Hotinformation för Azure Arc-aktiverade servrar med Microsoft Sentinel

  • 7 minuter

Tailwind Traders SOC-analytiker (Security Operations Center) kämpar för att utvärdera sin miljö med sina olika SIEM- och SOAR-lösningar. I den här lektionen får du lära dig hur Azure Arc-aktiverade servrar tillsammans med Microsoft Sentinel, en SIEM- och SOAR-lösning som fungerar med hybrid- och multimolnmiljön.

Översikt över Microsoft Sentinel

Microsoft Sentinel är en skalbar, molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel levererar hotinformation i hela företaget och tillhandahåller en enda lösning för attackidentifiering, proaktiv jakt och hotsvar.

Microsoft Sentinel är din fågelperspektiv i hela företaget som minskar stressen med allt mer avancerade attacker, ökande volymer av aviseringar och långa tidsramar för upplösning.

  • Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.
  • Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och oöverträffad hotinformation.
  • Undersök hot med artificiell intelligens och jaga misstänkta aktiviteter i stor skala och utnyttja år av cybersäkerhetsarbete på Microsoft.
  • Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.

Anslut data

Om du vill registrera Microsoft Sentinel måste du först ansluta till dina säkerhetskällor.

Microsoft Sentinel levereras med flera anslutningsappar för Microsoft-lösningar som är tillgängliga direkt och tillhandahåller realtidsintegrering. Microsoft Sentinels färdiga anslutningsappar omfattar Microsoft 365-källor, Microsoft Entra-ID, Microsoft Defender för identitet och Microsoft Defender för molnet-appar. Dessutom finns det inbyggda anslutningsappar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft.

Relevanta dataanslutningar för Azure Arc-aktiverade servrar kan innehålla säkerhetshändelser via äldre agent, Windows-säkerhet händelser via AMA eller Syslog.

Arbetsböcker och analys

När du har anslutit dina datakällor till Microsoft Sentinel kan du övervaka data med hjälp av Microsoft Sentinel-integreringen med Azure Monitor-arbetsböcker, vilket ger flexibilitet när du skapar anpassade arbetsböcker. Microsoft Sentinel levereras också med inbyggda arbetsboksmallar så att du snabbt kan få insikter i dina data så snart du ansluter till en datakälla.

För att hjälpa dig att minimera antalet aviseringar som du måste undersöka använder Microsoft Sentinel analys för att korrelera aviseringar till incidenter. Incidenter är grupper med relaterade aviseringar som tillsammans skapar ett möjligt hot som du kan undersöka och lösa. Använd de inbyggda korrelationsreglerna som de är eller använd dem som utgångspunkt för att skapa dina egna. Microsoft Sentinel tillhandahåller även maskininlärningsregler för att mappa ditt nätverksbeteende och leta efter avvikelser mellan dina resurser.

Säkerhetsautomatisering och -orkestrering

Du kan automatisera dina vanliga uppgifter och förenkla säkerhetsorkestreringen med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg.

Med Hjälp av Azure Logic Apps är Microsoft Sentinels automatiserings- och orkestreringslösning utökningsbar, skalbar och moderniserad. Om du vill skapa spelböcker med Azure Logic Apps kan du välja från ett växande galleri med inbyggda spelböcker. Dessa omfattar över 200 anslutningsappar för tjänster som Azure-funktioner. Med anslutningsapparna kan du använda anpassad logik i kod, ServiceNow, Jira, Zendesk, HTTP-begäranden, Microsoft Teams, Slack, Windows Defender ATP och Defender för molnet Apps.

Jakt och anteckningsböcker

Använd Microsoft Sentinels kraftfulla sök- och frågeverktyg för jakt, baserat på MITRE-ramverket, för att proaktivt jaga efter säkerhetshot i organisationens datakällor innan en avisering utlöses. När du har upptäckt vilken jaktfråga som ger värdefulla insikter om attacker kan du också skapa anpassade identifieringsregler baserat på din fråga och visa dessa insikter som aviseringar till dina säkerhetsincidenter. När du jagar kan du skapa bokmärken för intressanta händelser, som gör att du kan återvända till dem senare, dela dem med andra och gruppera dem med andra korrelerande händelser för att skapa en övertygande incident för undersökning.

Microsoft Sentinel stöder Jupyter-notebook-filer på Azure Machine Learning-arbetsytor, inklusive fullständiga bibliotek för maskininlärning, visualisering och dataanalys. Du kan använda notebook-filer i Microsoft Sentinel för att utöka omfattningen för vad du kan göra med Microsoft Sentinel-data. Du kan till exempel utföra analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner. skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd. eller integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.