Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano najlepsze rozwiązania i odwołania do tworzenia własnych rozwiązań integracji z usługą Microsoft Sentinel.
Zespoły ds. operacji zabezpieczeń (SOC) używają usługi Microsoft Sentinel do generowania wykryć i badać i korygować zagrożenia. Oferowanie klientom danych, wykryć, automatyzacji, analizy i spakowanej wiedzy dzięki integracji z usługą Microsoft Sentinel zapewnia zespołom SOC informacje potrzebne do działania na temat świadomych odpowiedzi na zabezpieczenia.
Na przykład integracja może dodać wartość dla dowolnego z następujących celów:
Tworzenie wykrywania danych częściowo ustrukturyzowanych . Na przykład integracja może przynieść nowe dane dziennika, analizę z możliwością działania, reguły analizy, reguły wyszukiwania zagrożeń, środowiska wyszukiwania z przewodnikiem lub analizę uczenia maszynowego
Współtworzenie badań usługi Microsoft Sentinel. Na przykład integracja może dodawać nowe wykrycia, zapytania lub dane historyczne i pomocnicze, takie jak dodatkowe bazy danych, dane luk w zabezpieczeniach, zgodność, dane itd.
Automatyzacja w usłudze Microsoft Sentinel. Na przykład integracja może obejmować reguły wzbogacania, korygowania lub organizowania działań zabezpieczeń w środowisku i infrastrukturze klienta.
Zalecamy spakowanie i opublikowanie integracji jako rozwiązania usługi Microsoft Sentinel, dzięki czemu wspólni klienci będą mogli odnajdywać, wdrażać i maksymalizować wartość integracji partnerów. Rozwiązania usługi Microsoft Sentinel są publikowane w witrynie Azure Marketplace i są wyświetlane w centrum zawartości usługi Microsoft Sentinel.
Integracje do zbierania danych
Większość integracji z usługą Microsoft Sentinel jest oparta na danych i używa zarówno ogólnego aparatu wykrywania, jak i pełnego aparatu śledczego. Oba aparaty są uruchamiane przez dane pozyskane do repozytorium danych usługi Microsoft Sentinel.
Usługa Microsoft Sentinel współpracuje z następującymi typami danych:
| Type | Opis |
|---|---|
| Nieprzetworzone dane | Obsługuje procesy wykrywania i wyszukiwania zagrożeń. Analizowanie nieprzetworzonych danych operacyjnych, w których mogą występować oznaki złośliwego działania. Przenoszenie nieprzetworzonych danych do usługi Microsoft Sentinel w celu korzystania z wbudowanych funkcji wyszukiwania zagrożeń i wykrywania usługi Microsoft Sentinel w celu identyfikowania nowych zagrożeń i nie tylko. Przykłady: dane dziennika systemowego, dane CEF za pośrednictwem dziennika systemowego, aplikacji, zapory, uwierzytelniania lub dzienników dostępu itd. |
| Wnioski dotyczące zabezpieczeń | Tworzy widoczność alertu i możliwość korelacji. Alerty i wykrycia to wnioski, które zostały już wykonane na temat zagrożeń. Umieszczenie wykrywania w kontekście wszystkich działań i innych wykryć widocznych w badaniach usługi Microsoft Sentinel pozwala zaoszczędzić czas dla analityków i utworzy bardziej pełny obraz zdarzenia, co skutkuje lepszym priorytetem i lepszymi decyzjami. Przykłady: alerty chroniące przed złośliwym oprogramowaniem, podejrzane procesy, komunikacja ze znanymi złymi hostami, ruch sieciowy, który został zablokowany i dlaczego, podejrzane logowania, wykryte ataki sprayu haseł, zidentyfikowane ataki wyłudzające informacje, zdarzenia eksfiltracji danych i inne. |
| Dane referencyjne | Tworzy kontekst ze środowiskami referencyjnymi, oszczędzając nakład pracy badania i zwiększając wydajność. Przykłady: CMDB, bazy danych zasobów o wysokiej wartości, bazy danych zależności aplikacji, dzienniki przypisywania adresów IP, kolekcje analizy zagrożeń na potrzeby wzbogacania i nie tylko. |
| Analiza zagrożeń | Wspomaga wykrywanie zagrożeń, przyczyniając się do wskaźników znanych zagrożeń. Analiza zagrożeń może obejmować bieżące wskaźniki reprezentujące natychmiastowe zagrożenia lub wskaźniki historyczne, które są przechowywane na potrzeby przyszłego zapobiegania. Historyczne zestawy danych są często duże i najlepiej odwołują się do nich ad hoc zamiast importować je bezpośrednio do usługi Microsoft Sentinel. |
Każdy typ danych obsługuje różne działania w usłudze Microsoft Sentinel, a wiele produktów zabezpieczeń współpracuje z wieloma typami danych w tym samym czasie.
Integracje do monitorowania i wykrywania
Funkcje monitorowania i wykrywania usługi Microsoft Sentinel umożliwiają automatyczne wykrywanie, aby pomóc klientom skalować wiedzę zespołu SOC.
W poniższych sekcjach opisano elementy monitorowania i wykrywania, które można uwzględnić w rozwiązaniu integracji:
Reguły wykrywania zagrożeń
Wykrywanie zagrożeń lub reguły analizy to zaawansowane wykrycia, które mogą tworzyć dokładne, znaczące alerty.
Dodaj reguły analizy do integracji, aby ułatwić klientom korzystanie z danych z systemu w usłudze Microsoft Sentinel. Na przykład reguły analizy mogą pomóc w zapewnieniu wiedzy i wglądu w działania, które można wykryć w danych zapewnianych przez integrację.
Analiza to reguły oparte na zapytaniach, które są uruchamiane na danych w obszarze roboczym usługi Microsoft Sentinel klienta i mogą:
- Alerty wyjściowe, które są zdarzeniami godnymi uwagi
- Zdarzenia wyjściowe, które są jednostkami badania
- Wyzwalanie podręczników automatyzacji
Reguły analizy można dodawać, dołączając je do rozwiązania i za pośrednictwem społeczności ThreatHunters usługi Microsoft Sentinel. Współtworzyj za pośrednictwem społeczności, aby zachęcić kreatywność społeczności do danych źródłowych przez partnerów, pomagając klientom w bardziej niezawodnych i skutecznych wykrywaniach.
Reguły wyszukiwania zagrożeń i notesy
Usługa Microsoft Sentinel udostępnia bogaty zestaw możliwości wyszukiwania zagrożeń, których można użyć, aby pomóc klientom w znalezieniu nieznanych zagrożeń w dostarczanych danych. Możesz uwzględnić taktyczne zapytania wyszukiwania zagrożeń w integracji, aby wyróżnić konkretną wiedzę, a nawet kompletne środowiska wyszukiwania zagrożeń z przewodnikiem.
Wizualizacja
Utworzona integracja może również obejmować wizualizacje ułatwiające klientom zarządzanie danymi i ich zrozumienie, w tym graficzne widoki tego, jak dobrze przepływają dane do usługi Microsoft Sentinel oraz jak skutecznie przyczyniają się do wykrywania.
Przejrzystość zapewniana przez wizualizacje na dostosowywalnych pulpitach nawigacyjnych może wyróżniać wartość partnera dla klientów.
Integracje na potrzeby badań
Wykres badania usługi Microsoft Sentinel udostępnia badaczom odpowiednie dane, gdy ich potrzebują, zapewniając wgląd w zdarzenia zabezpieczeń i alerty za pośrednictwem połączonych jednostek. Śledczy mogą użyć grafu badania, aby znaleźć istotne lub powiązane zdarzenia, przyczyniając się do zagrożenia, które jest badane.
Partnerzy mogą współtworzyć wykres badania, zapewniając:
- Alerty i zdarzenia usługi Microsoft Sentinel utworzone za pośrednictwem reguł analizy w rozwiązaniach partnerskich
- Niestandardowe zapytania eksploracji dla danych dostarczonych przez partnerów. Zapytania niestandardowe eksploracji zapewniają zaawansowaną eksplorację i łączność między danymi i szczegółowymi informacjami dla badaczy zabezpieczeń.
Integracje na potrzeby odpowiedzi
Funkcje koordynacji i korygowania usługi Microsoft Sentinel obsługują klientów, którzy muszą organizować i aktywować korygowania szybko i dokładnie.
Uwzględnij podręczniki automatyzacji w rozwiązaniu integracji, aby obsługiwać przepływy pracy z rozbudowaną automatyzacją, uruchamiając zadania związane z zabezpieczeniami w środowiskach klientów. Na przykład podręczniki integracji mogą pomóc w dowolny z następujących sposobów i nie tylko:
- Pomaganie klientom w konfigurowaniu zasad zabezpieczeń w produktach partnerskich
- Zbieranie dodatkowych danych w celu informowania o decyzjach śledczych
- Łączenie zdarzeń usługi Microsoft Sentinel z zewnętrznymi systemami zarządzania
- Integrowanie zarządzania cyklem życia alertów między rozwiązaniami partnerskimi
Co należy uwzględnić w integracji?
W poniższych sekcjach opisano typowe scenariusze integracji partnerów oraz zalecenia dotyczące tego, co należy uwzględnić w rozwiązaniu dla każdego scenariusza.
Produkt generuje dane, które są ważne dla badań zabezpieczeń
Scenariusz: Produkt generuje dane, które mogą informować lub w inny sposób ważne w przypadku badań zabezpieczeń. Produkt może lub nie może zawierać wbudowanych wykryć.
Przykład: Produkty dostarczające jakąś formę danych dziennika obejmują zapory, brokery zabezpieczeń aplikacji w chmurze, systemy dostępu fizycznego, dane wyjściowe dziennika systemu, komercyjnie dostępne i utworzone w przedsiębiorstwie aplikacje LOB, serwery, metadane sieciowe, wszystko dostarczane za pośrednictwem dziennika systemowego w formacie Syslog lub CEF lub za pośrednictwem interfejsu API REST w formacie JSON.
Jak używać danych w usłudze Microsoft Sentinel: importowanie danych produktu do usługi Microsoft Sentinel za pośrednictwem łącznika danych w celu zapewnienia analiz, wyszukiwania zagrożeń, badań, wizualizacji i nie tylko.
Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:
| Typ | Elementy do uwzględnienia |
|---|---|
| Wymagane | — Łącznik danych usługi Microsoft Sentinel umożliwiający dostarczanie danych i łączenie innych dostosowań w portalu. Przykładowe zapytania dotyczące danych |
| Zalecane | -Skoroszytów — Reguły analizy w celu tworzenia wykryć opartych na danych w usłudze Microsoft Sentinel |
| Opcjonalne | - Zapytania dotyczące wyszukiwania zagrożeń, aby zapewnić myśliwym gotowe zapytania do użycia podczas wyszukiwania zagrożeń - Notesy, aby dostarczyć w pełni sterowane, powtarzalne środowisko wyszukiwania zagrożeń |
Produkt zapewnia wykrywanie
Scenariusz: Produkt zapewnia wykrywanie, które uzupełniają alerty i zdarzenia z innych systemów
Przykłady: rozwiązania do ochrony przed złośliwym oprogramowaniem, rozwiązania do wykrywania i reagowania w przedsiębiorstwie, rozwiązania do wykrywania i reagowania na sieci, rozwiązania do zabezpieczeń poczty, takie jak produkty chroniące przed wyłudzaniem informacji, skanowanie luk w zabezpieczeniach, rozwiązania do zarządzania urządzeniami przenośnymi, rozwiązania UEBA, usługi ochrony informacji itd.
Jak używać danych w usłudze Microsoft Sentinel: udostępniaj swoje wykrycia, alerty lub zdarzenia w usłudze Microsoft Sentinel, aby pokazać je w kontekście innych alertów i zdarzeń, które mogą występować w środowiskach klientów. Rozważ również dostarczenie dzienników i metadanych, które napędzają wykrywanie, jako dodatkowy kontekst dla badań.
Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:
| Typ | Elementy do uwzględnienia |
|---|---|
| Wymagane | Łącznik danych usługi Microsoft Sentinel umożliwiający dostarczanie danych i łączenie innych dostosowań w portalu. |
| Zalecane | Reguły analizy w celu utworzenia zdarzeń usługi Microsoft Sentinel na podstawie wykryć, które są przydatne w badaniach |
Produkt dostarcza wskaźniki analizy zagrożeń
Scenariusz: Produkt dostarcza wskaźniki analizy zagrożeń, które mogą zapewnić kontekst zdarzeń zabezpieczeń występujących w środowiskach klientów
Przykłady: platformy TIP, kolekcje STIX/TAXII oraz publiczne lub licencjonowane źródła analizy zagrożeń. Dane referencyjne, takie jak WhoIS, GeoIP lub nowo obserwowane domeny.
Jak używać danych w usłudze Microsoft Sentinel: dostarczanie bieżących wskaźników do usługi Microsoft Sentinel do użycia na różnych platformach wykrywania firmy Microsoft. Używaj dużych lub historycznych zestawów danych na potrzeby scenariuszy wzbogacania za pośrednictwem dostępu zdalnego.
Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:
| Typ | Elementy do uwzględnienia |
|---|---|
| Bieżąca analiza zagrożeń | Utwórz łącznik danych GSAPI w celu wypychania wskaźników do usługi Microsoft Sentinel. Podaj serwer STIX 2.0 lub 2.1 TAXII, którego klienci mogą używać z wbudowanym łącznikiem danych TAXII. |
| Historyczne wskaźniki i/lub zestawy danych referencyjnych | Podaj łącznik aplikacji logiki, aby uzyskać dostęp do danych i podręcznika przepływu pracy wzbogacania, który kieruje dane do odpowiednich miejsc. |
Produkt zapewnia dodatkowy kontekst dla badań
Scenariusz: Produkt udostępnia dodatkowe, kontekstowe dane na potrzeby badań opartych na usłudze Microsoft Sentinel.
Przykłady: Dodatkowe kontekstowe bazy danych CMDB, bazy danych zasobów o wysokiej wartości, bazy danych adresów VIP, bazy danych zależności aplikacji, systemy zarządzania zdarzeniami, systemy obsługi biletów
Jak używać danych w usłudze Microsoft Sentinel: użyj swoich danych w usłudze Microsoft Sentinel, aby wzbogacić zarówno alerty, jak i zdarzenia.
Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:
- Łącznik aplikacji logiki
- Podręcznik przepływu pracy wzbogacania
- Przepływ pracy zarządzania cyklem życia zdarzeń zewnętrznych (opcjonalnie)
Produkt może implementować zasady zabezpieczeń
Scenariusz: Produkt może implementować zasady zabezpieczeń w usłudze Azure Policy i innych systemach
Przykłady: Zapory, NDR, EDR, MDM, rozwiązania do obsługi tożsamości, rozwiązania dostępu warunkowego, rozwiązania dostępu fizycznego lub inne produkty, które obsługują blokowanie/zezwalanie lub inne zasady zabezpieczeń z możliwością działania
Jak używać danych w usłudze Microsoft Sentinel: akcje i przepływy pracy usługi Microsoft Sentinel umożliwiające korygowanie i reagowanie na zagrożenia
Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:
- Łącznik aplikacji logiki
- Podręcznik przepływu pracy akcji
Dokumentacja dotycząca rozpoczynania pracy
Wszystkie integracje techniczne usługi Microsoft Sentinel zaczynają się od repozytorium GitHub usługi Microsoft Sentinel i wskazówek dotyczących współtworzenia.
Gdy wszystko będzie gotowe do rozpoczęcia pracy nad rozwiązaniem usługi Microsoft Sentinel, znajdź instrukcje dotyczące przesyłania, pakowania i publikowania w przewodniku tworzenia rozwiązań usługi Microsoft Sentinel.
Wprowadzenie na rynek
Firma Microsoft oferuje programy ułatwiające partnerom podejście do klientów firmy Microsoft:
Microsoft Partner Network (MPN). Podstawowym programem do współpracy z firmą Microsoft jest Microsoft Partner Network. Członkostwo w programie MPN jest wymagane, aby stać się wydawcą witryny Azure Marketplace, w którym publikowane są wszystkie rozwiązania usługi Microsoft Sentinel.
Azure Marketplace. Rozwiązania usługi Microsoft Sentinel są dostarczane za pośrednictwem witryny Azure Marketplace, w której klienci przechodzą do odnajdywania i wdrażania ogólnych integracji platformy Azure firmy Microsoft i partnerów.
Rozwiązania usługi Microsoft Sentinel to jeden z wielu typów ofert dostępnych w witrynie Marketplace. Oferty rozwiązań osadzonych można również znaleźć w centrum zawartości usługi Microsoft Sentinel
Microsoft Intelligent Security Association (MISA). PROGRAM MISA zapewnia partnerom ds. zabezpieczeń firmy Microsoft pomoc w tworzeniu świadomości na temat integracji utworzonych przez partnerów z klientami firmy Microsoft i pomaga w zapewnianiu możliwości odnajdywania integracji produktów Microsoft Security.
Dołączenie do programu MISA wymaga nominacji od uczestniczącego zespołu ds. zabezpieczeń firmy Microsoft. Utworzenie dowolnej z następujących integracji może kwalifikować partnerów do nominacji:
- Łącznik danych usługi Microsoft Sentinel i skojarzona zawartość, taka jak skoroszyty, przykładowe zapytania i reguły analizy
- Opublikowany łącznik usługi Logic Apps i podręczniki usługi Microsoft Sentinel.
- Integracje interfejsów API w zależności od przypadku
Aby poprosić o przegląd nominacji MISA lub w przypadku pytań, skontaktuj się z .AzureSentinelPartner@microsoft.com
Następne kroki
Aby uzyskać więcej informacji, zobacz:
Zbieranie danych:
- Najlepsze rozwiązania dotyczące zbierania danych
- Łączniki danych usługi Microsoft Sentinel
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Omówienie analizy zagrożeń w usłudze Microsoft Sentinel
Wykrywanie zagrożeń:
- Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
- Badanie zdarzeń za pomocą usługi Microsoft Sentinel
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
Wyszukiwanie zagrożeń i notesy
- Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel
- Zarządzanie zapytaniami dotyczącymi wyszukiwania zagrożeń i transmisji strumieniowej na żywo w usłudze Microsoft Sentinel przy użyciu interfejsu API REST
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
Wizualizacja: wizualizowanie zebranych danych.
Badanie: badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Odpowiedź: