Udostępnij za pośrednictwem


Szkolenie umiejętności usługi Microsoft Sentinel

Ten artykuł przeprowadzi Cię przez szkolenie na poziomie 400, aby ułatwić ci rozwijanie umiejętności w usłudze Microsoft Sentinel. Szkolenie obejmuje 21 samodzielnych modułów, które przedstawiają odpowiednią dokumentację produktu, wpisy w blogu i inne zasoby.

Wymienione tutaj moduły są podzielone na pięć części po cyklu życia usługi Security Operation Center (SOC):

Część 1. Omówienie

Część 2. Tworzenie architektury i wdrażanie

Część 3. Tworzenie zawartości

Część 4. Działanie

Część 5. Zaawansowane

Część 1. Omówienie

Moduł 0. Inne opcje nauki i pomocy technicznej

To szkolenie w zakresie umiejętności to szkolenie na poziomie 400, które opiera się na trenowaniu ninja w usłudze Microsoft Sentinel. Jeśli nie chcesz przechodzić tak głęboko lub masz konkretny problem, aby rozwiązać ten problem, inne zasoby mogą być bardziej odpowiednie:

  • Chociaż szkolenie umiejętności jest obszerne, naturalnie musi podążać za skryptem i nie może rozwinąć się na każdym temacie. Zapoznaj się z dokumentacją referencyjną, aby uzyskać informacje o poszczególnych artykułach.
  • Teraz możesz zostać certyfikowany za pomocą nowego certyfikatu SC-200: Microsoft Security Operations Analyst, który obejmuje usługę Microsoft Sentinel. Aby uzyskać szerszy, wyższy poziom widoku pakietu zabezpieczeń firmy Microsoft, warto również rozważyć sc-900 : Zabezpieczenia, zgodność i podstawy tożsamości firmy Microsoft lub AZ-500: Microsoft Azure Security Technologies.
  • Jeśli jesteś już wykwalifikowanych w usłudze Microsoft Sentinel, śledź nowości lub dołącz do programu Microsoft Cloud Security Private Community , aby uzyskać wcześniejszy wgląd w nadchodzące wydania.
  • Czy masz pomysł na udostępnienie nam funkcji? Daj nam znać na stronie głosowej użytkownika usługi Microsoft Sentinel.
  • Jesteś premierem? Warto zapoznać się z czterodniowym warsztatem podstaw usługi Microsoft Sentinel lub zdalnym. Aby uzyskać więcej informacji, skontaktuj się z menedżerem konta sukcesu klienta.
  • Czy masz konkretny problem? Zapytaj (lub odpowiedz innym) w społeczności technicznej usługi Microsoft Sentinel. Możesz też wysłać do nas pytanie lub wysłać do nas wiadomość e-mail pod adresem MicrosoftSentinel@microsoft.com.

Moduł 1. Wprowadzenie do usługi Microsoft Sentinel

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Zapewnia pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Aby uzyskać więcej informacji, zobacz Co to jest usługa Microsoft Sentinel?.

Jeśli chcesz uzyskać wstępne omówienie możliwości technicznych usługi Microsoft Sentinel, najnowsza prezentacja konferencji Ignite jest dobrym punktem wyjścia. Możesz również znaleźć przydatny przewodnik Szybki start dotyczący usługi Microsoft Sentinel (wymagana jest rejestracja witryny).

Zapoznaj się z bardziej szczegółowym omówieniem tego seminarium internetowego usługi Microsoft Sentinel: YouTube, MP4 lub prezentacji.

Na koniec, czy chcesz spróbować samodzielnie? Akcelerator all-in-one usługi Microsoft Sentinel (blog, YouTube, MP4 lub prezentacja) oferuje łatwy sposób rozpoczęcia pracy. Aby dowiedzieć się, jak rozpocząć pracę, zapoznaj się z dokumentacją dołączania lub obejrzyj film wideo dotyczący konfiguracji i konfiguracji usługi Microsoft Sentinel w usłudze Microsoft Sentinel w usłudze Insight.

Dowiedz się od innych użytkowników

Tysiące organizacji i dostawców usług korzysta z usługi Microsoft Sentinel. Podobnie jak zwykle w przypadku produktów zabezpieczających, większość organizacji nie upublicznia tego tematu. Mimo to, oto kilka osób, które mają:

Nauka od analityków

Moduł 2: Jak jest używana usługa Microsoft Sentinel?

Wiele organizacji używa usługi Microsoft Sentinel jako podstawowego rozwiązania SIEM. Większość modułów w tym kursie obejmuje ten przypadek użycia. W tym module przedstawimy kilka dodatkowych sposobów korzystania z usługi Microsoft Sentinel.

W ramach stosu zabezpieczeń firmy Microsoft

Użyj usług Microsoft Sentinel, Microsoft Defender dla Chmury i Microsoft Defender XDR, aby chronić obciążenia firmy Microsoft, w tym Windows, Azure i Office:

Aby monitorować obciążenia wielochmurowe

Chmura jest (nadal) nowa i często nie jest monitorowana tak szeroko, jak obciążenia lokalne. Przeczytaj tę prezentację , aby dowiedzieć się, jak usługa Microsoft Sentinel może pomóc w zamknięciu luki w monitorowaniu chmury w chmurach.

Obok istniejącego rozwiązania SIEM

W przypadku okresu przejściowego lub dłuższego, jeśli używasz usługi Microsoft Sentinel dla obciążeń w chmurze, możesz używać usługi Microsoft Sentinel wraz z istniejącym rozwiązaniem SIEM. Możesz również używać obu z systemem obsługi biletów, takim jak Service Now.

Aby uzyskać więcej informacji na temat migracji z innego rozwiązania SIEM do usługi Microsoft Sentinel, zapoznaj się z seminarium internetowym migracji: YouTube, MP4 lub prezentacją.

Istnieją trzy typowe scenariusze wdrażania równoległego:

Możesz również wysłać alerty z usługi Microsoft Sentinel do rozwiązania SIEM innej firmy lub systemu biletów przy użyciu usługi Graph interfejs API Zabezpieczenia. Takie podejście jest prostsze, ale nie umożliwia wysyłania innych danych.

W przypadku dostawców usługi MSSPs

Ponieważ eliminuje koszt instalacji i jest niezależny od lokalizacji, usługa Microsoft Sentinel jest popularnym wyborem do dostarczania rozwiązania SIEM jako usługi. Znajdź listę dostawców usług zabezpieczeń zarządzanych przez członków programu MISA (Microsoft Intelligent Security Association) korzystających z usługi Microsoft Sentinel. Wielu innych dostawców msSP, zwłaszcza regionalnych i mniejszych, używa usługi Microsoft Sentinel, ale nie są członkami MISA.

Aby rozpocząć podróż jako program MSSP, przeczytaj podręczniki techniczne usługi Microsoft Sentinel dla dostawców MSSPs. Więcej informacji o obsłudze programu MSSP znajduje się w następnym module, który obejmuje architekturę chmury i obsługę wielodostępną.

Część 2. Tworzenie architektury i wdrażanie

Chociaż "Część 1: Przegląd" oferuje sposoby rozpoczęcia korzystania z usługi Microsoft Sentinel w ciągu kilku minut, zanim rozpoczniesz wdrożenie produkcyjne, ważne jest utworzenie planu.

W tej sekcji opisano obszary, które należy wziąć pod uwagę podczas tworzenia architektury rozwiązania, i zawiera wskazówki dotyczące implementowania projektu:

  • Architektura obszaru roboczego i dzierżawy
  • Zbieranie danych
  • Zarządzanie dziennikami
  • Pozyskiwanie analizy zagrożeń

Moduł 3. Architektura obszaru roboczego i dzierżawy

Wystąpienie usługi Microsoft Sentinel jest nazywane obszarem roboczym. Obszar roboczy jest taki sam jak obszar roboczy usługi Log Analytics i obsługuje wszystkie możliwości usługi Log Analytics. Usługę Microsoft Sentinel można traktować jako rozwiązanie, które dodaje funkcje SIEM w obszarze roboczym usługi Log Analytics.

Wiele obszarów roboczych jest często niezbędnych i może działać razem jako pojedynczy system usługi Microsoft Sentinel. Specjalny przypadek użycia zapewnia usługę przy użyciu usługi Microsoft Sentinel (na przykład przez dostawcę usług zabezpieczeń zarządzanych) lub globalnego SOC w dużej organizacji.

Aby dowiedzieć się więcej na temat korzystania z wielu obszarów roboczych jako jednego systemu usługi Microsoft Sentinel, zobacz Rozszerzanie usługi Microsoft Sentinel między obszarami roboczymi i dzierżawami lub obejrzyj seminarium internetowe: YouTube, MP4 lub prezentację.

Jeśli używasz wielu obszarów roboczych, rozważ następujące kwestie:

  • Ważnym czynnikiem do korzystania z wielu obszarów roboczych jest miejsce przechowywania danych. Aby uzyskać więcej informacji, zobacz Miejsce przechowywania danych usługi Microsoft Sentinel.
  • Aby efektywnie wdrożyć usługę Microsoft Sentinel i zarządzać zawartością w wielu obszarach roboczych, możesz zarządzać usługą Microsoft Sentinel jako kodem przy użyciu technologii ciągłej integracji/ciągłego dostarczania (CI/CD). Zalecanym najlepszym rozwiązaniem dla usługi Microsoft Sentinel jest włączenie ciągłego wdrażania. Aby uzyskać więcej informacji, zobacz Włączanie ciągłego wdrażania natywnie przy użyciu repozytoriów usługi Microsoft Sentinel.
  • Jeśli zarządzasz wieloma obszarami roboczymi jako dostawcą mssp, możesz chcieć chronić własność intelektualną msSP w usłudze Microsoft Sentinel.

Podręcznik techniczny usługi Microsoft Sentinel dla dostawców MSSPs zawiera szczegółowe wskazówki dotyczące wielu z tych tematów i jest przydatny w przypadku dużych organizacji, a nie tylko dla dostawców MSSPs.

Moduł 4. Zbieranie danych

Podstawą rozwiązania SIEM jest zbieranie danych telemetrycznych: zdarzeń, alertów i kontekstowych informacji wzbogacania, takich jak analiza zagrożeń, dane luk w zabezpieczeniach i informacje o zasobach. Oto lista źródeł do odwoływania się do:

  • Przeczytaj łączniki danych usługi Microsoft Sentinel.
  • Przejdź do pozycji Znajdź łącznik danych usługi Microsoft Sentinel, aby wyświetlić wszystkie obsługiwane i gotowe łączniki danych. Znajdź linki do ogólnych procedur wdrażania i dodatkowe kroki wymagane dla określonych łączników.
  • Scenariusze zbierania danych: dowiedz się więcej o metodach zbierania, takich jak Logstash/CEF/WEF. Inne typowe scenariusze to ograniczenia uprawnień do tabel, filtrowania dzienników, zbierania dzienników z usług Amazon Web Services (AWS) lub Google Cloud Platform (GCP), nieprzetworzonych dzienników platformy Microsoft 365 itd. Wszystkie można znaleźć na seminarium internetowym "Scenariusze zbierania danych": YouTube, MP4 lub prezentacji.

Pierwszy element informacji widoczny dla każdego łącznika to metoda pozyskiwania danych. Wyświetlana metoda zawiera link do jednej z następujących ogólnych procedur wdrażania, które zawierają większość informacji potrzebnych do połączenia źródeł danych z usługą Microsoft Sentinel:

Metoda pozyskiwania danych Skojarzony artykuł
Integracja z usługą platformy Azure Nawiązywanie połączenia z usługami Azure, Windows, Microsoft i Amazon
Common Event Format (CEF) za pośrednictwem dziennika systemowego Pozyskiwanie dzienników systemowych i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor
Interfejs API modułu zbierającego dane usługi Microsoft Sentinel Łączenie źródła danych z interfejsem API modułu zbierającego dane usługi Microsoft Sentinel w celu pozyskiwania danych
Usługa Azure Functions i interfejs API REST Łączenie usługi Microsoft Sentinel ze źródłem danych za pomocą usługi Azure Functions
Dziennik systemu Pozyskiwanie dzienników systemowych i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor
Niestandardowe dzienniki Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji

Jeśli źródło nie jest dostępne, możesz utworzyć łącznik niestandardowy. Łączniki niestandardowe używają interfejsu API pozyskiwania i dlatego są podobne do bezpośrednich źródeł. Najczęściej implementujesz łączniki niestandardowe przy użyciu usługi Azure Logic Apps, która oferuje opcję bez kodu lub usługi Azure Functions.

Moduł 5. Zarządzanie dziennikami

Pierwszą decyzją o architekturze, którą należy wziąć pod uwagę podczas konfigurowania usługi Microsoft Sentinel, jest liczba obszarów roboczych i obszarów roboczych do użycia. Inne kluczowe decyzje dotyczące architektury zarządzania dziennikami, które należy wziąć pod uwagę, obejmują:

  • Gdzie i jak długo przechowywać dane.
  • Jak najlepiej zarządzać dostępem do danych i zabezpieczać je.

Pozyskiwanie, archiwizowanie, wyszukiwanie i przywracanie danych w usłudze Microsoft Sentinel

Aby rozpocząć, zapoznaj się z seminarium internetowym "Manage your log lifecycle with new methods for ingestion, archival, search and restoration" (Zarządzanie cyklem życia dziennika przy użyciu nowych metod pozyskiwania, archiwizowania, wyszukiwania i przywracania).

Ten pakiet funkcji zawiera:

  • Podstawowa warstwa pozyskiwania: nowa warstwa cenowa dzienników usługi Azure Monitor, która umożliwia pozyskiwanie dzienników przy niższych kosztach. Te dane są przechowywane w obszarze roboczym tylko przez osiem dni.
  • Warstwa Archiwum: dzienniki usługi Azure Monitor rozszerzyły możliwości przechowywania od dwóch lat do siedmiu lat. Dzięki tej nowej warstwie można przechowywać dane przez maksymalnie siedem lat w stanie zarchiwizowanym o niskich kosztach.
  • Zadania wyszukiwania: wyszukaj zadania, które uruchamiają ograniczone KQL, aby znaleźć i zwrócić wszystkie odpowiednie dzienniki. Te zadania wyszukują dane w warstwie analizy, warstwie podstawowej i zarchiwizowanych danych.
  • Przywracanie danych: nowa funkcja umożliwiająca wybranie tabeli danych i zakresu czasu w celu przywrócenia danych do obszaru roboczego za pośrednictwem tabeli przywracania.

Aby uzyskać więcej informacji na temat tych nowych funkcji, zobacz Pozyskiwanie, archiwizowanie, wyszukiwanie i przywracanie danych w usłudze Microsoft Sentinel.

Alternatywne opcje przechowywania poza platformą Microsoft Sentinel

Jeśli chcesz przechowywać dane przez ponad dwa lata lub zmniejszyć koszt przechowywania, rozważ użycie usługi Azure Data Explorer do długoterminowego przechowywania dzienników usługi Microsoft Sentinel. Zobacz slajdy seminarium internetowego, nagranie seminarium internetowego lub blog.

Chcesz uzyskać bardziej szczegółowe informacje? Zapoznaj się z seminarium internetowym "Ulepszanie zakresu i pokrycia zagrożeń dzięki obsłudze usługi ADX, większej jednostki i zaktualizowanej integracji MITRE".

Jeśli wolisz inne rozwiązanie do przechowywania długoterminowego, zobacz Eksportowanie z obszaru roboczego usługi Microsoft Sentinel/Log Analytics do usług Azure Storage i Event Hubs lub Przenoszenie dzienników do długoterminowego magazynu przy użyciu usługi Azure Logic Apps. Zaletą korzystania z usługi Logic Apps jest możliwość eksportowania danych historycznych.

Na koniec możesz ustawić szczegółowe okresy przechowywania przy użyciu ustawień przechowywania na poziomie tabeli. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor (wersja zapoznawcza).

Zabezpieczenia dzienników

Dedykowany klaster

Użyj dedykowanego klastra obszarów roboczych, jeśli przewidywane pozyskiwanie danych wynosi około 500 GB dziennie. Dzięki dedykowanemu klastrowi można zabezpieczyć zasoby dla danych usługi Microsoft Sentinel, co zapewnia lepszą wydajność zapytań dla dużych zestawów danych.

Moduł 6. Wzbogacanie: analiza zagrożeń, listy kontrolne i inne

Jedną z ważnych funkcji rozwiązania SIEM jest zastosowanie informacji kontekstowych do pary zdarzeń, co umożliwia wykrywanie, określanie priorytetów alertów i badanie zdarzeń. Informacje kontekstowe obejmują na przykład analizę zagrożeń, analizę adresów IP, informacje o hoście i użytkowniku oraz listy kontrolne.

Usługa Microsoft Sentinel udostępnia kompleksowe narzędzia do importowania i używania analizy zagrożeń oraz zarządzania nimi. W przypadku innych typów informacji kontekstowych usługa Microsoft Sentinel udostępnia listy do obejrzenia i inne alternatywne rozwiązania.

Analiza zagrożeń

Analiza zagrożeń jest ważnym blokiem konstrukcyjnym rozwiązania SIEM. Zapoznaj się z seminarium internetowym "Eksplorowanie możliwości analizy zagrożeń w usłudze Microsoft Sentinel".

W usłudze Microsoft Sentinel można zintegrować analizę zagrożeń przy użyciu wbudowanych łączników z serwerów TAXII (Trusted Automated eXchange of Indicator Information) lub za pośrednictwem programu Microsoft Graph interfejs API Zabezpieczenia. Aby uzyskać więcej informacji, zobacz Integracja analizy zagrożeń w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat importowania analizy zagrożeń, zobacz sekcje Moduł 4: Zbieranie danych.

Po zaimportowaniu analiza zagrożeń jest szeroko wykorzystywana w usłudze Microsoft Sentinel. Następujące funkcje koncentrują się na używaniu analizy zagrożeń:

Zapoznaj się z seminarium internetowym "Automate Your Microsoft Sentinel Triage Efforts with RiskIQ Threat Intelligence": YouTube lub prezentacja.

Krótki czas? Wyświetl sesję konferencji Ignite (28 minut).

Chcesz uzyskać bardziej szczegółowe informacje? Obejrzyj seminarium internetowe "Szczegółowe omówienie analizy zagrożeń": YouTube, MP4 lub prezentacja.

Listy kontrolne i inne mechanizmy wyszukiwania

Aby zaimportować informacje kontekstowe i zarządzać nimi, usługa Microsoft Sentinel udostępnia listy do obejrzenia. Korzystając z list kontrolnych, można przekazywać tabele danych w formacie CSV i używać ich w zapytaniach języka KQL. Aby uzyskać więcej informacji, zobacz seminarium internetowe Używanie list do obejrzenia w usłudze Microsoft Sentinel lub zobacz seminarium internetowe "Korzystanie z list do obejrzenia, zmniejszanie zmęczenia alertów i poprawianie wydajności SOC" seminarium internetowe: YouTube lub prezentacja.

Użyj list do obejrzenia, aby ułatwić korzystanie z następujących scenariuszy:

  • Szybkie badanie zagrożeń i reagowanie na zdarzenia: szybkie importowanie adresów IP, skrótów plików i innych danych z plików CSV. Po zaimportowaniu danych użyj par nazwa-wartość listy obserwowanych dla sprzężeń i filtrów w regułach alertów, wyszukiwaniu zagrożeń, skoroszytach, notesach i ogólnych zapytaniach.

  • Zaimportuj dane biznesowe jako listę obserwowaną: na przykład zaimportuj listy użytkowników z uprzywilejowanym dostępem do systemu lub zakończonych pracowników. Następnie użyj listy do obejrzenia, aby utworzyć listy dozwolonych i listy zablokowanych, aby wykryć lub uniemożliwić tym użytkownikom logowanie się do sieci.

  • Zmniejsz zmęczenie alertami: utwórz listy dozwolonych, aby pomijać alerty z grupy użytkowników, takich jak użytkownicy z autoryzowanych adresów IP, którzy wykonują zadania, które normalnie wyzwalają alert. Zapobiegaj utracie alertów zdarzeń o łagodnym stanie się alertami.

  • Wzbogacanie danych zdarzeń: użyj list kontrolnych, aby wzbogacić dane zdarzenia za pomocą kombinacji nazwa-wartość, które pochodzą z zewnętrznych źródeł danych.

Oprócz list obserwowanych można użyć operatora danych zewnętrznych KQL, dzienników niestandardowych i funkcji KQL do zarządzania informacjami kontekstowymi i wykonywania zapytań. Każda z czterech metod ma swoje zalety i wady. Więcej informacji na temat porównań między nimi można znaleźć w wpisie w blogu "Implementowanie odnośników w usłudze Microsoft Sentinel". Mimo że każda metoda jest inna, użycie wynikowych informacji w zapytaniach jest podobne i umożliwia łatwe przełączanie się między nimi.

Aby zapoznać się z pomysłami dotyczącymi używania list obserwowanych poza regułami analitycznymi, zobacz Korzystanie z list obserwowanych w celu zwiększenia wydajności podczas badania usługi Microsoft Sentinel.

Zapoznaj się z seminarium internetowym "Użyj list do obejrzenia, aby zarządzać alertami, zmniejszyć zmęczenie alertami i poprawić wydajność SOC": YouTube lub prezentacja.

Moduł 7. Przekształcanie dziennika

Usługa Microsoft Sentinel obsługuje dwie nowe funkcje pozyskiwania i przekształcania danych. Te funkcje udostępniane przez usługę Log Analytics działają na danych jeszcze przed ich zapisaną w obszarze roboczym. Funkcje to:

Aby uzyskać więcej informacji, zobacz:

Moduł 8. Migracja

W wielu (jeśli nie większość) przypadkach masz już rozwiązanie SIEM i musisz przeprowadzić migrację do usługi Microsoft Sentinel. Chociaż warto zacząć od nowa i przemyśleć implementację rozwiązania SIEM, warto wykorzystać niektóre zasoby, które zostały już utworzone w bieżącej implementacji. Zapoznaj się z seminarium internetowym "Najlepsze rozwiązania dotyczące konwertowania reguł wykrywania" (z splunk, QRadar i ArcSight do usługi Azure Microsoft Sentinel): YouTube, MP4, prezentacja lub blog.

Możesz również zainteresować się następującymi zasobami:

Moduł 9. Zaawansowany model informacyjny rozwiązania SIEM i normalizacja

Praca z różnymi typami danych i tabelami może stanowić wyzwanie. Musisz zapoznać się z tymi typami danych i schematami podczas pisania i używania unikatowego zestawu reguł analizy, skoroszytów i zapytań dotyczących wyszukiwania zagrożeń. Korelacja między typami danych, które są niezbędne do badania i wyszukiwania zagrożeń, może również być trudna.

Zaawansowany model informacyjny SIEM (ASIM) zapewnia bezproblemowe środowisko obsługi różnych źródeł w jednolitych, znormalizowanych widokach. Karta ASIM jest zgodna z typowym modelem informacji metadanych zdarzeń zabezpieczeń typu open source (OSSEM), promując niezależne od dostawcy normalizację w całej branży. Zobacz seminarium internetowe "Zaawansowany model informacji SIEM (ASIM): Teraz wbudowane w usługę Microsoft Sentinel" seminarium internetowe: YouTube lub prezentacja.

Bieżąca implementacja jest oparta na normalizacji czasu zapytania, która używa funkcji KQL:

  • Znormalizowane schematy obejmują standardowe zestawy przewidywalnych typów zdarzeń, które można łatwo pracować z ujednoliconymi możliwościami i tworzyć. Schemat definiuje pola, które powinny reprezentować zdarzenie, znormalizowaną konwencję nazewnictwa kolumn i standardowy format wartości pól.
    • Obejrzyj seminarium internetowe "Omówienie normalizacji w usłudze Microsoft Sentinel": YouTube lub prezentacja.
    • Zapoznaj się z seminarium internetowym "Szczegółowe omówienie normalizacji analizatorów i znormalizowanej zawartości w usłudze Microsoft Sentinel": YouTube, MP3 lub prezentacja.
  • Analizatory mapują istniejące dane na znormalizowane schematy. Analizatory są implementowane przy użyciu funkcji KQL. Zapoznaj się z seminarium internetowym "Rozszerzanie karty ASIM: opracowywanie, testowanie i wdrażanie analizatorów" oraz zarządzanie nią: YouTube lub prezentacja.

  • Zawartość dla każdego znormalizowanych schematów obejmuje reguły analizy, skoroszyty i zapytania wyszukiwania zagrożeń. Ta zawartość działa na wszystkich znormalizowanych danych bez konieczności tworzenia zawartości specyficznej dla źródła.

Korzystanie z karty ASIM zapewnia następujące korzyści:

  • Wykrywanie między źródłami: znormalizowane reguły analityczne działają między źródłami lokalnymi i w chmurze. Reguły wykrywają ataki, takie jak ataki siłowe lub niemożliwe podróże między systemami, w tym Okta, AWS i Azure.

  • Zezwala na zawartość niezależną od źródła: pokrycie wbudowanej i niestandardowej zawartości przy użyciu karty ASIM automatycznie rozszerza się do dowolnego źródła obsługującego kartę ASIM, nawet jeśli źródło zostało dodane po utworzeniu zawartości. Na przykład analiza zdarzeń procesów obsługuje dowolne źródło, którego klient może użyć do wprowadzenia danych, w tym Ochrona punktu końcowego w usłudze Microsoft Defender, zdarzeń systemu Windows i sysmon. Jesteśmy gotowi do dodania oprogramowania Sysmon dla systemów Linux i WEF po jej wydaniu.

  • Obsługa źródeł niestandardowych w wbudowanej analizie

  • Łatwość użycia: Analitycy, którzy uczą się karty ASIM, uważają, że znacznie prostsze jest pisanie zapytań, ponieważ nazwy pól są zawsze takie same.

Dowiedz się więcej o usłudze ASIM

Skorzystaj z tych zasobów:

  • Zobacz seminarium internetowe "Omówienie normalizacji w usłudze Azure Sentinel": YouTube lub prezentacja.

  • Zapoznaj się z seminarium internetowym "Szczegółowe informacje na temat normalizacji analizatorów i znormalizowanej zawartości w usłudze Microsoft Sentinel": YouTube, MP3 lub prezentacji.

  • Zobacz seminarium internetowe "Turbocharge ASIM: Upewnij się, że normalizacja pomaga w wydajności, a nie wpływa na nią" seminarium internetowe: YouTube, MP4 lub prezentacja.

  • Przeczytaj dokumentację usługi ASIM.

Wdrażanie karty ASIM

  • Wdróż analizatory z folderów, zaczynając od "ASIM*" w folderze analizatorów w witrynie GitHub.

  • Aktywuj reguły analityczne korzystające z karty ASIM. Wyszukaj normalne w galerii szablonów, aby znaleźć niektóre z nich. Aby uzyskać pełną listę, użyj tego wyszukiwania w usłudze GitHub.

Korzystanie z karty ASIM

Część 3. Tworzenie zawartości

Co to jest zawartość usługi Microsoft Sentinel?

Wartość zabezpieczeń usługi Microsoft Sentinel jest kombinacją wbudowanych funkcji i możliwości tworzenia niestandardowych funkcji i dostosowywania wbudowanych. Wśród wbudowanych funkcji dostępne są analizy zachowań użytkowników i jednostek (UEBA), uczenie maszynowe lub wbudowane reguły analizy. Dostosowane możliwości są często określane jako "zawartość" i obejmują reguły analityczne, zapytania wyszukiwania zagrożeń, skoroszyty, podręczniki itd.

W tej sekcji pogrupowaliśmy moduły, które pomogą Ci dowiedzieć się, jak utworzyć taką zawartość lub zmodyfikować wbudowaną zawartość zgodnie z potrzebami. Zaczynamy od KQL, platformy Azure Microsoft Sentinel. W poniższych modułach omówiono jeden z bloków konstrukcyjnych zawartości, takich jak reguły, podręczniki i skoroszyty. Podsumują one, omawiając przypadki użycia, które obejmują elementy różnych typów, które odnoszą się do określonych celów zabezpieczeń, takich jak wykrywanie zagrożeń, wyszukiwanie zagrożeń lub ład.

Moduł 10: język zapytań Kusto

Większość możliwości usługi Microsoft Sentinel używa język zapytań Kusto (KQL). Podczas wyszukiwania w dziennikach, pisaniu reguł, tworzeniu zapytań wyszukiwania zagrożeń lub skoroszytach projektowych używasz języka KQL.

W następnej sekcji dotyczącej pisania reguł wyjaśniono, jak używać języka KQL w określonym kontekście reguł SIEM.

Podczas nauki języka KQL przydatne mogą być również następujące odwołania:

Moduł 11. Analiza

Pisanie zaplanowanych reguł analizy

Za pomocą usługi Microsoft Sentinel można używać wbudowanych szablonów reguł, dostosowywać szablony dla środowiska lub tworzyć reguły niestandardowe. Podstawowym elementem reguł jest zapytanie KQL; Jednak w regule istnieje o wiele więcej niż to do skonfigurowania.

Aby poznać procedurę tworzenia reguł, zobacz Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń. Aby dowiedzieć się, jak pisać reguły (czyli to, co należy znaleźć w regule, koncentrując się na KQL dla reguł), zobacz seminarium internetowe: YouTube, MP4 lub prezentację.

Reguły analizy SIEM mają określone wzorce. Dowiedz się, jak zaimplementować reguły i napisać język KQL dla tych wzorców:

  • Reguły korelacji: zobacz Używanie list i operatora "in" lub operator "join"

  • Agregacja: Zobacz Używanie list i operatora "in" lub bardziej zaawansowane okna obsługi wzorców przesuwanych

  • Odnośniki: regularne lub przybliżone, częściowe i połączone wyszukiwania

  • Obsługa wyników fałszywie dodatnich

  • Opóźnione wydarzenia: Fakt życia w każdym SIEM, i trudno im się zająć. Usługa Microsoft Sentinel może pomóc w ograniczeniu opóźnień w regułach.

  • Użyj funkcji KQL jako bloków konstrukcyjnych: Wzbogacanie Zabezpieczenia Windows zdarzeń za pomocą funkcji sparametryzowanych.

Wpis w blogu "Badania dotyczące obiektów blob i magazynu plików" zawiera szczegółowy przykład pisania przydatnej reguły analitycznej.

Korzystanie z wbudowanej analizy

Przed rozpoczęciem pisania własnych reguł rozważ skorzystanie z wbudowanych funkcji analitycznych. Nie wymagają one wiele od Ciebie, ale warto się o nich nauczyć:

  • Użyj wbudowanych szablonów reguł zaplanowanych. Te szablony można dostroić, modyfikując je w taki sam sposób, aby edytować dowolną zaplanowaną regułę. Pamiętaj, aby wdrożyć szablony dla połączonych łączników danych, które są wymienione na karcie Następne kroki łącznika danych.

  • Dowiedz się więcej o możliwościach uczenia maszynowego w usłudze Microsoft Sentinel: YouTube, MP4 lub prezentacji.

  • Pobierz listę zaawansowanych funkcji wykrywania ataków wieloetapowych (Fusion) usługi Microsoft Sentinel, które są domyślnie włączone.

  • Obejrzyj seminarium internetowe "Fusion machine learning detections with scheduled analytics rules" (Wykrywanie uczenia maszynowego z zaplanowanymi regułami analizy): YouTube, MP4 lub prezentacja.

  • Dowiedz się więcej na temat wbudowanych anomalii SOC-machine learning w usłudze Microsoft Sentinel.

  • Obejrzyj seminarium internetowe "Dostosowane anomalie SOC-machine learning i sposób ich używania": YouTube, MP4 lub prezentacja.

  • Zapoznaj się z seminarium internetowym "Fusion machine learning detections for emerging threats and configuration UI" (Wykrywanie uczenia maszynowego łączenia dla pojawiających się zagrożeń i interfejsu użytkownika konfiguracji): YouTube lub prezentacja.

Moduł 12. Implementowanie usługi SOAR

W nowoczesnych systemach SIEM, takich jak Microsoft Sentinel, usługa SOAR tworzy cały proces od momentu wyzwolenia zdarzenia do momentu rozwiązania problemu. Ten proces rozpoczyna się od badania zdarzeń i kontynuuje automatyczną reakcję. Wpis w blogu "Jak używać usługi Microsoft Sentinel na potrzeby reagowania na zdarzenia, orkiestracji i automatyzacji" zawiera omówienie typowych przypadków użycia usługi SOAR.

Reguły automatyzacji są punktem wyjścia dla automatyzacji usługi Microsoft Sentinel. Zapewniają one uproszczoną metodę scentralizowanej, zautomatyzowanej obsługi zdarzeń, w tym pomijania, obsługi fałszywie dodatnich i automatycznego przypisywania.

Aby zapewnić niezawodne możliwości automatyzacji oparte na przepływach pracy, reguły automatyzacji używają podręczników usługi Logic Apps. Dodatkowe informacje:

  • Obejrzyj seminarium internetowe "Uwolnij sztuczki automatyzacji Jedi i twórz podręczniki usługi Logic Apps, takie jak szef": YouTube, MP4 lub prezentację.

  • Przeczytaj o usłudze Logic Apps, która jest podstawową technologią, która obsługuje podręczniki usługi Microsoft Sentinel.

  • Zobacz Łącznik usługi Logic Apps usługi Microsoft Sentinel, link między usługą Logic Apps i usługą Microsoft Sentinel.

Znajdź dziesiątki przydatnych podręczników w folderze Podręczniki w witrynie Usługi GitHub usługi Microsoft Sentinel lub przeczytaj podręcznik używający listy do obejrzenia, aby poinformować właściciela subskrypcji o alercie przewodnika podręcznika.

Moduł 13. Skoroszyty, raportowanie i wizualizacje

Skoroszyty

Jako środek nerwowy SOC, Microsoft Sentinel jest wymagany do wizualizowania zbieranych i generowanych informacji. Wizualizowanie danych w usłudze Microsoft Sentinel za pomocą skoroszytów.

  • Aby dowiedzieć się, jak tworzyć skoroszyty, przeczytaj dokumentację skoroszytów platformy Azure lub obejrzyj szkolenie Dotyczące skoroszytów Billy York (i towarzyszący tekst).

  • Wymienione zasoby nie są specyficzne dla usługi Microsoft Sentinel. Mają one zastosowanie do skoroszytów ogólnie. Aby dowiedzieć się więcej na temat skoroszytów w usłudze Microsoft Sentinel, zobacz seminarium internetowe: YouTube, MP4 lub prezentację. Przeczytaj dokumentację.

Skoroszyty mogą być interaktywne i umożliwiają znacznie więcej niż tylko tworzenie wykresów. Za pomocą skoroszytów można tworzyć aplikacje lub moduły rozszerzeń dla usługi Microsoft Sentinel, aby uzupełnić jej wbudowane funkcje. Możesz również użyć skoroszytów, aby rozszerzyć funkcje usługi Microsoft Sentinel. Oto kilka przykładów takich aplikacji:

W folderze Skoroszyty znajdziesz dziesiątki skoroszytów w witrynie GitHub usługi Microsoft Sentinel. Niektóre z nich są również dostępne w galerii skoroszytów usługi Microsoft Sentinel.

Opcje raportowania i innych wizualizacji

Skoroszyty mogą służyć do raportowania. Aby uzyskać bardziej zaawansowane funkcje raportowania, takie jak planowanie i dystrybucja raportów lub tabele przestawne, warto użyć następujących elementów:

Moduł 14. Notesy

Notesy Jupyter są w pełni zintegrowane z usługą Microsoft Sentinel. Chociaż uważa się za ważne narzędzie w klatce piersiowej narzędzi myśliwego i omówiło seminaria internetowe w sekcji polowania, ich wartość jest znacznie szersza. Notesy mogą służyć do zaawansowanej wizualizacji, jako przewodnika badania i zaawansowanej automatyzacji.

Aby lepiej zrozumieć notesy, zobacz wideo Wprowadzenie do notesów. Rozpocznij korzystanie z seminarium internetowego notesów (YouTube, MP4 lub prezentacji) lub przeczytaj dokumentację. Seria Microsoft Sentinel Notebooks Ninja to ciągła seria szkoleniowa, która ułatwia ci tworzenie notesów.

Ważną częścią integracji jest zaimplementowana przez bibliotekę MSTICPy, która jest biblioteką języka Python opracowaną przez nasz zespół badawczy do użycia z notesami Jupyter. Dodaje interfejsy usługi Microsoft Sentinel i zaawansowane funkcje zabezpieczeń do notesów.

Moduł 15. Przypadki użycia i rozwiązania

Za pomocą łączników, reguł, podręczników i skoroszytów można zaimplementować przypadki użycia, czyli termin SIEM dla pakietu zawartości przeznaczonego do wykrywania zagrożenia i reagowania na nie. Wbudowane przypadki użycia usługi Microsoft Sentinel można wdrożyć, aktywując sugerowane reguły podczas nawiązywania połączenia z każdym łącznikiem. Rozwiązanie to grupa przypadków użycia, które dotyczą określonej domeny zagrożeń.

Seminarium internetowe "Walka z tożsamością" (YouTube, MP4 lub prezentacja) wyjaśnia, czym jest przypadek użycia i jak podejść do jego projektu, i przedstawia kilka przypadków użycia, które wspólnie dotyczą zagrożeń związanych z tożsamościami.

Innym odpowiednim obszarem rozwiązania jest ochrona pracy zdalnej. Zapoznaj się z naszą sesją Ignite dotyczącą ochrony pracy zdalnej i przeczytaj więcej na temat następujących konkretnych przypadków użycia:

I wreszcie, koncentrując się na ostatnich atakach, dowiedz się, jak monitorować łańcuch dostaw oprogramowania za pomocą usługi Microsoft Sentinel.

Rozwiązania microsoft Sentinel zapewniają możliwość odnajdywania produktów, wdrażanie jednoetapowe i włączanie kompleksowego produktu, domeny i/lub scenariuszy pionowych w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Artykuł Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel oraz zobacz seminarium internetowe "Tworzenie własnych rozwiązań usługi Microsoft Sentinel": YouTube lub prezentacja.

Część 4. Działanie

Moduł 16. Obsługa zdarzeń

Po utworzeniu soc należy rozpocząć korzystanie z niego. Seminarium internetowe "dzień w życiu analityka SOC" (YouTube, MP4 lub prezentacja) przeprowadzi Cię przez proces klasyfikowania, badania i reagowania na zdarzenia przy użyciu usługi Microsoft Sentinel.

Aby ułatwić zespołom bezproblemową współpracę w całej organizacji i z zewnętrznymi uczestnikami projektu, zobacz Integrowanie z usługą Microsoft Teams bezpośrednio z usługi Microsoft Sentinel. Zapoznaj się z seminarium internetowym "Zmniejsz mtTR SOC (średni czas odpowiedzi), integrując usługę Microsoft Sentinel z usługą Microsoft Teams.

Możesz również przeczytać artykuł z dokumentacją dotyczący badania zdarzeń. W ramach badania użyjesz również stron jednostki, aby uzyskać więcej informacji o jednostkach związanych ze zdarzeniem lub zidentyfikowanych w ramach badania.

Badanie zdarzeń w usłudze Microsoft Sentinel wykracza poza podstawowe funkcje badania zdarzeń. Więcej narzędzi do badania można tworzyć przy użyciu skoroszytów i notesów. Notesy zostały omówione w następnej sekcji Moduł 17: Wyszukiwanie zagrożeń. Możesz również utworzyć więcej narzędzi do badania lub zmodyfikować istniejące do konkretnych potrzeb. Oto kilka przykładów:

Moduł 17. Wyszukiwanie zagrożeń

Chociaż większość dyskusji do tej pory koncentrowała się na wykrywaniu i zarządzaniu zdarzeniami, wyszukiwanie zagrożeń jest kolejnym ważnym przypadkiem użycia usługi Microsoft Sentinel. Wyszukiwanie zagrożeń to proaktywne wyszukiwanie zagrożeń , a nie reaktywna odpowiedź na alerty.

Pulpit nawigacyjny wyszukiwania zagrożeń jest stale aktualizowany. Przedstawia wszystkie zapytania napisane przez zespół analityków zabezpieczeń firmy Microsoft oraz wszelkie dodatkowe zapytania, które zostały utworzone lub zmodyfikowane. Każde zapytanie zawiera opis tego, czego szuka, oraz jakiego rodzaju dane są uruchamiane. Te szablony są pogrupowane według różnych taktyk. Ikony po prawej stronie kategoryzują typ zagrożenia, takie jak początkowy dostęp, trwałość i eksfiltracja. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel.

Aby dowiedzieć się więcej na temat tego, czym jest wyszukiwanie zagrożeń i jak jest ono obsługiwane przez usługę Microsoft Sentinel, zapoznaj się z wprowadzającym seminarium internetowym "Wyszukiwanie zagrożeń": YouTube, MP4 lub prezentacją. Seminarium internetowe rozpoczyna się od aktualizacji nowych funkcji. Aby dowiedzieć się więcej o polowaniu, zacznij od slajdu 12. Film z YouTube jest już ustawiony na rozpoczęcie.

Chociaż wstępne seminarium internetowe koncentruje się na narzędziach, wyszukiwanie zagrożeń dotyczy bezpieczeństwa. Nasze seminarium internetowe zespołu badawczego ds. zabezpieczeń (YouTube, MP4 lub prezentacja) koncentruje się na tym, jak rzeczywiście polować.

Kontynuacja seminarium internetowego "Wyszukiwanie zagrożeń platformy AWS przy użyciu usługi Microsoft Sentinel" (YouTube, MP4 lub prezentacja) napędza punkt, pokazując kompleksowe scenariusze wyszukiwania zagrożeń w środowisku docelowym o wysokiej wartości.

Na koniec możesz dowiedzieć się, jak wykonać wyszukiwanie zagrożeń po naruszeniu zabezpieczeń solarwinds za pomocą usługi Microsoft Sentinel i wyszukiwania w programie WebShell, motywowane najnowszymi najnowszymi lukami w zabezpieczeniach lokalnych serwerów Microsoft Exchange.

Moduł 18. Analiza zachowań użytkowników i jednostek (UEBA)

Nowo wprowadzony moduł Analizy zachowań użytkowników i jednostek usługi Microsoft Sentinel (UEBA) umożliwia identyfikowanie i badanie zagrożeń w organizacji oraz ich potencjalnego wpływu, niezależnie od tego, czy pochodzą one z naruszonej jednostki, czy złośliwego testera.

Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, analizuje je i tworzy podstawowe profile behawioralne jednostek organizacji (takich jak użytkownicy, hosty, adresy IP i aplikacje) w ramach horyzontu czasu i grupy równorzędnej. Dzięki różnym technikom i możliwościom uczenia maszynowego usługa Microsoft Sentinel może następnie zidentyfikować nietypowe działania i pomóc w ustaleniu, czy element zawartości został naruszony. Nie tylko to, ale może również ustalić względną wrażliwość określonych zasobów, zidentyfikować równorzędne grupy zasobów i ocenić potencjalny wpływ danego naruszonego zasobu (jego "promień wybuchu"). Uzbrojony w te informacje, można skutecznie określić priorytety badania i obsługi zdarzeń.

Dowiedz się więcej o UEBA, przeglądając seminarium internetowe (YouTube, MP4 lub prezentację) i przeczytaj o korzystaniu z analizy UEBA w celu przeprowadzenia badań w soc.

Aby dowiedzieć się więcej o najnowszych aktualizacjach, zapoznaj się z seminarium internetowym "Future of Users Entity Behavioral Analytics in Microsoft Sentinel" (Analiza behawioralna przyszłych użytkowników w usłudze Microsoft Sentinel).

Moduł 19. Monitorowanie kondycji usługi Microsoft Sentinel

Częścią działania rozwiązania SIEM jest upewnienie się, że działa płynnie i jest rozwijanym obszarem w usłudze Azure Microsoft Sentinel. Aby monitorować kondycję usługi Microsoft Sentinel, wykonaj następujące czynności:

Część 5. Zaawansowane

Moduł 20. Rozszerzanie i integrowanie przy użyciu interfejsów API usługi Microsoft Sentinel

Jako natywny dla chmury system SIEM, usługa Microsoft Sentinel to system z pierwszym interfejsem API. Każdą funkcję można skonfigurować i używać za pomocą interfejsu API, umożliwiając łatwą integrację z innymi systemami i rozszerzając usługę Microsoft Sentinel przy użyciu własnego kodu. Jeśli interfejs API brzmi zastraszająco, nie martw się. Niezależnie od tego, co jest dostępne przy użyciu interfejsu API, jest również dostępne za pomocą programu PowerShell.

Aby dowiedzieć się więcej na temat interfejsów API usługi Microsoft Sentinel, zapoznaj się z krótkim filmem wprowadzającym i przeczytaj wpis w blogu. Aby dowiedzieć się więcej, zapoznaj się z seminarium internetowym "Rozszerzanie i integrowanie usługi Sentinel (INTERFEJSy API)" (YouTube, MP4 lub prezentacja) i przeczytaj wpis w blogu Rozszerzanie usługi Microsoft Sentinel: interfejsy API, integracja i automatyzacja zarządzania.

Moduł 21. Tworzenie własnego uczenia maszynowego

Usługa Microsoft Sentinel oferuje doskonałą platformę do implementowania własnych algorytmów uczenia maszynowego. Nazywamy to modelem tworzenia własnego uczenia maszynowego lub modelem BYO ML. Usługa BYO ML jest przeznaczona dla użytkowników zaawansowanych. Jeśli szukasz wbudowanej analizy behawioralnej, użyj naszych reguł analizy uczenia maszynowego lub modułu UEBA lub napisz własne reguły analizy behawioralnej oparte na języku KQL.

Aby rozpocząć od wprowadzenia własnego uczenia maszynowego do usługi Microsoft Sentinel, zobacz film wideo "Build-your-own machine learning model" (Tworzenie własnego modelu uczenia maszynowego) i przeczytaj wpis w blogu Build-your-your-own machine learning model (Tworzenie własnego modelu uczenia maszynowego) w pogrążonym w sztucznej inteligencji wpisie w blogu rozwiązania SIEM usługi Azure Sentinel. Warto również zapoznać się z dokumentacją usługi BYO ML.

Następne kroki