Предыдущий

Следующая

Общие сведения об инцидентах

Завершено

Угрозы, связанные с технологией для организации, называются инцидентами. Управление инцидентами — это полный процесс расследования инцидентов, от создания инцидентов до подробного расследования и разрешения. Microsoft Sentinel может помочь ИТ-команде организовать, исследовать и отслеживать инциденты от создания с помощью решения.

Вы можете использовать Microsoft Sentinel для просмотра подробных сведений об инциденте, назначения владельца инцидента, установки и поддержания серьезности инцидентов и управления состоянием инцидента. Microsoft Sentinel предоставляет полную среду управления инцидентами для выполнения этих действий.

Основные понятия

Важно понимать следующие основные понятия управления инцидентами Microsoft Sentinel:

• Соединители данных. Соединители данных Microsoft Sentinel можно использовать для приема и сбора данных из служб, связанных с безопасностью. Соединители данных могут собирать события с компьютеров Linux или Windows под управлением агента Log Analytics, с сервера системного журнала Linux для таких устройств, как брандмауэры или прокси-серверы, или непосредственно из служб Microsoft Azure. Эти события перенаправлялись в рабочую область Log Analytics, связанную с Microsoft Sentinel.
• События. В Microsoft Sentinel события хранятся в рабочей области Log Analytics. Эти события содержат сведения о действиях, связанных с безопасностью, которые требуется отслеживать Microsoft Sentinel.
• Правила аналитики. Правила аналитики обнаруживают важные события безопасности и создают оповещения. Правила аналитики можно создавать с помощью встроенных шаблонов или с помощью пользовательских запросов язык запросов Kusto (KQL) к рабочим областям Log Analytics в Microsoft Sentinel.
• Оповещения. Правила анализа генерируют предупреждения при обнаружении важных событий безопасности. Вы можете настроить оповещения для создания инцидентов.
• Инциденты. Microsoft Sentinel создает инциденты на основе оповещений согласно аналитическим правилам. Инциденты могут содержать несколько связанных предупреждений. Каждый инцидент используется в качестве отправной точки и механизма отслеживания для изучения проблем безопасности в вашей среде.

Страница обзора Microsoft Sentinel

Управление инцидентами в Microsoft Sentinel начинается на странице обзора , где можно просмотреть текущую среду Microsoft Sentinel. На странице обзора показан список последних инцидентов, а также другие важные сведения о Microsoft Sentinel. Эту страницу можно использовать для понимания общей ситуации безопасности перед расследованием инцидентов.

Проверьте свои знания

1.

Какой компонент Microsoft Sentinel создает оповещения?

Инциденты.

Правила аналитики.

Соединители данных.

События.

2.

Какова основная цель управления инцидентами в Microsoft Sentinel?

Чтобы понять состояние работоспособности безопасности в Azure.

Отслеживание всех проблем Azure и управление ими.

Отслеживание и устранение проблем безопасности в среде организации.

Управление ролями безопасности в вашей среде.

Вы должны ответить на все вопросы перед проверкой.

Продолжить