Полезные ресурсы для работы с Microsoft Sentinel

В этой статье перечислены ресурсы, которые помогут вам получить дополнительные сведения о работе с Microsoft Sentinel.

Подробнее о создании запросов

Для создания запросов в Microsoft Sentinel используется язык запросов Kusto, созданный для Log Analytics в Azure Monitor. Дополнительные сведения см. в разделе:

Шаблоны Microsoft Sentinel для отслеживаемых данных

Руководство Операции по обеспечению безопасности устройств Azure Active Directory содержит конкретные рекомендации и дополнительные сведения о данных, которые важно отслеживать для целей безопасности в нескольких операционных областях.

В каждой из статей есть разделы с именем Отслеживаемые области, где представлены списки событий, по которым мы рекомендуем создавать оповещения и выполнять расследования, а также шаблоны для правил аналитики, которые можно напрямую развернуть в Microsoft Sentinel.

Дополнительные сведения о создании решений автоматизации

Создайте автоматизацию в Microsoft Sentinel с помощью Azure Logic Apps, используя постоянно расширяющуюся коллекцию встроенных сборников схем.

Дополнительные сведения см. в документации по соединителям Azure Logic Apps.

Сравнение сборников схем, книг и записных книжек

В следующей таблице описаны различия между сборниками схем, книгами и записными книжками в Microsoft Sentinel.

Категория Сборники тренировочных заданий Workbooks Записные книжки
Люди
  • Инженеры SOC
  • Аналитики всех уровней
  • Инженеры SOC
  • Аналитики всех уровней
  • Охотники на угрозы и аналитики уровней 2/3
  • Специалисты по расследованию инцидентов
  • специалисты по обработке и анализу данных;
  • Исследователи безопасности
Использование Автоматизация простых, повторяемых задач:
  • Прием внешних данных
  • Обогащение данных с помощью TI, уточняющие запросы GeoIP и многое другое
  • Исследование
  • Серверы
  • Визуализация
  • Запрос по данным в Microsoft Sentinel и внешних источниках
  • Обогащение данных с помощью TI, уточняющие запросы GeoIP, запросы WhoIs и многое другое
  • Исследование
  • Визуализация
  • Поиск
  • Средства машинного обучения и анализа больших данных
Преимущества
  • Оптимально для отдельных повторяемых задач
  • Не нужно уметь программировать
  • Оптимально для высокоуровневого представления данных из Microsoft Sentinel
  • Не нужно уметь программировать
  • Оптимально для сложных цепочек повторяемых задач
  • Решение конкретных задач с более точным контролем процедур
  • Упрощает сведение с помощью интерактивных функций
  • Богатые библиотеки Python для обработки и визуализации данных
  • Машинное обучение и пользовательский анализ
  • Простота документирования и совместного использования свидетельств анализа
Проблемы
  • Не подходит для ситуативных действий и сложных цепочек задач
  • Плохо поддерживает документирование и совместное использование свидетельств
  • Не интегрируется с внешними данными
  • Требует длительного обучения и умения программировать
Дополнительные сведения Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel Визуализация собранных данных Использование записных книжек Jupyter для охоты на угрозы безопасности

Комментарии в блогах и на форумах

Мы ценим отзывы наших пользователей.

В пространстве технического сообщества для Azure Sentinel можно:

Вы также можете отправить предложения по улучшению через программу User Voice.

Присоединяйтесь к сообществу Microsoft Sentinel на GitHub

Репозиторий Microsoft Sentinel на GitHub — это мощный ресурс для обнаружения угроз и автоматизации.

Аналитики безопасности Майкрософт постоянно создают и добавляют новые книги, сборники схем, запросы поиска угроз и многое другое, публикуя их в сообществе, чтобы вы могли использовать их в вашей среде.

Загрузите пример содержимого из частного сообщества репозитория GitHub, чтобы создавать настраиваемые книги, запросы поиска угроз, записные книжки и сборники схем для Microsoft Sentinel.

Дальнейшие действия