Funzionamento di Microsoft Sentinel

  • 10 minuti

Come si è già appreso, Microsoft Sentinel consente di abilitare operazioni di sicurezza end-to-end. Inizia con l'inserimento dei log e continua con la risposta automatica agli avvisi di sicurezza.

Ecco le funzionalità e i componenti principali di Microsoft Sentinel.

Connettori di dati

Per prima cosa è necessario inserire i dati in Microsoft Sentinel. I connettori dati consentono di fare questo. È possibile aggiungere alcuni servizi, ad esempio i log attività di Azure, selezionando semplicemente un pulsante. Altri servizi, ad esempio Syslog, richiedono una configurazione minima. Sono disponibili connettori dati per tutti gli scenari e le origini tra cui:

  • syslog
  • Common Event Format (CEF)
  • TAXII (Trusted Automated eXchange of Indicator Information) per l'intelligence sulle minacce
  • Azure
  • Servizi di AWS

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Conservazione dei log

Dopo essere stati inseriti in Microsoft Sentinel, i dati vengono archiviati usando Log Analytics. I vantaggi offerti da Log Analytics includono la possibilità di usare il linguaggio di query Kusto (KQL) per eseguire query sui dati. KQL è un linguaggio di query avanzato che consente di ottenere approfondimenti e informazioni dettagliate dai dati.

Screenshot showing the Log Analytics interface in the Azure portal.

Workbooks

Le cartelle di lavoro consentono di visualizzare i dati all'interno di Microsoft Sentinel. Le cartelle di lavoro possono essere considerate dashboard. Ogni componente del dashboard viene creato usando una query KQL sottostante dei dati. È possibile usare le cartelle di lavoro predefinite in Microsoft Sentinel e modificarle per soddisfare esigenze specifiche o creare cartelle di lavoro personalizzate completamente nuove. Se sono già state usate le cartelle di lavoro di Monitoraggio di Azure, si conoscerà questa funzionalità poiché si tratta di un'implementazione di Sentinel delle cartelle di lavoro di Monitoraggio di Azure.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Avvisi di analisi

Dopo aver ottenuto i log e una visualizzazione dei dati, può essere molto utile eseguire analisi proattive sui dati per ricevere una notifica quando si verifica un evento sospetto. È possibile abilitare avvisi di analisi predefiniti nell'area di lavoro di Sentinel. Sono disponibili vari tipi di avvisi, alcuni dei quali possono essere modificati in base alle proprie esigenze. Altri avvisi sono basati su modelli di Machine Learning proprietari di Microsoft. È anche possibile creare avvisi pianificati personalizzati completamente nuovi.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Ricerca di minacce

In questo modulo non verrà approfondita la ricerca di minacce. Tuttavia, se gli analisti del centro operazioni per la sicurezza devono cercare attività sospette, sono disponibili alcune query di ricerca predefinite che è possibile usare. Gli analisti possono anche creare query personalizzate. Sentinel si integra anche con Azure Notebooks. Offre notebook di esempio per ricerche avanzate che usano tutte le potenzialità di un linguaggio di programmazione per effettuare ricerche nei dati.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Eventi imprevisti e analisi

All'attivazione di un avviso abilitato viene creato un evento imprevisto. In Microsoft Sentinel è possibile eseguire attività di gestione degli eventi imprevisti standard, ad esempio modificarne lo stato o assegnarli a singoli utenti per ulteriori indagini. Microsoft Sentinel include anche una funzionalità di analisi che consente di analizzare visivamente gli eventi imprevisti eseguendo il mapping di entità e dati di log lungo una sequenza temporale.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Playbook di automazione

La possibilità di rispondere automaticamente agli eventi imprevisti consente di automatizzare alcune delle operazioni di sicurezza e rendere più produttivo il centro operazioni per la sicurezza. Microsoft Sentinel consente di creare flussi di lavoro automatizzati o playbook in risposta agli eventi. Questa funzionalità può essere usata per la gestione degli eventi imprevisti, l'arricchimento, l'analisi o la correzione. Queste capacità sono spesso chiamate SOAR (Security Orchestration, Automation, and Response).

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

Come analista del centro operazioni per la sicurezza, è ora possibile iniziare a valutare come Microsoft Sentinel possa essere di supporto per raggiungere gli obiettivi. Ad esempio, è possibile:

  • Inserire i dati dagli ambienti cloud e locali.
  • Eseguire analisi sui dati.
  • Gestire e analizzare gli eventi imprevisti che si verificano.
  • Rispondere automaticamente usando playbook.

In altre parole, Microsoft Sentinel offre una soluzione end-to-end per le operazioni di sicurezza.