Introduzione
Il contenuto di Microsoft Sentinel è contenuto SIEM (Security Information and Event Management) che consente ai clienti di inserire dati, monitorare, inviare avvisi, cercare, analizzare, rispondere e connettersi a prodotti, piattaforme e servizi diversi in Microsoft Sentinel.
Il contenuto in Microsoft Sentinel include uno dei tipi seguenti:
- I connettori dati forniscono l'inserimento di log da origini diverse in Microsoft Sentinel
- I parser forniscono formattazione/trasformazione dei log in formati ASIM, supportando l'utilizzo in vari tipi di contenuto e scenari di Microsoft Sentinel
- Le cartelle di lavoro forniscono monitoraggio, visualizzazione e interattività con i dati in Microsoft Sentinel, evidenziando informazioni dettagliate significative per gli utenti
- Le regole di analisi forniscono avvisi che puntano alle azioni SOC pertinenti tramite eventi imprevisti
- Le query di ricerca vengono usate dai team SOC per cercare in modo proattivo le minacce in Microsoft Sentinel
- I Notebook consentono ai team SOC di usare funzionalità di ricerca avanzate in Jupyter e Azure Notebooks
- Le watchlist supportano l'inserimento di dati specifici per il rilevamento avanzato delle minacce e la riduzione dell'affaticamento degli avvisi
- I playbook e i connettori personalizzati di App per la logica di Azure offrono funzionalità per indagini automatizzate, correzioni e scenari di risposta in Microsoft Sentinel
Per mantenere il contenuto in per Microsoft Sentinel, usare:
- Hub del contenuto: le soluzioni Microsoft Sentinel sono pacchetti di contenuti di Microsoft Sentinel o integrazioni API di Microsoft Sentinel, che soddisfano uno scenario verticale, dominio o prodotto end-to-end in Microsoft Sentinel.
- Repository: i repository consentono di automatizzare la distribuzione e la gestione del contenuto di Microsoft Sentinel tramite repository centrali.
- Community: eseguire l'onboarding dei contenuti della community su richiesta per abilitare gli scenari. Il repository GitHub in https://github.com/Azure/Azure-Sentinel contiene il contenuto di Microsoft e la community testata e disponibile per l'implementazione nell'area di lavoro di Sentinel.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che ha implementato Microsoft Sentinel. È necessario installare connettori e regole analitiche da un fornitore. È stata anche creata una libreria di query di ricerca che devono essere mantenute in più ambienti.
Al termine del modulo, si sarà in grado di gestire il contenuto in Microsoft Sentinel.
Al termine di questo modulo si sarà in grado di:
- Installare una soluzione hub contenuti in Microsoft Sentinel
- Connettere un repository GitHub a Microsoft Sentinel