Введение
Представьте, что вы являетесь инженером по безопасности компании Contoso, Ltd., средней категории финансовых услуг в Лондоне с офисом нью-йоркской филиала. Компания Contoso использует следующие продукты управления безопасностью Майкрософт:
- Microsoft 365
- ИД Microsoft Entra
- Защита идентификации Microsoft Entra
- Microsoft Defender for Cloud Apps
- Microsoft Defender для удостоверений
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Intune Endpoint Protection
- Azure Information Protection
Contoso также использует Microsoft Defender для облака, чтобы защищать ресурсы в Azure и в локальной среде от угроз. Компания также осуществляет мониторинг и защиту сторонних ресурсов.
Недавно журнал действий Azure компании показал, что значительное количество виртуальных машин было удалено из подписки Azure. Необходимо проанализировать это вхождение и быть оповещенным при возникновении аналогичного действия в будущем.
Microsoft Sentinel — это облачное приложение, которое поможет защитить ресурсы Contoso. В этом модуле вы узнаете, как использовать Microsoft Sentinel для создания и изучения инцидента при удалении существующей виртуальной машины пользователем Contoso.
Цели обучения
- Сведения об инцидентах безопасности и управлении инцидентами Microsoft Sentinel.
- Изучите доказательства инцидентов и сущности Microsoft Sentinel.
- Используйте Microsoft Sentinel для изучения инцидентов безопасности и управления разрешением инцидентов.
Необходимые компоненты
- Знакомство с операциями по обеспечению безопасности в организации.
- Базовый опыт работы со службами Azure.
- Знание операционных концепций, таких как мониторинг, ведение журнала и оповещения.
- Базовые знания о правилах Microsoft Sentinel.
Примечание.
Если вы решили выполнить необязательное упражнение в этом модуле, в подписке Azure может взиматься плата. Чтобы оценить затраты, см. цены на Microsoft Sentinel.