Bedreigingsinformatie voor servers met Azure Arc met Microsoft Sentinel
De SOC-analisten van Tailwind Traders (Security Operations Center) hebben moeite om hun omgeving te beoordelen met de verschillende SIEM- en SOAR-oplossingen. In deze les leert u hoe servers met Azure Arc in combinatie met Microsoft Sentinel, een SIEM- en SOAR-oplossing die zich bijhoudt met een hybride en multicloudomgeving.
Overzicht van Microsoft Sentinel
Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en security orchestration, automation and response (SOAR). Microsoft Sentinel levert bedreigingsinformatie in de hele onderneming en biedt één oplossing voor aanvalsdetectie, proactieve opsporing en reactie op bedreigingen.
Microsoft Sentinel is uw blik op de hele onderneming, waardoor de stress van steeds geavanceerdere aanvallen, het verhogen van de hoeveelheid waarschuwingen en de lange resolutietijdskaders wordt verminderd.
- Verzamel gegevens op cloudschaal voor alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds.
- Detecteer eerder niet-gedetecteerde bedreigingen en minimaliseer fout-positieven met behulp van de analyse van Microsoft en ongeëvenaarde bedreigingsinformatie.
- Onderzoek bedreigingen met kunstmatige intelligentie en zoek naar verdachte activiteiten op schaal, waarbij wordt gekeken naar jaren van cyberbeveiliging bij Microsoft.
- Reageer snel op incidenten met ingebouwde indeling en automatisering van algemene taken.
Verbinding maken gegevens
Als u Microsoft Sentinel wilt onboarden, moet u eerst verbinding maken met uw beveiligingsbronnen.
Microsoft Sentinel wordt geleverd met verschillende connectors voor Microsoft-oplossingen, die kant-en-klare beschikbaar zijn en realtime integratie bieden. De out-of-the-box-connectors van Microsoft Sentinel bevatten Microsoft 365-bronnen, Microsoft Entra-id, Microsoft Defender for Identity en Microsoft Defender voor Cloud Apps. Daarnaast zijn er ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen.
Relevante gegevensconnectors voor servers met Azure Arc kunnen beveiligingsgebeurtenissen bevatten via verouderde agent, Windows-beveiliging gebeurtenissen via AMA of Syslog.
Werkmappen en analyse
Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, kunt u de gegevens bewaken met behulp van de Microsoft Sentinel-integratie met Azure Monitor Workbooks, die veelzijdigheid biedt bij het maken van aangepaste werkmappen. Microsoft Sentinel wordt ook geleverd met ingebouwde werkmapsjablonen waarmee u snel inzicht krijgt in uw gegevens zodra u verbinding maakt met een gegevensbron.
Om u te helpen het aantal waarschuwingen dat u moet onderzoeken te minimaliseren, gebruikt Microsoft Sentinel analyses om waarschuwingen te correleren met incidenten. Incidenten zijn groepen gerelateerde waarschuwingen die samen een mogelijke bedreiging vormen die u kunt onderzoeken en oplossen. Gebruik de ingebouwde correlatieregels zoals ze worden geleverd of gebruik ze als beginpunt om uw eigen correlatieregels te maken. Microsoft Sentinel biedt ook machine learning-regels om uw netwerkgedrag toe te wijzen en vervolgens te zoeken naar afwijkingen in uw resources.
Beveiligingsautomatisering en -indeling
U kunt uw algemene taken automatiseren en beveiligingsindeling vereenvoudigen met playbooks die zijn geïntegreerd met Azure-services en uw bestaande hulpprogramma's.
Met behulp van Azure Logic Apps is de automatiserings- en indelingsoplossing van Microsoft Sentinel uitbreidbaar, schaalbaar en gemoderniseerd. Als u playbooks wilt maken met Azure Logic Apps, kunt u kiezen uit een steeds groter wordende galerie met ingebouwde playbooks. Dit zijn onder andere meer dan 200 connectors voor services zoals Azure-functies. Met de connectors kunt u aangepaste logica toepassen in code, ServiceNow, Jira, Zendesk, HTTP-aanvragen, Microsoft Teams, Slack, Windows Defender ATP en Defender voor Cloud-apps.
Opsporing en notitieblokken
Gebruik de krachtige zoek- en queryhulpprogramma's van Microsoft Sentinel, op basis van het MITRE-framework, om proactief beveiligingsrisico's op te sporen in de gegevensbronnen van uw organisatie voordat een waarschuwing wordt geactiveerd. Nadat u hebt ontdekt welke opsporingsquery hoogwaardige inzichten biedt in aanvallen, kunt u ook aangepaste detectieregels maken op basis van uw query en deze inzichten weergeven als waarschuwingen voor uw reactie op beveiligingsincidenten. Tijdens het opsporen kunt u bladwijzers maken voor interessante gebeurtenissen, zodat u ze later kunt terugzetten, ze met anderen kunt delen en ze kunt groeperen met andere correlerende gebeurtenissen om een overtuigend incident voor onderzoek te maken.
Microsoft Sentinel ondersteunt Jupyter-notebooks in Azure Machine Learning-werkruimten, waaronder volledige bibliotheken voor machine learning, visualisatie en gegevensanalyse. U kunt notebooks in Microsoft Sentinel gebruiken om het bereik van wat u kunt doen met Microsoft Sentinel-gegevens uit te breiden. U kunt bijvoorbeeld analyses uitvoeren die niet zijn ingebouwd in Microsoft Sentinel, zoals sommige Python-functies voor machine learning; gegevensvisualisaties maken die niet zijn ingebouwd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren; of integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.