Introduzione
Distribuire Microsoft Sentinel e connettere questa soluzione alle origini dati per fornire l'analisi in tempo reale per gli avvisi di sicurezza in un'azienda.
Si supponga di lavorare per una società di servizi finanziari di medie dimensioni con sede a Londra e una succursale a New York City. L'organizzazione ha i prodotti e i servizi seguenti nel proprio ambiente:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud
- Microsoft Defender XDR
- Microsoft Purview Information Protection
- Microsoft Intune
L'organizzazione usa le funzionalità gratuite di Cloud Security Posture Management di Microsoft Defender per il cloud. Sta tuttavia pianificando il passaggio alla versione a pagamento standard per ottenere la protezione dalle minacce per le risorse in esecuzione in Azure e in locale. L'organizzazione ha anche altri asset non Microsoft da monitorare e proteggere.
Gli analisti della sicurezza dell'organizzazione devono affrontare un carico di lavoro enorme per le valutazioni. Gestiscono un volume elevato di avvisi di più prodotti. Gli avvisi vengono messi in correlazione nei modi seguenti:
- Manualmente da diversi dashboard dei prodotti
- Usando un motore di correlazione tradizionale
Il tempo dedicato dal team delle operazioni per la sicurezza (SecOps) alla configurazione e alla gestione dell'infrastruttura IT viene inoltre sottratto alle attività per la sicurezza.
Il responsabile IT ritiene che Microsoft Sentinel aiuterà gli analisti della sicurezza a eseguire indagini complesse più rapidamente e a migliorare le attività SecOps.
In qualità di responsabile del sistema dell'organizzazione e amministratore di Azure si riceve la richiesta di configurare un ambiente di prova con modello di verifica (PoC). Con questo ambiente di prova sarà possibile verificare se Microsoft Sentinel può aiutare il team SecOps dell'organizzazione a identificare e bloccare in modo efficiente eventuali attacchi informatici prima che causino danni.
In questo modulo verranno presentate alcune considerazioni sulla distribuzione di Microsoft Sentinel, tra cui:
- Configurazione di ruoli e autorizzazioni
- Connessione delle origini dati a Microsoft Sentinel
- Gestione dei dati di log di Microsoft Sentinel
Obiettivi di apprendimento
Dopo aver completato questo modulo, l'utente sarà in grado di:
- Abilitare Microsoft Sentinel.
- Distribuire i connettori da Microsoft Sentinel ai servizi da monitorare.
- Gestire i dati di log di Microsoft Sentinel raccolti dai connettori.