Документация по Microsoft Sentinel

В этой статье представлены варианты использования для начала работы с Microsoft Sentinel. Выявляйте и устраняйте угрозы, прежде чем они смогут нанести вред, с помощью модернизированных технологий SIEM. Microsoft Sentinel откроет вам полную картину происходящего на предприятии.

О решении Microsoft Sentinel

Общие сведения

• Что такое Microsoft Sentinel?
• Полезные ресурсы

Новое

• Новые возможности Microsoft Sentinel

Концепция

• Рекомендации

Начать

Краткое руководство

• Подключение к Microsoft Sentinel

Концепция

• Необходимые компоненты

Практическое руководство

• Установка решений Microsoft Sentinel (предварительная версия)
• Визуализация собранных данных
• Исследование инцидентов
• Интеграция XDR в Microsoft Defender с Microsoft Sentinel

Ссылка

• Каталог центра содержимого

Обучение

• Создание KQL-запросов для Microsoft Sentinel

Сбор данных

Концепция

• Рекомендации по сбору данных
• Нормализация и анализ данных

Практическое руководство

• Подключение данных к Microsoft Sentinel
• Подключение XDR в Microsoft Defender
• Создание пользовательского соединителя
• Мониторинг работоспособности соединителя
• Интеграция Azure Data Explorer

Ссылка

• Справочник по соединителю данных
• Справочник по схеме источника данных
• Сопоставление полей журнала CEF
• Схема нормализации сети

Язык запросов Kusto в Microsoft Sentinel

Концепция

• Язык запросов Kusto в Microsoft Sentinel

Учебник

• Руководство по языку запросов Kusto (Azure Monitor)

Обучение

• Создание первого запроса на языке запросов Kusto
• Дополнительные ресурсы для изучения KQL и формирования навыков работы с KQL

Ссылка

• Краткое справочное руководство по языку запросов Kusto

Аналитика угроз

Концепция

• Знакомство с аналитикой угроз в Microsoft Sentinel
• Интеграция аналитики угроз

Практическое руководство

• Подключение платформ аналитики угроз к Microsoft Sentinel
• Подключение Microsoft Sentinel к веб-каналам STIX/TAXII
• Работа с индикаторами угроз

Обнаружение угроз

Концепция

• Аналитика поведения пользователей и сущностей (UEBA)
• Настраиваемые аномалии

Практическое руководство

• Обнаружение угроз с помощью встроенных средств аналитики
• Создание настраиваемых правил обнаружения

Ссылка

• Справочник по сущностям
• Обогащение данных UEBA

Поиск угроз

Концепция

• Поиск угроз

Практическое руководство

• Охота на угрозы с помощью записных книжек Jupyter
• Использование закладок при охоте
• Использование потоковой передачи при охоте

Анализ

Учебник

• Исследование с помощью UEBA

Практическое руководство

• Исследование инцидентов
• Мониторинг конвейеров данных

Ссылка

• Часто используемые книги Microsoft Sentinel

Respond

Учебник

• Автоматическое реагирование на угрозы
• Использование записных книжек Jupyter Notebook для поиска угроз безопасности

Концепция

• Правила автоматизации
• Сборники схем

Ссылка

• Каталог содержимого SOAR

Управление Microsoft Sentinel

Концепция

• Рекомендации, касающиеся архитектуры рабочей области

Практическое руководство

• Проектирование архитектуры рабочей области
• Управление несколькими арендаторами
• Работа с инцидентами в нескольких рабочих областях
• Управление интеллектуальной собственностью