Jak działa usługa Microsoft Sentinel
Usługa Microsoft Sentinel pomaga włączyć kompleksowe operacje zabezpieczeń. Jej działanie rozpoczyna się od pozyskania dzienników i jest kontynuowane w celu automatycznego reagowania na alerty zabezpieczeń.
Poniżej przedstawiono najważniejsze funkcje i składniki usługi Microsoft Sentinel.
Łączniki danych
Pierwszą rzeczą, jaką należy zrobić, jest pozyskiwanie danych do usługi Microsoft Sentinel. Łączniki danych umożliwiają wykonywanie tych czynności. Łączniki danych można połączyć, instalując najpierw rozwiązania centrum zawartości. Po zainstalowaniu możesz dodać niektóre usługi, takie jak dzienniki aktywności platformy Azure, po prostu wybierając przycisk. Inne, takie jak dziennik syslog, wymagają większej konfiguracji. Istnieją łączniki danych, które obejmują wszystkie scenariusze i źródła, w tym między innymi:
- syslog
- Common Event Format (CEF)
- Trusted Automated eXchange of Indicator Information (TAXII) (do analizy zagrożeń)
- Działanie platformy Azure
- Usługi Microsoft Defender
- Amazon Web Services (AWS) i Google Cloud Platform (GCP)
Przechowywanie dzienników
Po pozyskiwaniu danych do usługi Microsoft Sentinel dane są przechowywane w obszarze roboczym usługi Log Analytics. Użycie usługi Log Analytics zapewnia wiele korzyści, w tym możliwość używania języka KQL (Kusto Query Language) w celu wykonywania zapytań dotyczących danych. KQL to zaawansowany język zapytań, który zapewnia możliwości w celu zgłębiania naszych danych i uzyskania ich analizy.
Skoroszyty
Za pomocą skoroszytów można wizualizować dane w usłudze Microsoft Sentinel. Skoroszyty należy traktować jako pulpity nawigacyjne. Każdy składnik na pulpicie nawigacyjnym jest zbudowany przy użyciu odpowiedniego zapytania KQL dotyczącego danych. Możesz użyć wbudowanych skoroszytów w usłudze Microsoft Sentinel i edytować je w celu spełnienia własnych potrzeb lub utworzyć własne skoroszyty od podstaw. Jeśli używasz skoroszytów usługi Azure Monitor, ta funkcja jest ci znana, ponieważ jest to implementacja skoroszytów monitora usługi Sentinel.
Alerty analityczne
Do tej pory udało Ci się pozyskać dzienniki i niektóre wizualizacje danych. Teraz dobrze byłoby mieć pewne aktywne analizy danych w celu otrzymywania powiadomień, gdy wydarzy się coś podejrzanego. W obszarze roboczym usługi Sentinel możesz włączyć wbudowane alerty analityczne. Istnieją różne typy alertów, które można edytować w zależności od potrzeb. Inne alerty są oparte na modelach uczenia maszynowego, które stanowią własność firmy Microsoft. Możesz również utworzyć niestandardowe zaplanowane alerty od podstaw.
Wyszukiwanie zagrożeń
W tym module nie będziemy wgłębiać się w zagadnienie wyszukiwania zagrożeń. Jeśli jednak analitycy SOC muszą wyszukiwać podejrzane działania, wiele rozwiązań centrum zawartości udostępnia wbudowane zapytania wyszukiwania zagrożeń, których mogą używać. Analitycy mogą również tworzyć własne zapytania. Usługa Sentinel integruje się także z usługą Azure Notebooks. Zawiera ona przykładowe notesy dla zaawansowanych specjalistów ds. wyszukiwania zagrożeń, którzy chcą korzystać z pełnych możliwości języka programowania, aby badać dane w poszukiwaniu zagrożeń.
Zdarzenia i badania
Zdarzenie jest tworzone po wyzwoleniu alertów. W usłudze Microsoft Sentinel można wykonywać standardowe zadania zarządzania zdarzeniami, takie jak zmiana stanu lub przypisywanie zdarzeń do osób do badania. Usługa Microsoft Sentinel ma również funkcje badania, dzięki czemu można wizualnie badać zdarzenia, mapując jednostki między danymi dzienników na osi czasu.
Automatyzacja elementów playbook
Dzięki możliwości automatycznego odpowiadania na zdarzenia można zautomatyzować niektóre operacje zabezpieczeń i zwiększyć produktywność jednostki SOC. Usługa Microsoft Sentinel umożliwia tworzenie zautomatyzowanych przepływów pracy lub podręczników w odpowiedzi na zdarzenia. Tej funkcji można używać do zarządzania zdarzeniami, wzbogacania, badania lub korygowania. Funkcje te często określa się to mianem orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (rozwiązanie SOAR).
Jako analityk SOC zaczynasz teraz zobaczyć, jak usługa Microsoft Sentinel może pomóc w osiągnięciu celów. Możesz na przykład:
- Pozyskiwać dane z chmury i środowisk lokalnych.
- Wykonywać analizy na tych danych.
- Zarządzać występującymi zdarzeniami i badać je.
- Odpowiadaj automatycznie przy użyciu podręczników.
Innymi słowy, usługa Microsoft Sentinel zapewnia kompleksowe rozwiązanie dla operacji zabezpieczeń.