Microsoft Sentinel ile Azure Arc özellikli sunucular için tehdit bilgileri

  • 7 dakika

Tailwind Traders'ın SOC (Güvenlik Operasyonları Merkezi) Analistleri, çeşitli SIEM ve SOAR çözümleriyle ortamlarını değerlendirmekte zorlanıyor. Bu ünitede Azure Arc özellikli sunucuların hibrit ve çoklu bulut ortamına uygun bir SIEM ve SOAR çözümü olan Microsoft Sentinel ile birlikte nasıl yapıldığını öğreneceksiniz.

Microsoft Sentinel'e genel bakış

Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde tehdit bilgileri sunarak saldırı algılama, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.

Microsoft Sentinel, giderek daha karmaşık hale gelen saldırıların, artan uyarı hacminin ve uzun çözünürlük zaman çerçevelerinin stresini azaltan kuruluş genelinde kuş bakışı görünümünüzdür.

  • Hem şirket içinde hem de birden çok bulutta tüm kullanıcılar, cihazlar, uygulamalar ve altyapı genelinde bulut ölçeğinde veri toplayın.
  • Microsoft'un analizlerini ve benzersiz tehdit bilgilerini kullanarak önceden algılanmamış tehditleri algılayın ve hatalı pozitif sonuçları en aza indirin.
  • Yapay zeka ile tehditleri araştırın ve Microsoft'ta yıllardır devam eden siber güvenlik çalışmalarına dokunarak büyük ölçekte şüpheli etkinlikleri arayın.
  • Sıkça gerçekleştirilen görevler için yerleşik düzenleme ve otomasyon işlevleri sayesinde olaylara hızla müdahale edin.

verileri Bağlan

Microsoft Sentinel'i eklemek için öncelikle güvenlik kaynaklarınıza bağlanmanız gerekir.

Microsoft Sentinel, Microsoft çözümleri için kullanıma hazır ve gerçek zamanlı tümleştirme sağlayan çeşitli bağlayıcılarla birlikte gelir. Microsoft Sentinel'in kullanıma açık bağlayıcıları Arasında Microsoft 365 kaynakları, Microsoft Entra Id, Kimlik için Microsoft Defender ve Bulut için Microsoft Defender Uygulamaları bulunur. Buna ek olarak, Microsoft dışı çözümler için daha geniş güvenlik ekosistemine yerleşik bağlayıcılar vardır.

Azure Arc özellikli sunucular için ilgili Veri bağlayıcıları Eski Aracı aracılığıyla Güvenlik Olayları, AMA aracılığıyla Windows Güvenliği Olayları veya Syslog olabilir.

Çalışma Kitapları ve Analiz

Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, özel çalışma kitapları oluşturma konusunda çok yönlülük sağlayan Azure İzleyici Çalışma Kitapları ile Microsoft Sentinel tümleştirmesini kullanarak verileri izleyebilirsiniz. Microsoft Sentinel ayrıca, bir veri kaynağına bağlanır bağlanmaz verilerinizle ilgili hızlı içgörüler elde etmenize olanak sağlayan yerleşik çalışma kitabı şablonlarıyla birlikte gelir.

Araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olması için Microsoft Sentinel, uyarıları olaylarla ilişkilendirmek için analiz kullanır. Olaylar, birlikte araştırıp çözebileceğiniz eyleme dönüştürülebilir olası bir tehdit oluşturan ilgili uyarı gruplarıdır. Yerleşik bağıntı kurallarını olduğu gibi kullanın veya kendi kurallarınızı oluşturmak için başlangıç noktası olarak kullanın. Microsoft Sentinel ayrıca ağ davranışınızı eşlemek ve ardından kaynaklarınızdaki anomalileri aramak için makine öğrenmesi kuralları sağlar.

Güvenlik otomasyonu ve düzenlemesi

Azure hizmetleri ve mevcut araçlarınızla tümleşen playbook'larla ortak görevlerinizi otomatikleştirebilir ve güvenlik düzenlemeyi basitleştirebilirsiniz.

Microsoft Sentinel'in otomasyon ve düzenleme çözümü, Azure Logic Apps'i kullanarak genişletilebilir, ölçeklenebilir ve modernleştirilmiştir. Azure Logic Apps ile playbook'lar oluşturmak için, büyüyen yerleşik playbook galerisinden seçim yapabilirsiniz. Bunlar Azure işlevleri gibi hizmetler için 200'den fazla bağlayıcı içerir. Bağlayıcılar kod, ServiceNow, Jira, Zendesk, HTTP istekleri, Microsoft Teams, Slack, Windows Defender ATP ve Bulut için Defender Uygulamaları'nda herhangi bir özel mantık uygulamanıza olanak tanır.

Tehdit avcılığı ve not defterleri

Bir uyarı tetiklenmeden önce kuruluşunuzun veri kaynakları genelinde güvenlik tehditlerini proaktif olarak aramak için Microsoft Sentinel'in MITRE çerçevesine dayalı güçlü tehdit avcılığı arama ve sorgulama araçlarını kullanın. Saldırılarla ilgili yüksek değerli içgörüler sağlayan tehdit avcılığı sorgusunu keşfettikten sonra, sorgunuzu temel alan özel algılama kuralları oluşturabilir ve bu içgörüleri güvenlik olayı yanıtlayıcılarınıza uyarı olarak sunabilirsiniz. Avlanırken, ilgi çekici olaylar için yer işaretleri oluşturabilirsiniz; böylece daha sonra bunlara geri dönebilir, bunları başkalarıyla paylaşabilir ve araştırma için ilgi çekici bir olay oluşturmak üzere diğer bağıntılı olaylarla gruplandırabilirsiniz.

Microsoft Sentinel, makine öğrenmesi, görselleştirme ve veri analizi için tam kitaplıklar da dahil olmak üzere Azure Machine Learning çalışma alanlarındaki Jupyter not defterlerini destekler. Microsoft Sentinel verileriyle yapabileceklerinizi kapsamını genişletmek için Microsoft Sentinel'deki not defterlerini kullanabilirsiniz. Örneğin, Bazı Python makine öğrenmesi özellikleri gibi Microsoft Sentinel'de yerleşik olmayan analizler gerçekleştirebilirsiniz; Özel zaman çizelgeleri ve işlem ağaçları gibi Microsoft Sentinel'de yerleşik olmayan veri görselleştirmeleri oluşturma; veya şirket içi veri kümesi gibi veri kaynaklarını Microsoft Sentinel dışında tümleştirin.