Utbildning i Microsoft Sentinel-kompetens
Den här artikeln beskriver en nivå 400-utbildning som hjälper dig att lära dig mer om Microsoft Sentinel. Utbildningen består av 21 moduler i egen takt som presenterar relevant produktdokumentation, blogginlägg och andra resurser.
Modulerna som anges här är uppdelade i fem delar efter livscykeln för ett Security Operation Center (SOC):
- Modul 0: Andra inlärnings- och supportalternativ
- Modul 1: Kom igång med Microsoft Sentinel
- Modul 2: Hur används Microsoft Sentinel?
Del 2: Arkitektur och distribution
- Modul 3: Arbetsyta och klientarkitektur
- Modul 4: Datainsamling
- Modul 5: Logghantering
- Modul 6: Berikning: Hotinformation, bevakningslistor med mera
- Modul 7: Loggtransformering
- Modul 8: Migrering
- Modul 9: Avancerad SIEM-informationsmodell och normalisering
- Modul 10: Kusto-frågespråk
- Modul 11: Analys
- Modul 12: Implementera SOAR
- Modul 13: Arbetsböcker, rapportering och visualisering
- Modul 14: Notebook-filer
- Modul 15: Användningsfall och lösningar
- Modul 16: En dag i soc-analytikerns liv, incidenthantering och undersökning
- Modul 17: Jakt
- Modul 18: Användar- och entitetsbeteendeanalys (UEBA)
- Modul 19: Övervaka Microsoft Sentinels hälsa
- Modul 20: Utöka och integrera med hjälp av Microsoft Sentinel-API:er
- Modul 21: Skapa din egen maskininlärning
Del 1: Översikt
Modul 0: Andra inlärnings- och supportalternativ
Den här kompetensträningen är en nivå-400-utbildning som baseras på Microsoft Sentinel Ninja-träningen. Om du inte vill gå så djupt, eller om du har ett specifikt problem att lösa, kan andra resurser vara lämpligare:
- Även om kompetensträningen är omfattande måste den naturligtvis följa ett skript och kan inte utöka alla ämnen. Mer information om varje artikel finns i den refererade dokumentationen.
- Nu kan du bli certifierad med den nya certifieringen SC-200: Microsoft Security Operations Analyst, som omfattar Microsoft Sentinel. Om du vill ha en bredare vy på högre nivå av Microsoft Security-sviten kanske du också vill överväga SC-900: Microsoft Security, Compliance och Identity Fundamentals eller AZ-500: Microsoft Azure Security Technologies.
- Om du redan är skicklig på Microsoft Sentinel kan du hålla reda på vad som är nytt eller gå med i Microsoft Cloud Security Private Community-programmet för en tidigare vy i kommande versioner.
- Har du en funktionsidé att dela med oss? Meddela oss på microsoft Sentinel-användarens röstsida.
- Är du en förstklassig kund? Du kanske vill ha den lokala eller fjärranslutna, fyra dagar långa Microsoft Sentinel Fundamentals Workshop. Kontakta kundframgångskontohanteraren för mer information.
- Har du ett specifikt problem? Fråga (eller svara andra) i Microsoft Sentinel Tech Community. Eller så kan du skicka din fråga eller fråga via e-post till oss på MicrosoftSentinel@microsoft.com.
Modul 1: Kom igång med Microsoft Sentinel
Microsoft Sentinel är en skalbar, molnbaserad siem-lösning (security information event management) och soar-lösning (security orchestration automated response). Microsoft Sentinel levererar säkerhetsanalys och hotinformation i hela företaget. Det ger en enda lösning för aviseringsidentifiering, synlighet för hot, proaktiv jakt och hotsvar. Mer information finns i Vad är Microsoft Sentinel?.
Om du vill få en första översikt över Microsoft Sentinels tekniska funktioner är den senaste Ignite-presentationen en bra utgångspunkt. Du kanske också tycker att snabbstartsguiden för Microsoft Sentinel är användbar (webbplatsregistrering krävs).
Hitta en mer detaljerad översikt i det här Microsoft Sentinel-webbseminariet: YouTube, MP4 eller presentation.
Vill du prova själv? Microsoft Sentinel Allt-i-ett-acceleratorn (blogg, YouTube, MP4 eller presentation) är ett enkelt sätt att komma igång. Om du vill lära dig hur du kommer igång läser du registreringsdokumentationen eller visar Insights konfigurationsvideo för Microsoft Sentinel.
Lär dig av andra användare
Tusentals organisationer och tjänsteleverantörer använder Microsoft Sentinel. Som vanligt med säkerhetsprodukter går de flesta organisationer inte ut offentligt om det. Men här är några som har:
- Hitta offentliga kundanvändningsfall.
- Stuart Gregg, Security Operations Manager på ASOS, publicerade ett mycket mer detaljerat blogginlägg från Microsoft Sentinel-upplevelsen, med fokus på jakt.
Lär dig av analytiker
- Azure Sentinel uppnår en Leader-placering i Forrester Wave, med topprankning i strategi
- Microsoft namngav en visionär i Gartner Magic Quadrant 2021 för SIEM för Microsoft Sentinel
Modul 2: Hur används Microsoft Sentinel?
Många organisationer använder Microsoft Sentinel som sin primära SIEM. De flesta modulerna i den här kursen beskriver detta användningsfall. I den här modulen presenterar vi några extra sätt att använda Microsoft Sentinel.
Som en del av Microsoft Security-stacken
Använd Microsoft Sentinel, Microsoft Defender för molnet och Microsoft Defender XDR tillsammans för att skydda dina Microsoft-arbetsbelastningar, inklusive Windows, Azure och Office:
- Läs mer om vår omfattande SIEM+XDR-lösning som kombinerar Microsoft Sentinel och Microsoft Defender XDR.
- Läs Azure Security-kompassen (nu Microsoft Security Best Practices) för att förstå Microsoft-skissen för dina säkerhetsåtgärder.
- Läs och titta på hur en sådan konfiguration hjälper till att identifiera och svara på en WebShell-attack: blogg eller videodemo.
- Visa webbseminariet Better Together "OT och IOT-attackidentifiering, undersökning och svar".
Övervaka dina arbetsbelastningar i flera moln
Molnet är (fortfarande) nytt och övervakas ofta inte lika mycket som lokala arbetsbelastningar. Läs den här presentationen om du vill veta hur Microsoft Sentinel kan hjälpa dig att minska molnövervakningsgapet i dina moln.
Sida vid sida med din befintliga SIEM
Om du använder Microsoft Sentinel för dina molnarbetsbelastningar kan du använda Microsoft Sentinel tillsammans med ditt befintliga SIEM under en övergångsperiod eller på längre sikt. Du kanske också använder båda med ett biljettsystem, till exempel Service Now.
Mer information om hur du migrerar från en annan SIEM till Microsoft Sentinel finns i webbseminariet för migrering: YouTube, MP4 eller presentation.
Det finns tre vanliga scenarier för distribution sida vid sida:
Om du har ett biljettsystem i din SOC är bästa praxis att skicka aviseringar eller incidenter från båda SIEM-systemen till ett biljettsystem som Service Now. Exempel är att använda dubbelriktad synkronisering av Microsoft Sentinel-incidenter med ServiceNow eller att skicka aviseringar som berikats med stödhändelser från Microsoft Sentinel till SIEM från tredje part.
Åtminstone inledningsvis skickar många användare aviseringar från Microsoft Sentinel till sin lokala SIEM. Mer information finns i Skicka aviseringar som är berikade med stödhändelser från Microsoft Sentinel till SIEM från tredje part.
Med tiden, eftersom Microsoft Sentinel täcker fler arbetsbelastningar, skulle du vanligtvis vända riktningen och skicka aviseringar från din lokala SIEM till Microsoft Sentinel. Så här gör du:
- För Splunk, se Skicka data och viktiga händelser från Splunk till Microsoft Sentinel.
- Information om QRadar finns i Skicka QRadar-brott till Microsoft Sentinel.
- För ArcSight, se CEF-vidarebefordran (Common Event Format).
Du kan också skicka aviseringarna från Microsoft Sentinel till ditt SIEM- eller biljettsystem från tredje part med hjälp av Graph API för säkerhet. Den här metoden är enklare, men den gör det inte möjligt att skicka andra data.
För MSSP:er
Eftersom det eliminerar installationskostnaden och är platsagnostisk är Microsoft Sentinel ett populärt val för att tillhandahålla SIEM som en tjänst. Hitta en lista över MSSP:er (Microsoft Intelligent Security Association) som använder Microsoft Sentinel. Många andra MSSP:er, särskilt regionala och mindre, använder Microsoft Sentinel men är inte MISA-medlemmar.
Om du vill starta din resa som MSSP läser du Microsoft Sentinel Technical Playbooks för MSSP:er. Mer information om MSSP-stöd ingår i nästa modul, som omfattar molnarkitektur och stöd för flera klientorganisationer.
Del 2: Arkitektur och distribution
Även om "Del 1: Översikt" erbjuder sätt att börja använda Microsoft Sentinel på bara några minuter är det viktigt att skapa en plan innan du startar en produktionsdistribution.
I det här avsnittet går vi igenom de områden som du bör tänka på när du utformar din lösning och innehåller riktlinjer för hur du implementerar din design:
- Arkitektur för arbetsyta och klientorganisation
- Datainsamling
- Logghantering
- Förvärv av hotinformation
Modul 3: Arbetsyta och klientarkitektur
En Microsoft Sentinel-instans kallas för en arbetsyta. Arbetsytan är samma som en Log Analytics-arbetsyta och stöder alla Log Analytics-funktioner. Du kan se Microsoft Sentinel som en lösning som lägger till SIEM-funktioner ovanpå en Log Analytics-arbetsyta.
Flera arbetsytor är ofta nödvändiga och kan fungera tillsammans som ett enda Microsoft Sentinel-system. Ett särskilt användningsfall är att tillhandahålla en tjänst med hjälp av Microsoft Sentinel (till exempel av en MSSP (managed security service provider) eller av en global SOC i en stor organisation).
Mer information om hur du använder flera arbetsytor som ett Microsoft Sentinel-system finns i Utöka Microsoft Sentinel mellan arbetsytor och klientorganisationer eller visa webbseminariet: YouTube, MP4 eller presentation.
Tänk på följande när du använder flera arbetsytor:
- En viktig drivrutin för att använda flera arbetsytor är datahemvist. Mer information finns i Microsoft Sentinel-datahemvist.
- Om du vill distribuera Microsoft Sentinel och hantera innehåll effektivt på flera arbetsytor kan du hantera Microsoft Sentinel som kod med hjälp av ci/CD-teknik (continuous integration/continuous delivery). En rekommenderad metod för Microsoft Sentinel är att aktivera kontinuerlig distribution. Mer information finns i Aktivera kontinuerlig distribution internt med Microsoft Sentinel-lagringsplatser.
- När du hanterar flera arbetsytor som en MSSP kanske du vill skydda MSSP:s immateriella rättigheter i Microsoft Sentinel.
Microsoft Sentinel Technical Playbook för MSSP:er innehåller detaljerade riktlinjer för många av dessa ämnen, och det är användbart för stora organisationer, inte bara för MSSP:er.
Modul 4: Datainsamling
Grunden för ett SIEM är att samla in telemetri: händelser, aviseringar och kontextbaserad berikningsinformation, till exempel hotinformation, sårbarhetsdata och tillgångsinformation. Här är en lista över källor att referera till:
- Läs Microsoft Sentinel-dataanslutningsprogram.
- Gå till Hitta din Microsoft Sentinel-dataanslutning för att se alla dataanslutningar som stöds och som inte är färdiga. Hitta länkar till allmänna distributionsprocedurer och extra steg som krävs för specifika anslutningsappar.
- Scenarier för datainsamling: Lär dig mer om insamlingsmetoder som Logstash/CEF/WEF. Andra vanliga scenarier är behörighetsbegränsningar för tabeller, loggfiltrering, insamling av loggar från Amazon Web Services (AWS) eller Google Cloud Platform (GCP), Microsoft 365 raw-loggar och så vidare. Allt finns i webbseminariet "Datainsamlingsscenarier": YouTube, MP4 eller presentation.
Den första informationen som du ser för varje anslutningsapp är dess datainmatningsmetod. Metoden som visas har en länk till någon av följande allmänna distributionsprocedurer, som innehåller det mesta av den information du behöver för att ansluta dina datakällor till Microsoft Sentinel:
Datainmatningsmetod | Associerad artikel |
---|---|
Azure service-to-service-integrering | Ansluta till Azure-, Windows-, Microsoft- och Amazon-tjänster |
Common Event Format (CEF) över Syslog | Mata in Syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten |
Api för Microsoft Sentinel-datainsamlare | Ansluta din datakälla till Microsoft Sentinel Data Collector API för att mata in data |
Azure Functions och REST-API:et | Använda Azure Functions för att ansluta Microsoft Sentinel till din datakälla |
Syslog | Mata in Syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten |
Anpassade loggar | Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program |
Om källan inte är tillgänglig kan du skapa en anpassad anslutningsapp. Anpassade anslutningsappar använder inmatnings-API:et och liknar därför direktkällor. Du implementerar oftast anpassade anslutningsappar med hjälp av Azure Logic Apps, som erbjuder ett kodlöst alternativ, eller Azure Functions.
Modul 5: Logghantering
Det första arkitekturbeslutet att tänka på när du konfigurerar Microsoft Sentinel är hur många arbetsytor och vilka som ska användas. Andra viktiga arkitekturbeslut för logghantering att överväga är:
- Var och hur länge data ska behållas.
- Så här hanterar du åtkomst till data på bästa sätt och skyddar dem.
Mata in, arkivera, söka efter och återställa data i Microsoft Sentinel
Kom igång genom att visa webbseminariet "Hantera logglivscykeln med nya metoder för inmatning, arkivering, sökning och återställning" .
Den här sviten med funktioner innehåller:
- Grundläggande inmatningsnivå: En ny prisnivå för Azure Monitor-loggar som gör att du kan mata in loggar till en lägre kostnad. Dessa data behålls på arbetsytan i endast åtta dagar.
- Arkivnivå: Azure Monitor Logs utökade sin kvarhållningskapacitet från två år till sju år. Med den här nya nivån kan du behålla data i upp till sju år i ett arkivbaserat lågkostnadstillstånd.
- Sökjobb: Sökuppgifter som kör begränsad KQL för att hitta och returnera alla relevanta loggar. De här jobben söker efter data på analysnivån, den grundläggande nivån och arkiverade data.
- Dataåterställning: En ny funktion som gör att du kan välja en datatabell och ett tidsintervall så att du kan återställa data till arbetsytan via en återställningstabell.
Mer information om dessa nya funktioner finns i Mata in, arkivera, söka efter och återställa data i Microsoft Sentinel.
Alternativ för kvarhållningsalternativ utanför Microsoft Sentinel-plattformen
Om du vill behålla data i mer än två år eller minska kvarhållningskostnaden kan du överväga att använda Azure Data Explorer för långsiktig kvarhållning av Microsoft Sentinel-loggar. Se webbseminarier, webbseminarier eller blogg.
Vill du ha mer detaljerad information? Visa webbseminariet "Förbättra bredden och täckningen av hotjakt med ADX-stöd, fler entitetstyper och uppdaterad MITRE-integrering" .
Om du föredrar en annan långsiktig kvarhållningslösning kan du läsa Exportera från Microsoft Sentinel/Log Analytics-arbetsyta till Azure Storage och Event Hubs eller Flytta loggar till långsiktig lagring med hjälp av Azure Logic Apps. Fördelen med att använda Logic Apps är att den kan exportera historiska data.
Slutligen kan du ange detaljerade kvarhållningsperioder med hjälp av kvarhållningsinställningar på tabellnivå. Mer information finns i Konfigurera principer för datakvarhållning och arkivering i Azure Monitor-loggar (förhandsversion).
Loggsäkerhet
Använd resursrollbaserad åtkomstkontroll (RBAC) eller RBAC på tabellnivå för att göra det möjligt för flera team att använda en enda arbetsyta.
Ta bort kundinnehåll från dina arbetsytor om det behövs.
Lär dig hur du granskar arbetsytefrågor och Microsoft Sentinel-användning med hjälp av aviseringsarbetsböcker och frågor.
Använd privata länkar för att säkerställa att loggar aldrig lämnar ditt privata nätverk.
Dedikerat kluster
Använd ett dedikerat arbetsytekluster om din beräknade datainmatning är ungefär eller mer än 500 GB per dag. Med ett dedikerat kluster kan du skydda resurser för dina Microsoft Sentinel-data, vilket ger bättre frågeprestanda för stora datamängder.
Modul 6: Berikning: Hotinformation, bevakningslistor med mera
En av de viktiga funktionerna i ett SIEM är att tillämpa sammanhangsbaserad information på händelseånga, vilket möjliggör identifiering, aviseringsprioritering och incidentundersökning. Sammanhangsinformation omfattar till exempel hotinformation, IP-intelligens, värd- och användarinformation och visningslistor.
Microsoft Sentinel innehåller omfattande verktyg för att importera, hantera och använda hotinformation. För andra typer av sammanhangsbaserad information tillhandahåller Microsoft Sentinel bevakningslistor och andra alternativa lösningar.
Hotinformation
Hotinformation är en viktig byggsten i ett SIEM. Visa webbseminariet "Utforska kraften i hotinformation i Microsoft Sentinel" .
I Microsoft Sentinel kan du integrera hotinformation med hjälp av de inbyggda anslutningsprogrammen från TAXII-servrar (Trusted Automated eXchange of Indicator Information) eller via Microsoft Graph-API för säkerhet. Mer information finns i Hotinformationsintegrering i Microsoft Sentinel. Mer information om hur du importerar hotinformation finns i avsnitten Modul 4: Datainsamling .
När den har importerats används hotinformation i stor utsträckning i Hela Microsoft Sentinel. Följande funktioner fokuserar på att använda hotinformation:
Visa och hantera den importerade hotinformationen i loggar i det nya området Hotinformation i Microsoft Sentinel.
Använd de inbyggda mallarna för analys av hotinformation för att generera säkerhetsaviseringar och incidenter med hjälp av din importerade hotinformation.
Visualisera viktig information om din hotinformation i Microsoft Sentinel med hjälp av arbetsboken för hotinformation.
Visa webbseminariet "Automatisera dina Microsoft Sentinel-triageinsatser med RiskIQ Threat Intelligence": YouTube eller presentation.
Kort tid? Visa Ignite-sessionen (28 minuter).
Vill du ha mer detaljerad information? Visa webbseminariet "Djupdykning om hotinformation": YouTube, MP4 eller presentation.
Visningslistor och andra uppslagsmekanismer
För att importera och hantera alla typer av sammanhangsberoende information tillhandahåller Microsoft Sentinel bevakningslistor. Genom att använda visningslistor kan du ladda upp datatabeller i CSV-format och använda dem i dina KQL-frågor. Mer information finns i Använda bevakningslistor i Microsoft Sentinel eller visa webbseminariet "Använda bevakningslistor för att hantera aviseringar, minska aviseringströtthet och förbättra SOC-effektiviteten": YouTube eller presentation.
Använd visningslistor för att hjälpa dig med följande scenarier:
Undersök hot och reagera snabbt på incidenter: Importera SNABBT IP-adresser, filhashvärden och andra data från CSV-filer. När du har importerat data använder du namn/värde-par i visningslistan för kopplingar och filter i aviseringsregler, hotjakt, arbetsböcker, notebook-filer och allmänna frågor.
Importera affärsdata som en bevakningslista: Till exempel importera listor över användare med privilegierad systemåtkomst eller avslutade anställda. Använd sedan visningslistan för att skapa tillåtna listor och blocklistor för att identifiera eller förhindra att dessa användare loggar in i nätverket.
Minska aviseringströttheten: Skapa tillåtna listor för att förhindra aviseringar från en grupp användare, till exempel användare från auktoriserade IP-adresser som utför uppgifter som normalt utlöser aviseringen. Förhindra att godartade händelser blir aviseringar.
Berika händelsedata: Använd visningslistor för att utöka dina händelsedata med namn/värde-kombinationer som härleds från externa datakällor.
Förutom visningslistor kan du använda KQL-funktionerna extern dataoperator, anpassade loggar och KQL för att hantera och fråga efter kontextinformation. Var och en av de fyra metoderna har sina fördelar och nackdelar, och du kan läsa mer om jämförelserna mellan dem i blogginlägget "Implementera sökningar i Microsoft Sentinel". Även om varje metod skiljer sig åt är det likartat att använda den resulterande informationen i dina frågor och gör det enkelt att växla mellan dem.
Idéer om hur du använder visningslistor utanför analysregler finns i Använda bevakningslistor för att öka effektiviteten under Microsoft Sentinel-undersökningar.
Visa webbseminariet "Använd visningslistor för att hantera aviseringar, minska aviseringströtthet och förbättra SOC-effektiviteten": YouTube eller presentation.
Modul 7: Loggtransformering
Microsoft Sentinel har stöd för två nya funktioner för datainmatning och transformering. Dessa funktioner, som tillhandahålls av Log Analytics, fungerar på dina data redan innan de lagras på din arbetsyta. Funktionerna är:
Loggar inmatnings-API: Använd det för att skicka loggar i anpassat format från valfri datakälla till Din Log Analytics-arbetsyta och lagra loggarna antingen i vissa specifika standardtabeller eller i anpassade formaterade tabeller som du skapar. Du kan utföra den faktiska inmatningen av dessa loggar med hjälp av direkta API-anrop. Du kan använda Azure Monitor-datainsamlingsregler för att definiera och konfigurera dessa arbetsflöden.
Datatransformeringar för arbetsytor för standardloggar: Den använder datainsamlingsregler för att filtrera bort irrelevanta data, för att berika eller tagga dina data eller för att dölja känslig eller personlig information. Du kan konfigurera datatransformering vid inmatningstidpunkt för följande typer av inbyggda dataanslutningar:
- Azure Monitor Agent (AMA)-baserade dataanslutningar (Syslog och CEF | Windows DNS | Custom)
- Dataanslutningar som använder diagnostikinställningar
- Tjänst-till-tjänst-dataanslutningar
Mer information finns i:
- Transformera eller anpassa data vid inmatning i Microsoft Sentinel
- Hitta din Microsoft Sentinel-dataanslutningsapp
Modul 8: Migrering
I många (om inte de flesta) fall har du redan en SIEM och behöver migrera till Microsoft Sentinel. Även om det kan vara ett bra tillfälle att börja om och tänka om i SIEM-implementeringen är det klokt att använda vissa av de tillgångar som du redan har skapat i den aktuella implementeringen. Visa webbseminariet "Metodtips för att konvertera identifieringsregler" (från Splunk, QRadar och ArcSight till Azure Microsoft Sentinel): YouTube, MP4, presentation eller blogg.
Du kanske också är intresserad av följande resurser:
- Splunk Search Processing Language (SPL) till KQL-mappningar
- Mappningsexempel för ArcSight- och QRadar-regler
Modul 9: Avancerad SIEM-informationsmodell och normalisering
Att arbeta med olika datatyper och tabeller tillsammans kan innebära en utmaning. Du måste bekanta dig med dessa datatyper och scheman när du skriver och använda en unik uppsättning analysregler, arbetsböcker och jaktfrågor. Det kan också vara svårt att korrelera mellan de datatyper som krävs för undersökning och jakt.
Asim (Advanced SIEM Information Model) ger en sömlös upplevelse för hantering av olika källor i enhetliga, normaliserade vyer. ASIM överensstämmer med den gemensamma informationsmodellen FÖR OSSEM (Open-Source Security Events Metadata) och främjar leverantörsoberoende, branschomfattande normalisering. Visa webbseminariet "Advanced SIEM Information Model (ASIM): Now built into Microsoft Sentinel": YouTube eller presentation.
Den aktuella implementeringen baseras på normalisering av frågetid, som använder KQL-funktioner:
- Normaliserade scheman omfattar standarduppsättningar med förutsägbara händelsetyper som är enkla att arbeta med och skapa enhetliga funktioner. Schemat definierar vilka fält som ska representera en händelse, en normaliserad kolumnnamngivningskonvention och ett standardformat för fältvärdena.
- Visa webbseminariet "Förstå normalisering i Microsoft Sentinel": YouTube eller presentation.
- Visa webbseminariet "Deep Dive into Microsoft Sentinel normalizing parsers and normalized content": YouTube, MP3 eller presentation.
Parsare mappar befintliga data till normaliserade scheman. Du implementerar parsers med hjälp av KQL-funktioner. Visa webbseminariet "Extend and manage ASIM: Developing, testing and deploying parsers" (Utöka och hantera ASIM: Utveckla, testa och distribuera parsare): YouTube eller presentation.
Innehållet för varje normaliserat schema innehåller analysregler, arbetsböcker och jaktfrågor. Det här innehållet fungerar på normaliserade data utan att behöva skapa källspecifikt innehåll.
Användning av ASIM ger följande fördelar:
Identifiering mellan källor: Normaliserade analysregler fungerar mellan källor lokalt och i molnet. Reglerna identifierar attacker, till exempel råstyrkeattacker eller omöjliga resor mellan system, inklusive Okta, AWS och Azure.
Tillåter källagnostiskt innehåll: Omfattar inbyggt och anpassat innehåll med hjälp av ASIM expanderas automatiskt till alla källor som stöder ASIM, även om källan lades till efter att innehållet skapades. Till exempel stöder processhändelseanalys alla källor som en kund kan använda för att hämta data, inklusive Microsoft Defender för Endpoint, Windows-händelser och Sysmon. Vi är redo att lägga till Sysmon för Linux och WEF när det har släppts.
Stöd för dina anpassade källor i inbyggd analys
Användarvänlighet: Analytiker som lär sig ASIM tycker att det är mycket enklare att skriva frågor eftersom fältnamnen alltid är desamma.
Läs mer om ASIM
Dra nytta av dessa resurser:
Visa webbseminariet "Förstå normalisering i Azure Sentinel": YouTube eller presentation.
Visa webbseminariet "Djupdykning i microsoft sentinel-normalisering av parsare och normaliserat innehåll": YouTube, MP3 eller presentation.
Visa webbseminariet "Turbocharge ASIM: Se till att normalisering hjälper prestanda snarare än att påverka det": YouTube, MP4 eller presentation.
Distribuera ASIM
Distribuera parsarna från mapparna, från och med "ASIM*" i mappen parsers på GitHub.
Aktivera analysregler som använder ASIM. Sök efter det normala i mallgalleriet för att hitta några av dem. Om du vill hämta hela listan använder du den här GitHub-sökningen.
Använda ASIM
Använd ASIM-jaktfrågorna från GitHub.
Använd ASIM-frågor när du använder KQL på loggskärmen.
Skriv dina egna analysregler med hjälp av ASIM eller konvertera befintliga regler.
Skriv parsers för dina anpassade källor för att göra dem ASIM-kompatibla och delta i inbyggd analys.
Del 3: Skapa innehåll
Vad är Microsoft Sentinel-innehåll?
Värdet för Microsoft Sentinel-säkerhet är en kombination av dess inbyggda funktioner och din möjlighet att skapa anpassade funktioner och anpassa de inbyggda funktionerna. Bland de inbyggda funktionerna finns användar- och entitetsbeteendeanalys (UEBA), maskininlärning eller färdiga analysregler. Anpassade funktioner kallas ofta för "innehåll" och omfattar analysregler, jaktfrågor, arbetsböcker, spelböcker och så vidare.
I det här avsnittet grupperade vi modulerna som hjälper dig att lära dig hur du skapar sådant innehåll eller ändrar inbyggt innehåll efter dina behov. Vi börjar med KQL, lingua franca i Azure Microsoft Sentinel. I följande moduler beskrivs en av innehållsbyggnadsblocken, till exempel regler, spelböcker och arbetsböcker. De avslutas med att diskutera användningsfall, som omfattar delar av olika typer som hanterar specifika säkerhetsmål, till exempel hotidentifiering, jakt eller styrning.
Modul 10: Kusto-frågespråk
De flesta Microsoft Sentinel-funktioner använder Kusto-frågespråk (KQL). När du söker i dina loggar, skriver regler, skapar jaktfrågor eller utformar arbetsböcker använder du KQL.
I nästa avsnitt om att skriva regler beskrivs hur du använder KQL i den specifika kontexten för SIEM-regler.
Den rekommenderade resan för att lära sig Microsoft Sentinel KQL
Pluralsight KQL-kurs: Ger dig grunderna
Must Learn KQL: En KQL-serie i 20 delar som vägleder dig genom grunderna för att skapa din första analysregel (innehåller en utvärdering och ett certifikat)
Microsoft Sentinel KQL Lab: Ett interaktivt labb som lär KQL med fokus på vad du behöver för Microsoft Sentinel:
- Utbildningsmodul (SC-200 del 4)
- Presentations- eller labb-URL
- En Jupyter Notebooks-version som låter dig testa frågorna i notebook-filen
- Utbildningsseminarier: YouTube eller MP4
- Granska webbseminarier för labblösningar: YouTube eller MP4
Webbseminariet "Optimera Prestanda för Azure Microsoft Sentinel KQL-frågor" : YouTube, MP4 eller presentation
"Använda ASIM i dina KQL-frågor": YouTube eller presentation
"KQL Framework för Microsoft Sentinel: Ger dig möjlighet att bli KQL-kunnig" webbseminarier: YouTube eller presentation
När du lär dig KQL kan följande referenser vara användbara:
Modul 11: Analys
Skriva schemalagda analysregler
Med Microsoft Sentinel kan du använda inbyggda regelmallar, anpassa mallarna för din miljö eller skapa anpassade regler. Kärnan i reglerna är en KQL-fråga. Det finns dock mycket mer än så att konfigurera i en regel.
Information om hur du skapar regler finns i Skapa anpassade analysregler för att identifiera hot. Om du vill lära dig hur du skriver regler (dvs. vad som ska ingå i en regel, med fokus på KQL för regler) kan du se webbseminariet: YouTube, MP4 eller presentation.
SIEM-analysregler har specifika mönster. Lär dig hur du implementerar regler och skriver KQL för dessa mönster:
Korrelationsregler: Se Använda listor och "i"-operatorn eller använda operatorn "koppling"
Sammansättning: Se Använda listor och "in"-operatorn, eller ett mer avancerat mönster som hanterar skjutfönster
Sökningar: Vanliga, eller ungefärliga, partiella och kombinerade sökningar
Hantera falska positiva identifieringar
Fördröjda händelser: Ett faktum i alla SIEM, och de är svåra att ta itu med. Microsoft Sentinel kan hjälpa dig att minska fördröjningar i dina regler.
Använd KQL-funktioner som byggstenar: Berika Windows-säkerhet händelser med parametriserade funktioner.
Blogginlägget "Blob- och Fillagringsundersökningar" innehåller ett steg för steg-exempel på hur du skriver en användbar analysregel.
Använda inbyggd analys
Innan du påbörjar din egen regelskrivning bör du överväga att dra nytta av de inbyggda analysfunktionerna. De kräver inte mycket av dig, men det är värt att lära sig om dem:
Använd de inbyggda schemalagda regelmallarna. Du kan justera dessa mallar genom att ändra dem på samma sätt för att redigera alla schemalagda regler. Se till att distribuera mallarna för de dataanslutningar som du ansluter, som visas på fliken Nästa steg i dataanslutningsappen.
Läs mer om maskininlärningsfunktioner i Microsoft Sentinel: YouTube, MP4 eller presentation.
Hämta listan över avancerade attackidentifieringar i flera steg (Fusion) i Microsoft Sentinel, som är aktiverade som standard.
Visa webbseminariet "Fusion machine learning detections with scheduled analytics rules": YouTube, MP4 eller presentation.
Läs mer om inbyggda avvikelser i SOC-maskininlärning i Microsoft Sentinel.
Visa webbseminariet "Customd SOC-machine learning anomalies and how to use them": YouTube, MP4 eller presentation.
Visa webbseminariet "Fusion machine learning detections for emerging threats and configuration UI": YouTube eller presentation.
Modul 12: Implementera SOAR
I moderna SIEM:er, till exempel Microsoft Sentinel, utgör SOAR hela processen från det ögonblick då en incident utlöses tills den har lösts. Den här processen börjar med en incidentundersökning och fortsätter med ett automatiserat svar. Blogginlägget "Så här använder du Microsoft Sentinel för incidenthantering, orkestrering och automatisering" ger en översikt över vanliga användningsfall för SOAR.
Automationsregler är startpunkten för Microsoft Sentinel-automatisering. De tillhandahåller en enkel metod för centraliserad, automatiserad hantering av incidenter, inklusive undertryckning, falsk positiv hantering och automatisk tilldelning.
För att tillhandahålla robusta arbetsflödesbaserade automatiseringsfunktioner använder automatiseringsregler Logic Apps-spelböcker. Mer information:
Visa webbseminariet "Unleash the automation Jedi tricks and build Logic Apps playbooks like a boss": YouTube, MP4 eller presentation.
Läs om Logic Apps, som är den kärnteknik som driver Microsoft Sentinel-spelböcker.
Se Anslutningsprogrammet för Microsoft Sentinel Logic Apps, länken mellan Logic Apps och Microsoft Sentinel.
Hitta dussintals användbara spelböcker i mappen Spelböcker på Microsoft Sentinel GitHub-webbplatsen eller läs En spelbok med hjälp av en visningslista för att informera en prenumerationsägare om en avisering om en spelboksgenomgång.
Modul 13: Arbetsböcker, rapportering och visualisering
Arbetsböcker
Som nervcentrum för din SOC krävs Microsoft Sentinel för att visualisera den information som den samlar in och producerar. Använd arbetsböcker för att visualisera data i Microsoft Sentinel.
Om du vill lära dig hur du skapar arbetsböcker läser du dokumentationen för Azure-arbetsböcker eller tittar på Billy Yorks utbildning av arbetsböcker (och tillhörande text).
De nämnda resurserna är inte Microsoft Sentinel-specifika. De gäller för arbetsböcker i allmänhet. Mer information om arbetsböcker i Microsoft Sentinel finns i webbseminariet: YouTube, MP4 eller presentation. Läs dokumentationen.
Arbetsböcker kan vara interaktiva och aktivera mycket mer än bara diagram. Med arbetsböcker kan du skapa appar eller tilläggsmoduler för Microsoft Sentinel för att komplettera dess inbyggda funktioner. Du kan också använda arbetsböcker för att utöka funktionerna i Microsoft Sentinel. Här är några exempel på sådana appar:
Arbetsboken Investigation Insights är en alternativ metod för att undersöka incidenter.
Grafvisualisering av externa Teams-samarbeten möjliggör jakt på riskfylld Teams-användning.
Med användarnas resekartearbetsbok kan du undersöka geoplatsaviseringar.
Implementeringsguiden för microsoft Sentinel-osäkra protokoll, de senaste förbättringarna och översiktsvideon) hjälper dig att identifiera användningen av osäkra protokoll i nätverket.
Slutligen får du lära dig hur du integrerar information från alla källor med hjälp av API-anrop i en arbetsbok.
Du hittar dussintals arbetsböcker i mappen Arbetsböcker i Microsoft Sentinel GitHub. Vissa av dem är också tillgängliga i Microsoft Sentinel-arbetsboksgalleriet.
Alternativ för rapportering och andra visualiseringar
Arbetsböcker kan användas för rapportering. Om du vill ha mer avancerade rapporteringsfunktioner, till exempel schemaläggning och distribution av rapporter eller pivottabeller, kanske du vill använda:
Power BI, som integreras internt med Azure Monitor-loggar och Microsoft Sentinel.
Excel, som kan använda Azure Monitor-loggar och Microsoft Sentinel som datakälla, och visa videon "Integrera Azure Monitor-loggar och Excel med Azure Monitor" .
Jupyter Notebooks, ett ämne som beskrivs senare i jaktmodulen, är också ett bra visualiseringsverktyg.
Modul 14: Notebook-filer
Jupyter Notebooks är helt integrerade med Microsoft Sentinel. Även om det anses vara ett viktigt verktyg i jägarens verktygskista och diskuterade webbseminarier i jaktsektionen, är deras värde mycket bredare. Notebook-filer kan användas för avancerad visualisering, som en undersökningsguide och för avancerad automatisering.
Om du vill förstå notebook-filer bättre kan du se videon Introduktion till notebook-filer. Kom igång använda webbseminariet för notebook-filer (YouTube, MP4 eller presentation) eller läsa dokumentationen. Microsoft Sentinel Notebooks Ninja-serien är en pågående träningsserie som ger dig mer kunskaper i notebook-filer.
En viktig del av integreringen implementeras av MSTICPy, som är ett Python-bibliotek som utvecklats av vårt forskningsteam för att användas med Jupyter Notebooks. Den lägger till Microsoft Sentinel-gränssnitt och avancerade säkerhetsfunktioner i dina notebook-filer.
Modul 15: Användningsfall och lösningar
Med anslutningsappar, regler, spelböcker och arbetsböcker kan du implementera användningsfall, vilket är SIEM-termen för ett innehållspaket som är avsett att identifiera och svara på ett hot. Du kan distribuera inbyggda Användningsfall i Microsoft Sentinel genom att aktivera de föreslagna reglerna när du ansluter varje anslutningsapp. En lösning är en grupp med användningsfall som hanterar en specifik hotdomän.
Webbseminariet "Tackling Identity" (YouTube, MP4 eller presentation) förklarar vad ett användningsfall är och hur man närmar sig dess design, och det presenterar flera användningsfall som tillsammans hanterar identitetshot.
Ett annat relevant lösningsområde är att skydda distansarbete. Visa vår Ignite-session om att skydda distansarbete och läs mer om följande specifika användningsfall:
Användningsfall för Microsoft Teams-jakt och Grafvisualisering av externa Microsoft Teams-samarbeten
Övervakningszoom med Microsoft Sentinel: anpassade anslutningsappar, analysregler och jaktfrågor.
Övervakning av Azure Virtual Desktop med Microsoft Sentinel: Använd Windows-säkerhet-händelser, Inloggningsloggar för Microsoft Entra, Microsoft Defender XDR för slutpunkter och Azure Virtual Desktop-diagnostikloggar för att identifiera och jaga azure virtual desktop-hot.
Övervaka Microsoft Intune med hjälp av frågor och arbetsböcker.
Och slutligen, med fokus på de senaste attackerna, lär du dig hur du övervakar programvaruförsörjningskedjan med Microsoft Sentinel.
Microsoft Sentinel-lösningar ger produktidentifiering, distribution i ett steg och aktivering av produkt-, domän- och/eller vertikala scenarier från slutpunkt till slutpunkt i Microsoft Sentinel. Mer information finns i Om Microsoft Sentinel-innehåll och -lösningar och se webbseminariet "Skapa dina egna Microsoft Sentinel-lösningar": YouTube eller presentation.
Del 4: Drift
Modul 16: Hantera incidenter
När du har skapat din SOC måste du börja använda den. Webbseminariet "day in an SOC analyst's life" (YouTube, MP4 eller presentation) vägleder dig genom att använda Microsoft Sentinel i SOC för att sortera, undersöka och svara på incidenter.
Information om hur du gör det möjligt för dina team att samarbeta sömlöst i organisationen och med externa intressenter finns i Integrera med Microsoft Teams direkt från Microsoft Sentinel. Och visa webbseminariet "Minska din SOC:s MTTR (genomsnittlig tid att svara) genom att integrera Microsoft Sentinel med Microsoft Teams .
Du kanske också vill läsa dokumentationsartikeln om incidentutredning. Som en del av undersökningen använder du även entitetssidorna för att få mer information om entiteter som är relaterade till din incident eller identifieras som en del av din undersökning.
Incidentutredningen i Microsoft Sentinel sträcker sig utanför kärnfunktionerna för incidentundersökning. Du kan skapa fler undersökningsverktyg med hjälp av arbetsböcker och notebook-filer, notebook-filer beskrivs i nästa avsnitt, Modul 17: Jakt. Du kan också skapa fler undersökningsverktyg eller ändra befintliga efter dina specifika behov. Exempel:
Arbetsboken Investigation Insights är en alternativ metod för att undersöka incidenter.
Notebook-filer förbättrar undersökningsupplevelsen. Läs Varför använda Jupyter för säkerhetsutredningar?, och lär dig hur du undersöker med hjälp av Microsoft Sentinel och Jupyter Notebooks:
Modul 17: Jakt
Även om det mesta av diskussionen hittills har fokuserat på identifiering och incidenthantering är jakt ett annat viktigt användningsfall för Microsoft Sentinel. Jakt är en proaktiv sökning efter hot i stället för ett reaktivt svar på aviseringar.
Instrumentpanelen för jakt uppdateras ständigt. Den visar alla frågor som har skrivits av Microsoft-teamet med säkerhetsanalytiker och eventuella extra frågor som du har skapat eller ändrat. Varje fråga innehåller en beskrivning av vad den jagar efter och vilken typ av data den körs på. Dessa mallar grupperas efter olika taktiker. Ikonerna till höger kategoriserar typen av hot, till exempel inledande åtkomst, beständighet och exfiltrering. Mer information finns i Hunt for threats with Microsoft Sentinel (Jaga efter hot med Microsoft Sentinel).
Om du vill veta mer om vad jakt är och hur Microsoft Sentinel stöder det kan du se det inledande webbseminariet "Hotjakt": YouTube, MP4 eller presentation. Webbseminariet börjar med en uppdatering av nya funktioner. För att lära dig mer om jakt, börja på bild 12. YouTube-videon är redan inställd på att starta där.
Även om det inledande webbseminariet fokuserar på verktyg handlar jakt om säkerhet. Vårt webbseminarier för säkerhetsforskningsteamet (YouTube, MP4 eller presentation) fokuserar på hur man faktiskt jagar.
Det uppföljande webbseminariet "AWS threat hunting by using Microsoft Sentinel" (YouTube, MP4 eller presentation) driver poängen genom att visa ett jaktscenario från slutpunkt till slutpunkt i en målmiljö med högt värde.
Slutligen kan du lära dig hur du gör SolarWinds efter kompromissjakt med Microsoft Sentinel - och WebShell-jakt, som motiveras av de senaste sårbarheterna på lokala Microsoft Exchange-servrar.
Modul 18: Användar- och entitetsbeteendeanalys (UEBA)
Med den nyligen introducerade UEBA-modulen (User and Entity Behavior Analytics) i Microsoft Sentinel kan du identifiera och undersöka hot i din organisation och deras potentiella inverkan, oavsett om de kommer från en komprometterad entitet eller en skadlig insider.
När Microsoft Sentinel samlar in loggar och aviseringar från alla sina anslutna datakällor analyserar den dem och skapar baslinjebeteendeprofiler för organisationens entiteter (till exempel användare, värdar, IP-adresser och program) över tid och peer-grupphorisont. Genom olika tekniker och maskininlärningsfunktioner kan Microsoft Sentinel sedan identifiera avvikande aktivitet och hjälpa dig att avgöra om en tillgång har komprometterats. Inte bara det, utan det kan också ta reda på den relativa känsligheten för vissa tillgångar, identifiera peer-grupper av tillgångar och utvärdera den potentiella effekten av en viss komprometterad tillgång (dess "sprängradie"). Beväpnad med den här informationen kan du effektivt prioritera din utrednings- och incidenthantering.
Läs mer om UEBA genom att visa webbseminariet (YouTube, MP4 eller presentationen) och läs mer om hur du använder UEBA för undersökningar i din SOC.
Om du vill veta mer om de senaste uppdateringarna kan du läsa webbseminariet "Future of Users Entity Behavioral Analytics in Microsoft Sentinel" .
Modul 19: Övervaka Microsoft Sentinels hälsa
En del av att använda ett SIEM är att se till att det fungerar smidigt och är ett föränderligt område i Azure Microsoft Sentinel. Använd följande för att övervaka Microsoft Sentinels hälsa:
Mät effektiviteten i dina säkerhetsåtgärder (video).
Datatabellen Microsoft Sentinel Health innehåller insikter om hälsoavvikelser, till exempel de senaste felhändelserna per anslutningsapp eller anslutningsappar med ändringar från lyckade till misslyckade tillstånd, som du kan använda för att skapa aviseringar och andra automatiserade åtgärder. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningar. Visa videon "Hälsoövervakningsarbetsbok för dataanslutningsappar". Och få meddelanden om avvikelser.
Övervaka agenter med hjälp av agenternas hälsolösning (endast Windows) och tabellen Heartbeat (Linux och Windows).
Övervaka din Log Analytics-arbetsyta: YouTube, MP4 eller presentation, inklusive frågekörning och inmatningshälsa.
Kostnadshantering är också ett viktigt driftsförfarande i SOC. Använd spelboken för inmatningskostnadsaviseringar för att säkerställa att du alltid är medveten om eventuella kostnadsökningar.
Del 5: Avancerat
Modul 20: Utöka och integrera med hjälp av Microsoft Sentinel-API:er
Som molnbaserat SIEM är Microsoft Sentinel ett API-första system. Varje funktion kan konfigureras och användas via ett API, vilket möjliggör enkel integrering med andra system och utökar Microsoft Sentinel med din egen kod. Om API låter skrämmande för dig, oroa dig inte. Det som är tillgängligt med hjälp av API:et är också tillgängligt med hjälp av PowerShell.
Mer information om Api:er för Microsoft Sentinel finns i den korta introduktionsvideon och läser blogginlägget. En djupare genomgång finns i webbseminariet "Utöka och integrera Sentinel (API:er)" (YouTube, MP4 eller presentation) och läs blogginlägget Utöka Microsoft Sentinel: API:er, integrering och hanteringsautomatisering.
Modul 21: Skapa din egen maskininlärning
Microsoft Sentinel är en bra plattform för att implementera dina egna maskininlärningsalgoritmer. Vi kallar det build-your-own machine learning-modellen eller BYO ML. BYO ML är avsett för avancerade användare. Om du letar efter inbyggd beteendeanalys använder du våra regler för maskininlärningsanalys eller UEBA-modul eller skriver egna KQL-baserade analysregler för beteendeanalys.
Börja med att ta med din egen maskininlärning till Microsoft Sentinel genom att visa videon "Skapa din egen maskininlärningsmodell" och läsa build-your-own machine learning model detections (Skapa din egen maskininlärningsmodellidentifieringar) i blogginlägget om AZURE Sentinel SIEM med AI-nedsänkta Azure Sentinel. Du kanske också vill referera till BYO ML-dokumentationen.
Nästa steg
- Distributionsguide för Microsoft Sentinel
- Snabbstart: Registrera Microsoft Sentinel
- Nyheter i Microsoft Sentinel