informazioni sulla ricerca e sul supporto di Microsoft Sentinel, vedere il webinar introduttivo "Ricerca di minacce": YouTube, MP4 o presentazione. Il webinar inizia con un aggiornamento sulle nuove funzionalità. Per informazioni sulla caccia, iniziare dalla diapositiva 12. Il video di YouTube è già impostato per iniziare.
Anche se il webinar introduttivo è incentrato sugli strumenti, la ricerca riguarda la sicurezza. Il webinar del nostro team di ricerca sulla sicurezza (YouTube, MP4 o presentazione) è incentrato su come cercare effettivamente.
Il webinar di completamento, "Ricerca di minacce AWS con Microsoft Sentinel" (YouTube, MP4 o presentazione) mostra uno scenario di ricerca end-to-end in un ambiente di destinazione di alto valore.
Infine, è possibile imparare a eseguire la ricerca post-compromissione di SolarWinds con Microsoft Sentinel e la ricerca di WebShell, necessaria a cause delle più recenti vulnerabilità nei server Microsoft Exchange locali.
Modulo 18: abilitare l'analisi del comportamento di utenti ed entità (UEBA)
Il modulo UEBA (User and Entity Behavior Analytics, "Analisi del comportamento degli utenti e delle entità") di Microsoft Sentinel appena introdotto consente di identificare e analizzare le minacce all'interno dell'organizzazione e il loro potenziale impatto, indipendentemente dal fatto che provengano da un'entità compromessa o da un utente malintenzionato.
Quando Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione, come utenti, host, indirizzi IP e applicazioni, basati sul tempo e su gruppi peer. Attraverso varie tecniche e funzionalità di Machine Learning permette a Microsoft Sentinel di identificare le attività anomale e determinare se una risorsa è compromessa. Inoltre, può determinare la sensibilità relativa di risorse specifiche, identificare gruppi peer di risorse e valutare l'impatto potenziale di qualsiasi risorsa compromessa: il cosiddetto raggio di attacco. Con queste informazioni, è possibile classificare in ordine di priorità l'indagine e la gestione degli eventi imprevisti in modo efficace.
Per altre informazioni sull'UEBA, vedere il webinar (YouTube, MP4 o presentazione) e leggere informazioni sull'uso di UEBA per le indagini nel SOC.
Per informazioni sugli aggiornamenti più recenti, vedere il webinar "Futuro dell'analisi comportamentale delle entità utente in Microsoft Sentinel".
Modulo 19: Monitoraggio dell'integrità di Microsoft Sentinel
Parte del funzionamento di un sistema SIEM garantisce che funzioni senza problemi ed è un'area in continua evoluzione in Azure Microsoft Sentinel. Usare quanto segue per monitorare l'integrità di Microsoft Sentinel:
Misurare l'efficienza delle operazioni di sicurezza (video).
La tabella dati sull'integrità di Microsoft Sentinel fornisce informazioni dettagliate sulle deviazioni di integrità, ad esempio gli eventi di errore più recenti per ogni connettore o i connettori con modifiche da esito positivo a stati di errore, che è possibile usare per creare avvisi e altre azioni automatizzate. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati. Visualizzare il video "Cartella di lavoro di monitoraggio dello stato dei connettori dati". E ricevere notifiche sulle anomalie.
Monitorare gli agenti usando la soluzione di integrità degli agenti (solo Windows) e la tabella Heartbeat (Linux e Windows).
Monitorare l'area di lavoro Log Analytics: YouTube, MP4 o presentazione, inclusi l'esecuzione delle query e l'integrità dell'inserimento.
La gestione dei costi è anche una procedura operativa importante nel SOC. Usare il playbook avvisi costi di inserimento per assicurarsi di essere sempre a conoscenza di eventuali aumenti dei costi.
Parte 5: Avanzate
Modulo 20: Estensione e integrazione tramite le API di Microsoft Sentinel
Come SIEM nativo del cloud, Microsoft Sentinel è un sistema API-first. Ogni funzionalità può essere configurata e usata tramite un'API, consentendo un'integrazione semplice con altri sistemi ed estendendo Microsoft Sentinel con il proprio codice. Se l'API fa paura, non c’è motivo di essere preoccupati. Qualsiasi elemento disponibile usando l'API è disponibile anche tramite PowerShell.
Per altre informazioni sulle API di Microsoft Sentinel, vedere il breve video introduttivo e leggere il post di blog. Per un approfondimento, vedere il webinar "Estensione e integrazione di Sentinel (API)" (YouTube, MP4 o presentazione) e leggere il post di blog Estensione di Microsoft Sentinel: API, integrazione e automazione della gestione.
Modulo 21: compilare i modelli di Machine Learning
Microsoft Sentinel offre una piattaforma ideale per l'implementazione di algoritmi di Machine Learning personalizzati. Viene chiamato modello di Machine Learning personalizzato o Built-your-own (BYO) ML. BYO ML è destinato agli utenti avanzati. Se si sta cercando un'analisi comportamentale predefinita, usare le regole di analisi di Machine Learning o il modulo UEBA o scrivere regole di analisi comportamentali personalizzate basate su KQL.
Per iniziare a portare il proprio machine learning in Microsoft Sentinel, visualizzare il video "Modello di Machine Learning personalizzato" e leggere il post di blog Rilevamenti dei modelli di Machine Learning personalizzati SIEM di Azure Sentinel immersi nell'intelligenza artificiale. È anche possibile fare riferimento alla documentazione di BYO ML.
Passaggi successivi
- Guida alla distribuzione per Microsoft Sentinel
- Avvio rapido: Onboarding in Microsoft Azure Sentinel
- Novità di Microsoft Sentinel
Contenuti consigliati
- Procedure consigliate per Microsoft Sentinel
- Progettazioni di aree di lavoro di esempio di Microsoft Azure Sentinel
- Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel
- Ruoli e autorizzazioni in Microsoft Sentinel
- Distribuire Microsoft Sentinel side-by-side con un SIEM esistente