Jak działa usługa Microsoft Sentinel

  • 10 min

Usługa Microsoft Sentinel pomaga włączyć kompleksowe operacje zabezpieczeń. Jej działanie rozpoczyna się od pozyskania dzienników i jest kontynuowane w celu automatycznego reagowania na alerty zabezpieczeń.

Poniżej przedstawiono najważniejsze funkcje i składniki usługi Microsoft Sentinel.

Łączniki danych

Pierwszą rzeczą, jaką należy zrobić, jest pozyskiwanie danych do usługi Microsoft Sentinel. Łączniki danych umożliwiają wykonywanie tych czynności. Łączniki danych można połączyć, instalując najpierw rozwiązania centrum zawartości. Po zainstalowaniu możesz dodać niektóre usługi, takie jak dzienniki aktywności platformy Azure, po prostu wybierając przycisk. Inne, takie jak dziennik syslog, wymagają większej konfiguracji. Istnieją łączniki danych, które obejmują wszystkie scenariusze i źródła, w tym między innymi:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (do analizy zagrożeń)
  • Działanie platformy Azure
  • Usługi Microsoft Defender
  • Amazon Web Services (AWS) i Google Cloud Platform (GCP)

Zrzut ekranu przedstawiający częściową listę łączników danych w interfejsie użytkownika usługi Microsoft Sentinel w witrynie Azure Portal.

Przechowywanie dzienników

Po pozyskiwaniu danych do usługi Microsoft Sentinel dane są przechowywane w obszarze roboczym usługi Log Analytics. Użycie usługi Log Analytics zapewnia wiele korzyści, w tym możliwość używania języka KQL (Kusto Query Language) w celu wykonywania zapytań dotyczących danych. KQL to zaawansowany język zapytań, który zapewnia możliwości w celu zgłębiania naszych danych i uzyskania ich analizy.

Zrzut ekranu przedstawiający interfejs usługi Log Analytics w witrynie Azure Portal.

Skoroszyty

Za pomocą skoroszytów można wizualizować dane w usłudze Microsoft Sentinel. Skoroszyty należy traktować jako pulpity nawigacyjne. Każdy składnik na pulpicie nawigacyjnym jest zbudowany przy użyciu odpowiedniego zapytania KQL dotyczącego danych. Możesz użyć wbudowanych skoroszytów w usłudze Microsoft Sentinel i edytować je w celu spełnienia własnych potrzeb lub utworzyć własne skoroszyty od podstaw. Jeśli używasz skoroszytów usługi Azure Monitor, ta funkcja jest ci znana, ponieważ jest to implementacja skoroszytów monitora usługi Sentinel.

Zrzut ekranu przedstawiający przykład skoroszytu w usłudze Microsoft Sentinel.

Alerty analityczne

Do tej pory udało Ci się pozyskać dzienniki i niektóre wizualizacje danych. Teraz dobrze byłoby mieć pewne aktywne analizy danych w celu otrzymywania powiadomień, gdy wydarzy się coś podejrzanego. W obszarze roboczym usługi Sentinel możesz włączyć wbudowane alerty analityczne. Istnieją różne typy alertów, które można edytować w zależności od potrzeb. Inne alerty są oparte na modelach uczenia maszynowego, które stanowią własność firmy Microsoft. Możesz również utworzyć niestandardowe zaplanowane alerty od podstaw.

Zrzut ekranu przedstawiający niektóre wbudowane alerty analityczne dostępne w skoroszycie usługi Microsoft Sentinel.

Wyszukiwanie zagrożeń

W tym module nie będziemy wgłębiać się w zagadnienie wyszukiwania zagrożeń. Jeśli jednak analitycy SOC muszą wyszukiwać podejrzane działania, wiele rozwiązań centrum zawartości udostępnia wbudowane zapytania wyszukiwania zagrożeń, których mogą używać. Analitycy mogą również tworzyć własne zapytania. Usługa Sentinel integruje się także z usługą Azure Notebooks. Zawiera ona przykładowe notesy dla zaawansowanych specjalistów ds. wyszukiwania zagrożeń, którzy chcą korzystać z pełnych możliwości języka programowania, aby badać dane w poszukiwaniu zagrożeń.

Zrzut ekranu przedstawiający interfejs wyszukiwania zagrożeń w usłudze Microsoft Sentinel.

Zdarzenia i badania

Zdarzenie jest tworzone po wyzwoleniu alertów. W usłudze Microsoft Sentinel można wykonywać standardowe zadania zarządzania zdarzeniami, takie jak zmiana stanu lub przypisywanie zdarzeń do osób do badania. Usługa Microsoft Sentinel ma również funkcje badania, dzięki czemu można wizualnie badać zdarzenia, mapując jednostki między danymi dzienników na osi czasu.

Zrzut ekranu przedstawiający wykres badania zdarzeń w usłudze Microsoft Sentinel.

Automatyzacja elementów playbook

Dzięki możliwości automatycznego odpowiadania na zdarzenia można zautomatyzować niektóre operacje zabezpieczeń i zwiększyć produktywność jednostki SOC. Usługa Microsoft Sentinel umożliwia tworzenie zautomatyzowanych przepływów pracy lub podręczników w odpowiedzi na zdarzenia. Tej funkcji można używać do zarządzania zdarzeniami, wzbogacania, badania lub korygowania. Funkcje te często określa się to mianem orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (rozwiązanie SOAR).

Zrzut ekranu przedstawiający automatyzację usługi Microsoft Sentinel z wyróżnionymi opcjami Tworzenia.

Jako analityk SOC zaczynasz teraz zobaczyć, jak usługa Microsoft Sentinel może pomóc w osiągnięciu celów. Możesz na przykład:

  • Pozyskiwać dane z chmury i środowisk lokalnych.
  • Wykonywać analizy na tych danych.
  • Zarządzać występującymi zdarzeniami i badać je.
  • Odpowiadaj automatycznie przy użyciu podręczników.

Innymi słowy, usługa Microsoft Sentinel zapewnia kompleksowe rozwiązanie dla operacji zabezpieczeń.