Så här fungerar Microsoft Sentinel

  • 10 minuter

Som du redan har lärt dig hjälper Microsoft Sentinel dig att aktivera säkerhetsåtgärder från slutpunkt till slutpunkt. Det börjar med logginmatning och fortsätter med automatiserade svar på säkerhetsaviseringar.

Här är de viktigaste funktionerna och komponenterna i Microsoft Sentinel.

Dataanslutningar

Det första du behöver göra är att mata in dina data i Microsoft Sentinel. Med dataanslutningsprogram kan du göra just det. Du kan lägga till vissa tjänster, t. ex. Azure-aktivitetsloggar, genom att trycka på en knapp. Andra tjänster, som syslog, kräver viss konfiguration. Det finns dataanslutningsprogram som omfattar alla scenarier och källor, inklusive men inte begränsat till:

  • syslog
  • Common Event Format (CEF)
  • TAXII (Trusted Automated eXchange of Indicator Information) (för hotinformation)
  • Azure
  • AWS-tjänster

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Kvarhållning av loggar

När de har matats in i Microsoft Sentinel lagras dina data med hjälp av Log Analytics. Fördelarna med att använda Log Analytics omfattar bland annat möjligheten att använda Kusto Query Language (KQL) när du kör frågor mot data. KQL är ett omfattande frågespråk som ger dig stora möjligheter att undersöka och få insikter från data.

Screenshot showing the Log Analytics interface in the Azure portal.

Arbetsböcker

Du kan använda arbetsböcker för att visualisera dina data i Microsoft Sentinel. Tänk på arbetsböcker som instrumentpaneler. Varje komponent i instrumentpanelen har skapats med hjälp av en underliggande KQL-fråga till dina data. Du kan använda de inbyggda arbetsböckerna i Microsoft Sentinel och redigera dem för att uppfylla dina egna behov, eller skapa egna arbetsböcker från grunden. Om du har använt Azure Monitor-arbetsböcker är den här funktionen bekant för dig eftersom det är Sentinels implementering av Monitor-arbetsböcker.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Analysaviseringar

Hittills har du dina loggar och vissa datavisualiseringar. Nu skulle vara bra med några proaktiva analyser av dina data, så att du kan få aviseringar när något misstänkt inträffar. Du kan aktivera flera inbyggda analysaviseringar på Sentinel-arbetsytan. Det finns olika typer av aviseringar, vilka du kan redigera efter behov. Andra aviseringar bygger på maskininlärningsmodeller som är tillverkarspecifika för Microsoft. Du kan även skapa anpassade schemalagda aviseringar från grunden.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Jakt på hot

Vi kommer inte att gå närmare in på hotjakt i den här modulen. Men om SOC-analytiker behöver söka efter misstänkt aktivitet finns det några inbyggda jaktfrågor som de kan använda. Analytiker kan också skapa egna frågor. Sentinel är även integrerat med Azure Notebooks. Det tillhandahåller notebook-exempelfiler för avancerad jakt som utnyttjar programmeringsspråkets hela kraft i jakten på hot i dina data.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Incidenter och utredningar

En incident skapas när en avisering som du har aktiverat utlöses. I Microsoft Sentinel kan du utföra standarduppgifter för incidenthantering som att ändra status eller tilldela incidenter till enskilda personer för undersökning. Microsoft Sentinel har också undersökningsfunktioner, så du kan visuellt undersöka incidenter genom att mappa entiteter mellan loggdata längs en tidslinje.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Spelböcker för automatisering

Med möjligheten att svara på incidenter automatiskt kan du automatisera vissa av dina säkerhetsåtgärder och göra dina SOC mer produktiva. Med Microsoft Sentinel kan du skapa automatiserade arbetsflöden eller spelböcker som svar på händelser. Den här funktionen kan användas för incidenthantering, berikning, utredning eller reparation. Dessa funktioner kallas ofta säkerhetsorkestrering, automatisering och svar (SOAR, Security Orchestration, Automation, and Response).

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

Som SOC-analytiker börjar du nu se hur Microsoft Sentinel kan hjälpa dig att uppnå dina mål. Du kan exempelvis:

  • Mata in data från molnet och lokala miljöer.
  • Utföra analys av dessa data.
  • Hantera och undersöka eventuella incidenter som inträffar.
  • Kanske även svara automatiskt med hjälp av spelböcker.

Med andra ord ger Microsoft Sentinel dig en lösning från slutpunkt till slutpunkt för dina säkerhetsåtgärder.