Jak działa usługa Microsoft Sentinel

Ukończone

Jak już wiesz, usługa Microsoft Sentinel pomaga włączyć kompleksowe operacje zabezpieczeń. Jej działanie rozpoczyna się od pozyskania dzienników i jest kontynuowane w celu automatycznego reagowania na alerty zabezpieczeń.

Poniżej przedstawiono najważniejsze funkcje i składniki usługi Microsoft Sentinel.

Łączniki danych

Pierwszą rzeczą do zrobienia jest pozyskiwanie danych do usługi Microsoft Sentinel. Łączniki danych umożliwiają wykonanie tej czynności. Aby dodać niektóre usługi, takie jak dzienniki aktywności platformy Azure, wystarczy wybrać przycisk. Inne usługi, na przykład dziennik systemu (syslog), wymagają nieco konfiguracji. Istnieją łączniki danych, które obejmują wszystkie scenariusze i źródła, w tym między innymi:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (do analizy zagrożeń)
  • Azure
  • Usługi AWS

Ten zrzut ekranu przedstawia częściową listę łączników danych w interfejsie użytkownika usługi Microsoft Sentinel w Azure Portal.

Przechowywanie dzienników

Po pozyskiwaniu danych do usługi Microsoft Sentinel dane są przechowywane przy użyciu usługi Log Analytics. Użycie usługi Log Analytics zapewnia wiele korzyści, w tym możliwość używania języka KQL (Kusto Query Language) w celu wykonywania zapytań dotyczących danych. KQL to zaawansowany język zapytań, który zapewnia możliwości w celu zgłębiania naszych danych i uzyskania ich analizy.

Ten zrzut ekranu przedstawia interfejs usługi Log Analytics w witrynie Azure Portal.

Skoroszyty

Skoroszyty służą do wizualizowania danych w usłudze Microsoft Sentinel. Skoroszyty należy traktować jako pulpity nawigacyjne. Każdy składnik na pulpicie nawigacyjnym jest zbudowany przy użyciu odpowiedniego zapytania KQL dotyczącego danych. Możesz użyć wbudowanych skoroszytów w usłudze Microsoft Sentinel, edytować je w celu spełnienia własnych potrzeb lub utworzyć własne skoroszyty od podstaw. Jeśli używasz skoroszytów usługi Azure Monitor, ta funkcja wyda Ci się znajoma, ponieważ jest to implementacja skoroszytów usługi Monitor dla usługi Sentinel.

Ten zrzut ekranu przedstawia przykład skoroszytu w usłudze Microsoft Sentinel.

Alerty analityczne

Do tej pory udało Ci się pozyskać dzienniki i niektóre wizualizacje danych. Teraz dobrze byłoby mieć pewne aktywne analizy danych w celu otrzymywania powiadomień, gdy wydarzy się coś podejrzanego. W obszarze roboczym usługi Sentinel możesz włączyć wbudowane alerty analityczne. Istnieją różne typy alertów, które można edytować w zależności od potrzeb. Inne alerty są oparte na modelach uczenia maszynowego, które stanowią własność firmy Microsoft. Możesz również utworzyć niestandardowe zaplanowane alerty od podstaw.

Ten zrzut ekranu przedstawia niektóre wbudowane alerty analityczne dostępne w skoroszycie usługi Microsoft Sentinel.

Wyszukiwanie zagrożeń

W tym module nie będziemy wgłębiać się w zagadnienie wyszukiwania zagrożeń. Jednakże jeśli analitycy centrum SOC muszą wyszukiwać zagrożenia w celu znalezienia podejrzanych działań, mogą oni korzystać z pewnych wbudowanych zapytań służących do wyszukiwania zagrożeń. Analitycy mogą również tworzyć własne zapytania. Usługa Sentinel integruje się także z usługą Azure Notebooks. Zawiera ona przykładowe notesy dla zaawansowanych specjalistów ds. wyszukiwania zagrożeń, którzy chcą korzystać z pełnych możliwości języka programowania, aby badać dane w poszukiwaniu zagrożeń.

Ten zrzut ekranu przedstawia interfejs wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

Zdarzenia i badania

Zdarzenie jest tworzone, gdy zostanie wyzwolony włączony alert. W usłudze Microsoft Sentinel można wykonywać standardowe zadania zarządzania zdarzeniami, takie jak zmiana stanu lub przypisywanie zdarzeń do osób do badania. Usługa Microsoft Sentinel ma również funkcję badania, dzięki czemu można wizualnie badać zdarzenia, mapując jednostki między danymi dzienników na osi czasu.

Ten zrzut ekranu przedstawia wykres badania zdarzeń w usłudze Microsoft Sentinel.

Automatyzacja elementów playbook

Dzięki możliwości automatycznego odpowiadania na zdarzenia można zautomatyzować niektóre operacje zabezpieczeń i zwiększyć produktywność jednostki SOC. Usługa Microsoft Sentinel integruje się z usługą Azure Logic Apps, umożliwiając tworzenie zautomatyzowanych przepływów pracy lub podręczników w odpowiedzi na zdarzenia. Tej funkcji można używać do zarządzania zdarzeniami, wzbogacania, badania lub korygowania. Te możliwości są często nazywane orkiestracją zabezpieczeń, automatyzacją i odpowiedzią (SOAR).

Ten zrzut ekranu przedstawia przykład użycia usługi Azure Logic Apps do skorygowania zdarzenia zabezpieczeń.

Jako analityk SOC zaczynasz teraz zobaczyć, jak usługa Microsoft Sentinel może pomóc w osiągnięciu celów. Możesz na przykład:

  • Pozyskiwać dane z chmury i środowisk lokalnych.
  • Wykonywać analizy na tych danych.
  • Zarządzać występującymi zdarzeniami i badać je.
  • Możesz nawet automatycznie reagować przy użyciu elementów playbook.

Innymi słowy usługa Microsoft Sentinel oferuje kompleksowe rozwiązanie dla operacji zabezpieczeń.