Рекомендации для партнеров по интеграции с Microsoft Sentinel

В этой статье рассматриваются рекомендации и ссылки для создания собственных решений интеграции с помощью Microsoft Sentinel.

Команды по обеспечению информационной безопасности используют Microsoft Sentinel для создания обнаружений и изучения и устранения угроз. С помощью интеграции с Microsoft Sentinel вы предлагаете свои данные, обнаружения, автоматизации, анализа и пакетного опыта для клиентов, используя для этого команды по обеспечению информационной безопасности, которые необходимы для информированного реагирования на угрозы безопасности.

Например, ваша интеграция может помочь в достижении любой из следующих целей:

  • Создание обнаружений из частично структурированных данных. Например, благодаря вашей интеграции могут быть введены новые данные журнала, полезная аналитика, правила анализа, правила охоты, возможности интерактивной охоты или анализ машинного обучения.

  • Вклад в исследования Microsoft Sentinel. Например, ваша интеграция может добавить новые обнаружения, запросы, данные за прошлые периоды или вспомогательные данные, такие как дополнительные базы данных, данные об уязвимостях, соответствии требованиям и т. д.

  • Автоматизация в Microsoft Sentinel Например, интеграция может включать правила для связанных с безопасностью действий обогащения, исправления или оркестрации в среде и инфраструктуре клиента.

Рекомендуем упаковать и опубликовать интеграцию в качестве решений Microsoft Sentinel, чтобы совместные клиенты могли обнаруживать, развертывать и максимизировать ценность интеграции с партнерами. Решения для Microsoft Sentinel публикуются в Azure Marketplace и отображаются в центре содержимого Microsoft Sentinel.

Интеграции для сбора данных

Большинство интеграций Microsoft Sentinel основаны на данных и используют как общую подсистему обнаружения, так и полнофункциональную подсистему исследований. Обе подсистемы работают с данными, принятыми репозиторием данных Microsoft Sentinel.

Microsoft Sentinel работает со следующими типами данных:

Тип Описание
Необработанные данные Поддерживает обнаружения и процессы охоты.

Анализируйте необработанные операционные данные, в которых могут присутствовать признаки вредоносных действий. Передавайте необработанные данные в Microsoft Sentinel, чтобы использовать встроенные функции поиска и охоты Microsoft Sentinel для выявления новых угроз и многого другого.

Примеры: данные Syslog, полученные с помощью Syslog данные CEF, приложение, брандмауэр, проверка подлинности или журналы доступа, а также многое другое.
Выводы относительно безопасности Создает видимость оповещений и возможности для корреляции.

Оповещения и обнаружения — это выводы, которые уже сделаны в отношении угроз. То, что обнаружения помещены в контекст со всеми действиями и другими обнаружениями, видимыми в исследованиях Microsoft Sentinel, позволяет сэкономить время аналитиков и получить более полную картину инцидента, чтобы более эффективно назначать приоритеты и принимать более взвешенные решения.

Примеры: оповещения защиты от вредоносных программ, подозрительные процессы, связь с известными неправильными узлами, заблокированный сетевой трафик и причины блокировки, подозрительные входы в систему, выявленные атаки типа "распыление пароля", обнаруженные атаки фишинга, события кражи данных и многое другое.
Ссылочные данные Создает контекст с упоминаемыми средами, экономя усилия по исследованию и повышая эффективность.

Примеры: CMDB, базы данных ценных активов, базы данных зависимостей приложений, журналы назначения IP-адресов, коллекции аналитики угроз для обогащения и многое другое.
Аналитика угроз Обеспечивает обнаружение угроз за счет предоставления индикаторов известных угроз.

Аналитика угроз может включать в себя текущие индикаторы, которые представляют непосредственные угрозы или ранее выявленные индикаторы, которые хранятся для предотвращения будущих атак. Наборы данных за прошедшие периоды времени часто велики, и лучше ссылаться на них с помощью нерегламентированных запросов, а не импортировать непосредственно в Microsoft Sentinel.

Каждый тип данных поддерживает различные действия в Microsoft Sentinel, и многие продукты безопасности одновременно работают с несколькими типами данных.

Интеграция для мониторинга и обнаружения

Функции мониторинга и обнаружения Microsoft Sentinel создают автоматические обнаружения, чтобы помочь клиентам масштабировать свои знания команд по обеспечению информационной безопасности.

В следующих разделах описаны элементы мониторинга и обнаружения, которые можно включить в решение для интеграции:

Правила обнаружения угроз

Правила обнаружения угроз или аналитики — это сложные обнаружения, которые могут создавать точные и информативные оповещения.

Добавьте к интеграции правила аналитики, чтобы помочь вашим клиентам получить преимущества от данных из вашей системы в Microsoft Sentinel. Например, правила аналитики могут помочь предоставить опыт и аналитические сведения, связанные с действиями, которые могут быть обнаружены в данных, предоставляемых вашей интеграцией.

Аналитика — это правила на основе запросов к данным в рабочей области Microsoft Sentinel клиента и могут:

  • выводить оповещения, которые являются важными событиями;
  • выводить инциденты, которые являются единицами исследования;
  • активировать сборники схем автоматизации.

Вы можете добавить правила аналитики, включив их в решение и с помощью сообщества Microsoft Sentinel ThreatHunters. Участвуйте в сообществе, чтобы помочь в работе сообщества с данными от партнеров источниках, благодаря которой клиенты получают более надежные и эффективные обнаружения.

Правила охоты и записные книжки

Microsoft Sentinel предоставляет широкий набор возможностей охоты, которые позволяют клиентам обнаруживать неизвестные угрозы в предоставленных вами данных. В интеграцию вы можете включить тактических поисковые запросы, чтобы выделить отдельные знания и даже комплексные возможности интерактивной охоты.

Визуализация

Создаваемая интеграция может также включать визуализацию, помогающую клиентам управлять данными и понимать их, за счет графических представлений того, насколько хорошо данные поступают в Microsoft Sentinel, и насколько эффективно они способствуют обнаружениям.

Наглядность, обеспечиваемая визуализациями на настраиваемых панелях мониторинга, может подчеркнуть заказчику ценность вашего партнерства.

Интеграции для исследований

Граф исследования Microsoft Sentinel предоставляет следователям релевантные данные в нужное время, что обеспечивает видимость инцидентов безопасности и оповещений посредством подключенных сущностей. Следователи могут использовать его для поиска соответствующих или связанных с изучаемой угрозой событий.

Партнеры могут вносить вклад в граф исследования, предоставляя:

  • оповещения и инциденты Microsoft Sentinel, созданные с помощью правил аналитики в партнерских решениях;
  • пользовательские запросы для исследования данных, предоставляемых партнером. Пользовательские запросы для исследования предоставляют следователям широкие возможности изучения и определения связей между данными и аналитическими сведениями.

Интеграции для реагирования

Функции координации и исправления Microsoft Sentinel поддерживают клиентов, которым необходимо быстро и точно оркестрировать и активировать исправления.

Включите сборники схем автоматизации в интеграционное решение для поддержки рабочих процессов с богатыми возможностями автоматизации, запуская связанные с безопасностью задачи в клиентских средах. Например, сборники схем интеграции могут быть полезны в следующих отношениях:

  • помощь клиентам в настройке политик безопасности в продуктах партнеров;
  • сбор дополнительных данных для информирования об решениях по исследованию;
  • связывание инцидентов Microsoft Sentinel с внешними системами управления;
  • интеграция управления жизненным циклом оповещений в решениях партнеров;

Что включить в интеграцию?

В следующих разделах описаны распространенные сценарии интеграции с партнерами и рекомендации по тому, что нужно включить в решение для каждого сценария.

Ваш продукт создает данные, важные для исследований безопасности

Сценарий. Ваш продукт создает данные, которые могут сообщить или иным образом важны для исследования безопасности. Ваш продукт может содержать готовые обнаружения.

Пример. Среди продуктов, предоставляющие данные журнала в той или иной форме, есть брандмауэры, брокеры безопасности облачных приложений, системы физического доступа, выходные данные Syslog, доступные на рынке и корпоративные бизнес-приложения, серверы, сетевые метаданные, а также все данные, которые можно передать с помощью Syslog в формате Syslog или CEF или с помощью REST API в формате JSON.

Как использовать данные в Microsoft Sentinel. Импортируйте данные вашего продукта в Microsoft Sentinel с помощью соединителя данных, чтобы обеспечить возможности аналитики, охоты, исследований, визуализации и многие другие.

Что следует создать. Для этого сценария включите в решение следующие элементы:

Тип Элементы, которые следует включить
Обязательный — Соединитель данных Microsoft Sentinel для доставки данных и связывания других настроек на портале.

Образцы запросов данных
Рекомендуется -Книг

— Правила аналитики для создания обнаружений на основе данных в Microsoft Sentinel.
Необязательно - Охота на запросы, чтобы предоставить охотникам вне поля запросы, которые следует использовать при охоте

— Записные книжки для предоставления полностью интерактивных и воспроизводимых возможностей охоты.

Ваш продукт предоставляет обнаружения

Сценарий. В вашем продукте предусмотрены обнаружения, дополняющие оповещения и инциденты из других систем.

Примеры. Защита от вредоносных программ, корпоративные решения для обнаружения и реагирования, решения для обнаружения сети и реагирования, решения для обеспечения безопасности почты, такие как антифишинговые продукты, решения для сканирования уязвимостей и для управления мобильными устройствами, решения UEBA, службы защиты информации и т. д.

Как использовать ваши данные в Microsoft Sentinel. Предоставляйте обнаружения, оповещения или инциденты в Microsoft Sentinel, чтобы отображать их в контексте с другими оповещениями и инцидентами, которые могут возникать в средах клиентов. Также рассмотрите возможность предоставления журналов и метаданных, лежащих в основе ваших обнаружений, в качестве дополнительного контекста для исследований.

Что следует создать. Для этого сценария включите в решение следующие элементы:

Тип Элементы, которые следует включить
Обязательный Соединитель данных Microsoft Sentinel для доставки данных и связывания других настроек на портале.
Рекомендуется Правила аналитики для создания инцидентов Microsoft Sentinel на основе ваших обнаружений, которые полезны для исследований

Ваш продукт предоставляет индикаторы аналитики угроз

Сценарий. Ваш продукт предоставляет индикаторы аналитики угроз, которые могут предоставить контекст для событий безопасности, происходящих в средах клиентов.

Примеры. Платформы TIP, коллекции STIX и TAXII, а также общедоступные или лицензированные источники аналитики угроз. Справочные данные, такие как WhoIS, GeoIP или недавно наблюдаемые домены.

Как использовать данные в Microsoft Sentinel. Доставляйте текущие индикаторы в Microsoft Sentinel для использования на различных платформах обнаружения Майкрософт. Используйте большие наборы данных и наборы данных за прошедшие периоды для сценариев обогащения с помощью удаленного доступа.

Что следует создать. Для этого сценария включите в решение следующие элементы:

Тип Элементы, которые следует включить
Текущая аналитика угроз Создайте соединитель данных GSAPI для отправки индикаторов в Microsoft Sentinel.

Укажите сервер STIX 2.0 или 2.1, который клиенты могут использовать с готовым соединителем данных TAXII.
Индикаторы за прошедшие периоды и (или) эталонные наборы данных Предоставьте соединитель приложения логики для доступа к данным и сборник схем рабочего процесса обогащения, который направляет данные в нужные места.

Ваш продукт предоставляет дополнительный контекст для исследований

Сценарий. Ваш продукт предоставляет дополнительные контекстные данные для исследований на основе Microsoft Sentinel.

Примеры. Дополнительные контексты CMDB, базы данных ценных ресурсов, виртуальные IP-адреса, базы данных зависимостей приложений, системы управления инцидентами, системы создания запросов на поддержку.

Как использовать данные в Microsoft Sentinel. Используйте данные в Microsoft Sentinel, чтобы расширить возможности оповещений и инцидентов.

Что следует создать. Для этого сценария включите в решение следующие элементы:

  • соединитель приложения логики;
  • сборник схем рабочего процесса обогащения;
  • рабочий процесс управления жизненным циклом внешних инцидентов (необязательно).

Продукт может реализовывать политики безопасности

Сценарий. Продукт может реализовывать политики безопасности в Политике Azure и других системах.

Примеры. Брандмауэры, NDR, EDR, MDM, решения для управления удостоверениями, решения для условного доступа, решения для физического доступа или другие продукты, поддерживающие блокирование/разрешение, либо другие действенные политики безопасности.

Как использовать данные в Microsoft Sentinel. Действия и рабочие процессы Microsoft Sentinel, позволяющие выполнять исправления и реагировать на угрозы.

Что следует создать. Для этого сценария включите в решение следующие элементы:

  • соединитель приложения логики;
  • сборник схем рабочего процесса действия.

Справочные материалы для начала работы

Все технические интеграции с Microsoft Sentinel начинаются с изучения репозитория GitHub Microsoft Sentinel и руководства по вкладам.

Когда вы будете готовы приступить к работе над вашим решением Microsoft Sentinel, ознакомьтесь с инструкциями по отправке, упаковке и публикации в руководстве по созданию решений Microsoft Sentinel.

Выход на рынок

Корпорация Майкрософт предоставляет программы, помогающие партнерам найти клиентов корпорации Майкрософт:

  • Microsoft Partner Network (MPN). Основной программой для партнеров корпорации Майкрософт является Microsoft Partner Network. Членство в MPN необходимо для того, чтобы стать издателем Azure Marketplace, где публикуются все решения Microsoft Sentinel.

  • Azure Marketplace. Решения для Microsoft Sentinel предоставляются с помощью Azure Marketplace, где клиенты могут найти и развернуть общие интеграции Azure, предоставляемые Майкрософт и партнерами.

    Решения Microsoft Sentinel — это один из многих типов предложений в Marketplace. Кроме того, вы можете найти предложения решений, встроенные в центр содержимого Microsoft Sentinel.

  • Ассоциация информационной безопасности Майкрософт (MISA). MISA предоставляет партнерам корпорации Майкрософт помощь в информировании клиентов Майкрософт о созданных партнерами интеграциях и помогает обеспечить возможность обнаружения интеграций продуктов Microsoft Security.

    Для присоединения к программе MISA требуется предварительное утверждение от участвующей команды разработчиков Microsoft Security. Создание любой из следующих интеграций может быть основанием для получения статуса кандидата на присоединение:

    • соединитель данных Microsoft Sentinel и связанное с ним содержимое, например книги, образцы запросов и правила аналитики;
    • опубликованный соединитель Logic Apps и сборники схем Microsoft Sentinel;
    • интеграции API (рассматриваются для каждого отдельного случая).

    Чтобы подать кандидатуру на присоединение к программе MISA или задать вопросы, напишите на AzureSentinelPartner@microsoft.com.

Дальнейшие действия

Дополнительные сведения см. в разделе:

Сбор данных

Обнаружение угроз.

Охота и записные книжки

Визуализация: визуализация собранных данных.

исследование: исследование инцидентов с помощью Microsoft Sentinel.

Ответ.