你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文讨论Microsoft Sentinel解决方案的不同组件,以及它们如何协同工作以解决重要的客户方案。
Sentinel平台包括数据湖、图形、Jupyter 笔记本作业、模型上下文协议 (MCP) 服务器,以及来自 300 多个Sentinel连接器的数据,帮助客户以经济高效的方式集中和分析其安全数据。 这些功能加上智能 Microsoft Security Copilot 副驾驶®使客户和合作伙伴能够创建有影响力的解决方案,这些解决方案可以通过Microsoft安全存储发布。
Sentinel SIEM 由安全运营 (SOC) 团队用于生成检测、调查恶意行为和修正威胁。 通过创建Sentinel连接器来引入新数据,并通过创建分析规则、playbook、搜寻查询、分析器和工作簿等内容,合作伙伴可以帮助 SOC 团队获取识别威胁并做出适当响应所需的信息。 Sentinel SIEM 解决方案通过Sentinel的内容中心发布。
数据收集
无论是构建使用平台组件的解决方案,还是针对Sentinel SIEM 集成,为方案提供正确的数据都至关重要。
Sentinel连接器将数据引入到Sentinel,然后可以使用 Jupyter 笔记本和作业在湖中分析这些数据,或者使用Sentinel SIEM 内容(如分析规则和搜寻查询)进行处理。
该数据可包括以下类型:
| 类型 | 说明 |
|---|---|
| 未处理的数据 | 支持检测和搜寻过程。 分析可能存在恶意活动迹象的原始操作数据。 将未处理的数据引入Microsoft Sentinel,以使用Microsoft Sentinel的内置搜寻和检测功能来识别新威胁等。 示例:Syslog 数据、Syslog 上的 CEF 数据、应用程序、防火墙、身份验证或访问日志等。 |
| 安全结论 | 创建警报可见性和关联机会。 警报和检测是已对威胁做出的结论。 将检测与Microsoft Sentinel调查中可见的所有活动和其他检测放在上下文中,为分析师节省时间,并更全面地了解事件,从而获得更好的优先级和更好的决策。 示例:反恶意软件警报、可疑进程、与已知错误的主机通信、被阻止的网络流量以及原因、可疑登录、检测到的密码喷射攻击、识别的网络钓鱼攻击、数据外泄事件等。 |
| 引用数据 | 使用引用的环境构建上下文,从而节省调查工作量并提高效率。 示例:CMDB、高价值资产数据库、应用程序依赖项数据库、IP 分配日志、用于扩充的威胁情报集合等。 |
| 威胁情报 | 通过提供已知威胁的指标来为威胁检测提供支持。 威胁情报可以包括表示即时威胁的当前指标或为将来预防而保留的历史指标。 历史数据集通常很大,最好是临时引用,而不是直接导入到Microsoft Sentinel。 |
解析 器
分析器是 KQL 函数,用于将自定义数据从第三方产品转换为规范化的 ASIM 架构。 规范化可确保 SOC 分析师不必了解有关新架构的详细信息,而是针对他们熟悉的规范化架构生成分析规则和搜寻查询。 查看Microsoft Sentinel提供的可用 ASIM 架构,确定相关 ASIM 架构 (数据的一个或多个) ,以确保 SOC 分析师更容易加入,并确保为 ASIM 架构编写的现有安全内容适用于你的产品数据。 有关可用 ASIM 架构的详细信息,请参阅 高级安全信息模型 (ASIM) 架构。
可视化
可以通过包含数据流入Microsoft Sentinel的图形视图,以及数据对检测的贡献程度,包括可视化效果,帮助客户管理和理解数据。
可以通过包含数据流入Microsoft Sentinel的图形视图,以及数据对检测的贡献程度,包括可视化效果,帮助客户管理和理解数据。
监视和检测
Sentinel的监视和检测功能可创建自动检测,帮助客户扩展其 SOC 团队的专业知识。
以下部分介绍可包含在解决方案中的监视和检测元素。
Security Copilot代理
Security Copilot代理可自动执行重复任务并减少手动工作负荷。 它们可增强云、数据安全和隐私、标识和网络安全的安全和 IT 运营。 对于Sentinel,代理可以查询 SIEM 或数据湖,并调用 API 来丰富Microsoft Sentinel数据。 他们可以利用笔记本作业进行密集的数据处理或分析,并利用任意数量的插件。
Jupyter 笔记本作业
Jupyter 笔记本作业提供了功能强大的工具,可用于在 Data Lake Sentinel 中使用 Spark 作业执行复杂的数据转换和运行机器学习模型。 Security Copilot代理可以使用它们来提供一种确定且高效的方法来执行数据分析和汇总,并持续运行。 笔记本作业可以将自定义数据表写入分析层和数据湖,供下游组件(如代理、工作簿、搜寻查询等)使用。
分析规则
分析规则是复杂的检测,可以创建准确、有意义的警报。
向解决方案添加分析规则,帮助客户从Microsoft Sentinel系统中的数据中受益。 例如,分析规则可帮助提供有关集成提供的数据中可检测到的活动的专业知识和见解。
他们可以输出警报 (显著事件) 、事件 (调查) 单位,或触发自动化 playbook。
可以通过将分析规则包含在解决方案中,并通过 Microsoft Sentinel ThreatHunters 社区添加分析规则。 通过社区参与,以鼓励社区创造力而不是合作伙伴来源的数据,帮助客户进行更可靠、更有效的检测。
搜寻查询
搜寻查询使 SOC 分析师能够主动查找当前计划分析规则未检测到的新异常。 搜寻查询引导 SOC 分析师提出正确的问题,以从Microsoft Sentinel中已有的数据中查找问题,并帮助他们识别潜在的威胁方案。 通过包括搜寻查询,可帮助客户在提供的数据中查找未知威胁。
工作簿
工作簿提供交互式报表和仪表板,可帮助用户可视化安全数据并识别数据中的模式。 工作簿的需求取决于特定的用例。 在设计解决方案时,请考虑可能最直观地解释的方案,尤其是用于跟踪性能的方案。
调查
Sentinel调查图可在需要时为调查人员提供相关数据,通过连接的实体提供安全事件和警报的可见性。 调查人员可以使用调查图查找相关或相关的事件,这些事件与正在调查的威胁有关。
合作伙伴可以通过提供以下功能为调查图做出贡献:
- Microsoft Sentinel警报和事件,这些警报和事件通过合作伙伴解决方案中的分析规则创建。
- 针对合作伙伴提供的数据的自定义浏览查询。 自定义浏览查询为安全调查人员提供丰富的数据与见解之间的浏览和连接。
响应
Playbook 支持具有丰富自动化的工作流,跨客户环境运行与安全相关的任务。 它们对于确保 SOC 分析师不会因战术项目而负担过重,并且能够专注于更战略性和更深层次的漏洞根本原因至关重要。 例如,如果检测到高严重性警报,playbook 可以自动启动一系列操作,例如通知安全团队、隔离受影响的系统以及收集相关日志以供进一步分析。
例如,playbook 可以通过以下任一方式提供帮助,等等:
- 帮助客户在合作伙伴产品中配置安全策略
- 收集额外数据,为调查决策提供信息
- 将Microsoft Sentinel事件链接到外部管理系统
- 跨合作伙伴解决方案集成警报生命周期管理
设计解决方案时,请考虑可以采取的自动化操作来解决解决方案中定义的分析规则创建的事件。
Sentinel SIEM 方案示例
以下部分介绍常见的合作伙伴方案,以及针对每个方案的解决方案中要包含的内容的建议。
产品生成的数据对安全调查很重要
场景:你的产品生成的数据可以通知安全调查。
示例:提供某种形式的日志数据的产品包括防火墙、云应用程序安全代理、物理访问系统、Syslog 输出、市售和企业构建的 LOB 应用程序、服务器、网络元数据、通过 Syslog 或 CEF 格式通过 Syslog 或 JSON 格式的 REST API 交付的任何内容。
如何在 Microsoft Sentinel 中使用数据:通过数据连接器将产品的数据导入Microsoft Sentinel,以提供分析、搜寻、调查、可视化等功能。
要生成的内容:对于此方案,请在解决方案中包含以下元素:
| 类型 | 要包括的元素 |
|---|---|
| 必需 | - Microsoft Sentinel数据连接器,用于在门户中传递数据并链接其他自定义项。 示例数据查询 |
| 建议 | -练习 册 - 分析规则,用于在 Microsoft Sentinel 中生成基于数据的检测 |
| 可选 | - 搜寻查询,为搜寻者提供在搜寻时要使用的现用查询 - 笔记本,提供完全引导式、可重复的搜寻体验 |
你的产品提供检测
方案:产品提供的检测是对来自其他系统的警报和事件的补充
示例:反恶意软件、企业检测和响应解决方案、网络检测和响应解决方案、邮件安全解决方案(如防钓鱼产品、漏洞扫描、移动设备管理解决方案、UEBA 解决方案、信息保护服务等)。
如何在Microsoft Sentinel中使用数据:使检测、警报或事件在Microsoft Sentinel中可用,以与客户环境中可能发生的其他警报和事件一起显示它们。 此外,请考虑提供支持检测的日志和元数据,作为调查的额外上下文。
要生成的内容:对于此方案,请在解决方案中包含以下元素:
| 类型 | 要包括的元素 |
|---|---|
| 必需 | Microsoft Sentinel数据连接器,用于在门户中传递数据并链接其他自定义项。 |
| 建议 | 分析规则,用于根据检测创建有助于调查的Microsoft Sentinel事件 |
你的产品提供威胁情报指示器
方案:产品提供威胁情报指示器,可为客户环境中发生的安全事件提供上下文
示例:TIP 平台、STIX/TAXII 集合以及公共或许可的威胁情报源。 引用数据,例如 WhoIS、GeoIP 或新观察到的域。
如何在 Microsoft Sentinel 中使用数据:将当前指标传递给Microsoft Sentinel,以便在Microsoft检测平台上使用。 通过远程访问将大规模数据集或历史数据集用于扩充方案。
要生成的内容:对于此方案,请在解决方案中包含以下元素:
| 类型 | 要包括的元素 |
|---|---|
| 当前威胁情报 | 生成 GSAPI 数据连接器以将指示器推送到Microsoft Sentinel。 提供客户可与现成的 TAXII 数据连接器配合使用的 STIX 2.0 或 2.1 TAXII 服务器。 |
| 历史指示器和/或引用数据集 | 提供用于访问数据的逻辑应用连接器以及将数据定向到正确位置的扩充工作流 playbook。 |
你的产品为调查提供了额外的上下文
方案:产品为基于Microsoft Sentinel的调查提供额外的上下文数据。
示例:额外的上下文 CMDB、高价值资产数据库、VIP 数据库、应用程序依赖项数据库、事件管理系统、票证系统
如何在Microsoft Sentinel中使用数据:使用Microsoft Sentinel中的数据来丰富警报和事件。
要生成的内容:对于此方案,请在解决方案中包含以下元素:
- 逻辑应用连接器
- 扩充工作流 playbook
- 外部事件生命周期管理工作流 (可选)
你的产品可以实施安全策略
场景:你的产品可以在Azure Policy和其他系统中实施安全策略
示例:防火墙、NDR、EDR、MDM、标识解决方案、条件访问解决方案、物理访问解决方案或其他支持阻止/允许或其他可操作安全策略的产品
如何在Microsoft Sentinel中使用数据:Microsoft Sentinel操作和工作流,以实现对威胁的修正和响应
要生成的内容:对于此方案,请在解决方案中包含以下元素:
- 逻辑应用连接器
- 操作工作流 playbook
入门参考
所有Microsoft Sentinel SIEM 集成都从Microsoft Sentinel GitHub 存储库和贡献指南开始。
准备好开始处理Microsoft Sentinel解决方案时,请在构建Microsoft Sentinel解决方案指南中查找有关提交、打包和发布的说明。
进入市场
Microsoft提供了这些计划来帮助合作伙伴Microsoft客户:
Microsoft合作伙伴网络 (MPN) 。 与 Microsoft 合作的主要计划是Microsoft合作伙伴网络。 MPN 中的成员身份需要成为Azure市场发布者,这是发布所有Microsoft Sentinel解决方案的位置。
Azure市场。 Microsoft Sentinel解决方案通过Azure市场交付,客户可在市场中发现和部署Microsoft和合作伙伴提供的常规Azure集成。
Microsoft Sentinel解决方案是市场中提供的多种产品/服务类型之一。 还可以在Microsoft Sentinel内容中心找到嵌入的解决方案产品/服务
Microsoft智能安全关联 (MISA) 。 MISA 为Microsoft安全合作伙伴提供了帮助,帮助Microsoft客户了解合作伙伴创建的集成,并帮助为Microsoft安全产品集成提供可发现性。
加入 MISA 计划需要来自参与Microsoft安全产品团队的提名。 构建以下任何集成都有资格获得提名的合作伙伴:
- Microsoft Sentinel数据连接器和关联内容,例如工作簿、示例查询和分析规则
- 已发布的逻辑应用连接器和Microsoft Sentinel playbook
- 根据具体情况进行 API 集成
若要请求 MISA 提名评审或有疑问,请联系 AzureSentinelPartner@microsoft.com。
后续步骤
有关更多信息,请参阅:
数据收集:
威胁检测:
- 使用自动化规则在 Microsoft Sentinel 中自动处理事件
- 使用Microsoft Sentinel调查事件
- 使用 Microsoft Sentinel 中的 playbook 自动执行威胁响应
搜寻和笔记本:
可视化: 可视化收集的数据。
响应: