你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 技能升级培训
本文将引导你完成 Microsoft Sentinel 400 级培训,帮助你完成技能升级。 本培训包含 21 个自定进度模块,其中提供了相关的产品文档、博客文章和其他资源。
此处列出的模块按照安全运营中心 (SOC) 的生命周期分为五个部分:
第 1 部分:概述
模块 0:其他学习和支持选项
此技能升级培训是基于 Microsoft Sentinel Ninja 培训的 400 级培训。 如果不想这般深入或有某个特定问题要解决,其他资源可能会更合适:
- 虽然技能升级培训内容广泛,不过它在性质上必须遵循一个脚本,不能扩展到每个主题。 有关每篇文章的信息,请参阅参考文档。
- 现在可以使用新的认证 SC-200:Microsoft 安全运营分析师(涵盖 Microsoft Sentinel)进行认证。 若要获取 Microsoft 安全套件更广泛、更高级别的视图,你可能还想要考虑 SC-900:Microsoft 安全性、合规性和标识基础知识或 AZ-500:Microsoft Azure 安全技术。
- 如果你已经熟练掌握了 Microsoft Sentinel,请关注新增功能或加入 Microsoft Cloud Security 专用云社区计划,了解即将发布的早期版本。
- 你有什么功能想法和我们分享吗? 在 Microsoft Sentinel 用户语音页面上告诉我们。
- 你是顶级客户吗? 你可能需要现场或远程为期四天的 Microsoft Sentinel 基础知识研讨会。 请联系客户成功客户经理获取详细信息。
- 是否有特定问题? 在 Microsoft Sentinel 技术社区上提问(或作答)。 或者,你可以通过 MicrosoftSentinel@microsoft.com,使用电子邮件向我们发送问题。
模块 1:Microsoft Sentinel 入门
Microsoft Sentinel 是一种可缩放的云原生安全信息和事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 跨企业提供安全分析和威胁情报。 它为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 要了解详情,请参阅什么是 Microsoft Sentinel 一文。
若要初步了解 Microsoft Sentinel 的技术功能,最新的 Ignite 演示文稿是一个很好的起点。 你可能还会发现 Microsoft Sentinel 快速入门指南很有用(需要进行站点注册)。
你将在此 Microsoft Sentinel 网络研讨会中找到更详细的概述:YouTube、MP4 或演示文稿。
最后,你想自己试试吗? Microsoft Sentinel 一体化加速器(博客、YouTube、MP4 或演示文稿)提供了一种帮助你入门的简单方法。 若要了解如何开始,请查看新手上手文档,或查看 Insight 的 Microsoft Sentinel 设置和配置视频。
向其他用户学习
成千上万的组织和服务提供商正在使用 Microsoft Sentinel。 与安全产品一样,大多数组织不会公开它的情况。 尽管如此,仍有一些人:
- 找到了公共客户用例。
- ASOS 安全运营经理 Stuart Gregg 发布了一篇更详细的关于 Microsoft Sentinel 体验的博客文章(专注于搜寻)。
向分析师学习
- Azure Sentinel 是 Forrester Wave 中的领军方案,在策略中排名靠前
- Microsoft 在 2021 年 Gartner 的 SIEM 魔力象限中将 Microsoft Sentinel 评为远见者
模块 2:如何使用 Microsoft Sentinel?
许多组织使用 Microsoft Sentinel 作为其主要 SIEM。 本课程中的大多数模块都涵盖了这个用例。 在本模块中,我们介绍了一些使用 Microsoft Sentinel 的额外方法。
作为 Microsoft 安全堆栈的一部分
结合使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft Defender XDR 来保护你的 Microsoft 工作负载,包括 Windows、Azure 和 Office:
- 详细了解结合 Microsoft Sentinel 和 Microsoft Defender XDR 的综合 SIEM+XDR 解决方案。
- 阅读 Azure 安全罗盘(现在是 Microsoft 安全最佳做法),了解 Microsoft 的安全运营蓝图。
- 阅读并观看此类设置如何帮助检测和响应 WebShell 攻击:博客或视频演示。
- 观看“共同进步”网络研讨会“OT 和 IOT 攻击检测、调查和响应”。
监视多云工作负载
云(仍然)是新的,并且通常不像本地工作负载那样受到广泛的监视。 阅读此演示文稿,了解 Microsoft Sentinel 如何帮助你缩小云之间的云监视差距。
与现有 SIEM 并行
对于过渡期或长期,如果你将 Microsoft Sentinel 用于云工作负载,则可能会同时使用 Microsoft Sentinel 和现有 SIEM。 你可能还会将两者与 Service Now 等票证系统一起使用。
有关从另一个 SIEM 迁移到 Microsoft Sentinel 的详细信息,请查看迁移网络研讨会:YouTube、MP4 或演示文稿。
并行部署有三种常见方案:
如果 SOC 中有一个票证系统,最佳做法是将警报或事件从两个 SIEM 系统发送到一个票证系统中(例如 Service Now)。 示例包括将 Microsoft Sentinel 事件双向同步与 ServiceNow 结合使用或将使用 Microsoft Sentinel 支持事件扩充的警报发送到第三方 SIEM。
至少在最初,许多用户会将来自 Microsoft Sentinel 的警报发送到其本地 SIEM。 若要了解如何操作,请参阅将使用 Microsoft Sentinel 支持事件扩充的警报发送到第三方 SIEM。
随着时间的推移,Microsoft Sentinel 涵盖的工作负载越来越多,你通常会倒转反向,将来自本地 SIEM 的警报发送到 Microsoft Sentinel。 为此,请执行以下操作:
- 对于 Splunk,请参阅将数据和重要事件从 Splunk 发送到 Microsoft Sentinel。
- 对于 QRadar,请参阅将 QRadar 攻击发送到 Microsoft Sentinel。
- 对于 ArcSight,请参阅通用事件格式 (CEF) 转发。
还可以使用 Graph 安全性 API 将来自 Microsoft Sentinel 的警报发送到第三方 SIEM 或票务系统。 此方法更简单,但无法发送其他数据。
对于 MSSP
由于它消除了设置成本,并且与位置无关,因此 Microsoft Sentinel 是提供 SIEM 即服务的热门选择。 你会找到使用 Microsoft Sentinel 的 MISA(Microsoft 智能安全关联)成员托管安全服务提供商 (MSSP) 列表。 许多其他 MSSP,尤其是区域性和较小的 MSSP,使用 Microsoft Sentinel,但不是 MISA 成员。
若要以 MSSP 身份开始旅程,请阅读适用于 MSSP 的 Azure Sentinel 技术性 Playbook。 有关 MSSP 支持的详细信息包含在涵盖云体系结构和多租户支持的下一个模块中。
第 2 部分:构建和部署
虽然“第 1 部分:概述”提供了在几分钟内开始使用 Microsoft Sentinel 的方法,但在开始生产部署之前,请务必创建计划。
本部分将引导你了解在构建解决方案时需要考虑的领域,并提供有关如何实现设计的指南:
- 工作区和租户体系结构
- 数据收集
- 日志管理
- 威胁情报获取
模块 3:工作区和租户体系结构
Microsoft Sentinel 实例称为工作区。 工作区与 Log Analytics 工作区相同,并支持任何 Log Analytics 功能。 可以将 Microsoft Sentinel 视为在 Log Analytics 工作区之上添加 SIEM 功能的解决方案。
通常需要多个工作区,并且可以一起充当单个 Microsoft Sentinel 系统。 一个特殊的用例是使用 Microsoft Sentinel 提供服务(例如,由 MSSP(托管安全服务提供商)或大型组织中的全局 SOC)。
若要了解有关将多个工作区用作一个 Microsoft Sentinel 系统的详细信息,请参阅跨工作区和租户扩展 Microsoft Sentinel 或查看网络研讨会:YouTube、MP4 或演示文稿。
使用多个工作区时,请考虑以下事项:
- 使用多个工作区的一个重要驱动因素是数据驻留。 有关详细信息,请参阅 Microsoft Sentinel 数据驻留。
- 若要跨多个工作区高效地部署 Microsoft Sentinel 并管理内容,可以使用持续集成/持续交付 (CI/CD) 技术管理 Microsoft Sentinel 即代码。 Microsoft Sentinel 的推荐最佳做法是启用持续部署。 有关详细信息,请参阅使用 Microsoft Sentinel 存储库本地启用持续部署。
- 将多个工作区作为 MSSP 管理时,你可能希望在 Microsoft Sentinel 中保护 MSSP 知识产权。
适用于 MSSP 的 Microsoft Sentinel 技术性 Playbook 为其中许多主题提供了详细的指南,并且不仅适用于 MSSP,也适用于大型组织。
模块 4:数据收集
SIEM 的基础是收集遥测数据:事件、警报和上下文扩充信息,例如威胁情报、漏洞数据和资产信息。 下面是要参阅的来源列表:
- 请阅读 Microsoft Sentinel 数据连接器。
- 请转到查找 Microsoft Sentinel 数据连接器,查看所有受支持和开箱即用的数据连接器。 你将找到指向泛型部署过程的链接,以及特定连接器所需的额外步骤。
- 数据收集方案:了解收集方法,例如 Logstash/CEF/WEF。 其他常见方案包括表权限限制、日志筛选、从 Amazon Web Services (AWS) 或 Google Cloud Platform (GCP) 收集日志、Microsoft 365 原始日志等。 可以在“数据收集方案”网络研讨会中找到所有内容:YouTube、MP4 或演示文稿。
对于每个连接器,首先显示的信息是其数据引入方法。 这里显示的方法是指向下列某一常规部署流程的链接,其中有你将数据源连接到 Microsoft Sentinel 所需的大部分信息:
| 数据引入方法 | 关联文章 |
|---|---|
| Azure 服务到服务集成 | 连接到 Azure、Windows、Microsoft 和 Amazon 服务 |
| 使用 Syslog 的通用事件格式 (CEF) | 将设备中 CEF 格式的日志引入到 Microsoft Sentinel |
| Microsoft Sentinel 数据收集器 API | 将数据源连接到 Microsoft Sentinel 数据收集器 API 以引入数据 |
| Azure Functions 和 REST API | 使用 Azure Functions 将 Microsoft Sentinel 连接到数据源 |
| Syslog | 使用 Syslog 从基于 Linux 的源收集数据 |
| 自定义日志 | 使用 Log Analytics 代理将数据以自定义日志格式收集到 Microsoft Sentinel |
如果源不可用,可以创建自定义连接器。 自定义连接器使用引入 API,因此类似于直接源。 通常使用 Azure 逻辑应用(可提供无代码选项)或Azure Functions 实现自定义连接器。
模块 5:日志管理
配置 Microsoft Sentinel 时要考虑的第一个体系结构决策是“有多少个工作区以及使用哪些工作区”。 要考虑的其他关键日志管理体系结构决策包括:
- 保留数据的位置和时长。
- 如何最好地管理对数据的访问并保护数据。
在 Microsoft Sentinel 中引入、存档、搜索和还原数据
若要开始进行,请查看“使用新的引入、存档、搜索和还原方法管理日志生命周期”网络研讨会。
这套功能包含:
- 基本引入层:Azure Monitor 日志的新定价层,使你能够以更低的成本引入日志。 此数据仅在工作区中保留八天。
- 存档层:Azure Monitor 日志已将其保留能力从两年扩展到七年。 借助这一新层,可以在低成本存档状态下将数据保留长达七年。
- 搜索作业:搜索运行有限 KQL 的任务,以查找并返回所有相关日志。 这些作业跨分析层、基本层和存档数据搜索数据。
- 数据还原:一种新功能,使你可以选取数据表和时间范围,以便可以通过还原表将数据还原到工作区。
有关这些功能的详细信息,请参阅在 Microsoft Sentinel 中引入、存档、搜索和还原数据。
Microsoft Sentinel 平台之外的替代保留选项
如果想将数据保留两年以上,或降低保留成本,请考虑使用 Azure 数据资源管理器来长期保留 Microsoft Sentinel 日志。 请参阅网络研讨会幻灯片、网络研讨会录制内容或博客。
想要更深入的信息? 查看“通过 ADX 支持、更多实体类型和更新的 MITRE 集成提高威胁搜寻的广度和覆盖范围”网络研讨会。
如果更喜欢其他长期保留解决方案,请参阅从 Microsoft Sentinel/Log Analytics 工作区导出到 Azure 存储和事件中心或使用 Azure 逻辑应用程序将日志移动到长期存储。 使用逻辑应用的优点是它可以导出历史数据。
最后,可以使用表级保留设置来设置细粒度保留期。 有关详细信息,请参阅在 Azure Monitor 日志中配置数据保留和存档策略(预览版)。
日志安全性
使用资源基于角色的访问控制 (RBAC) 或表级 RBAC 使多个团队能够使用单个工作区。
如果需要,可从工作区中删除客户内容。
使用专用链接确保日志始终保留在专用网络上。
专用群集
如果预计每天数据引入量大约为或超过 500 GB,请使用专用工作区群集。 使用专用群集可保护 Microsoft Sentinel 数据的资源,从而为大型数据集提供更好的查询性能。
模块 6:扩充:威胁情报、监视列表等
SIEM 的一项重要功能是将上下文信息应用于事件流,这可实现检测、警报优先级和事件调查。 上下文信息包括威胁情报、IP 智能、主机和用户信息以及监视列表。
Microsoft Sentinel 提供用于导入、管理和使用威胁情报的综合工具。 对于其他类型的上下文信息,Microsoft Sentinel 提供监视列表和其他替代解决方案。
威胁情报
威胁情报是 SIEM 的重要构建基块。 查看“探索 Microsoft Sentinel 中威胁情报的强大功能”网络研讨会。
在 Microsoft Sentinel 中,可以使用来自 TAXII(受信任的指示器信息自动交换)服务器的内置连接器或通过 Microsoft Graph 安全 API 集成威胁情报。 有关详细信息,请参阅在 Microsoft Sentinel 中集成威胁情报。 有关导入威胁情报的详细信息,请参阅模块 4:数据收集部分。
导入后,威胁情报将在整个 Microsoft Sentinel 中广泛使用。 以下功能侧重于使用威胁情报:
可在日志中和 Microsoft Sentinel 的新威胁智能区域查看和管理导入的威胁情报。
使用内置威胁情报分析规则模板,根据导入的威胁情报生成安全警报和事件。
使用威胁情报工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息。
查看“使用 RiskIQ 威胁情报自动化 Microsoft Sentinel 会审工作”研讨会:YouTube 或演示文稿。
时间有限? 查看 Ignite 会议(28 分钟)。
想要更深入的信息? 查看“深入了解威胁情报”网络研讨会:YouTube、MP4 或演示文档。
监视列表和其他查找机制
为了导入和管理任何类型的上下文信息,Microsoft Sentinel 提供了监视列表。 使用监视列表可以上传 CSV 格式的数据表,并在 KQL 查询中使用它们。 有关详细信息,请参阅在 Microsoft Sentinel 中使用监视列表,或查看“使用监视列表管理警报、减少警报疲劳和提高 SOC 效率”网络研讨会:YouTube 或演示文稿。
使用监视列表来帮助你处理以下方案:
调查威胁并迅速响应事件:从 CSV 文件快速导入 IP 地址、文件哈希和其他数据。 导入数据后,在警报规则、威胁搜寻、工作簿、笔记本和常规查询中使用监视列表名称值对进行联接和筛选。
导入业务数据作为监视列表:例如,导入具有特权系统访问权限的用户列表或离职员工。 然后,使用监视列表创建允许列表和阻止列表,以检测或阻止这些用户登录到网络。
缓解警报疲劳:创建允许列表可抑制来自某一组用户的警报,例如,来自授权 IP 地址的用户,他们执行通常会触发警报的任务。 防止良性事件成为警报。
扩充事件数据:使用监视列表可以通过派生自外部数据源的名称值组合来扩充事件数据。
除了监视列表,可以使用 KQL externaldata 运算符、自定义日志和 KQL 函数来管理和查询上下文信息。 这四种方法中的每一种方法都有其优点和缺点,你可以在博客文章“在 Microsoft Sentinel 中实现查找”中详细了解它们之间的比较。虽然每种方法都不同,但在查询中使用结果信息是相似的,因此可以在它们之间轻松切换。
有关在分析规则之外使用监视列表的想法,请参阅“在 Microsoft Sentinel 调查期间利用监视列表提高效率”。
查看“使用监视列表管理警报、减少警报疲劳和提高 SOC 效率”网络研讨会:YouTube 或演示文稿。
模块 7:日志转换
Microsoft Sentinel 支持两项用于数据引入和转换的新功能。 这些功能由 Log Analytics 提供,即使在将数据存储在工作区之前,这些功能也可对其进行处理。 这些功能包括:
日志引入 API:使用它可将自定义格式的日志从任何数据源发送到 Log Analytics 工作区,然后将这些日志存储在特定的标准表或你创建的自定义格式表中。 可以使用直接 API 调用执行这些日志的实际引入。 可使用 Azure Monitor 数据收集规则来定义和配置这些工作流。
用于标准日志的工作区数据转换:它使用数据收集规则筛选掉不相关的数据,以扩充或标记数据,或隐藏敏感信息或个人信息。 可以在引入时为以下类型的内置数据连接器配置数据转换:
- 基于 Azure Monitor 代理 (AMA) 的数据连接器(基于新的 Azure Monitor 代理)
- 基于 Microsoft Monitoring Agent (MMA) 的数据连接器(基于旧版 Azure Monitor 日志代理)
- 使用诊断设置的数据连接器
- 服务到服务数据连接器
有关详细信息,请参阅:
模块 8:迁移
在许多(如果不是大多数)情况下,你已经拥有一个 SIEM 并且需要迁移到 Microsoft Sentinel。 虽然现在可能是重新开始并重新考虑 SIEM 实现的好时机,但利用在当前实现中已经构建的一些资产是有意义的。 查看“有关转换检测规则的最佳做法”(从 Splunk、QRadar 和 ArcSight 转换为 Azure Microsoft Sentinel)网络研讨会:YouTube、MP4、演示文稿或博客。
你可能还会对以下资源感兴趣:
模块 9:高级 SIEM 信息模型和规范化
同时处理多种数据类型和表可能具有难度。 在编写并使用一组独特的分析规则、工作簿和搜寻查询,必须熟悉这些数据类型和架构。 调查和搜寻时所需的数据类型之间的关联也可能很复杂。
高级 SIEM 信息模型 (ASIM) 提供一种无缝的体验以用于在统一的规范化视图中处理各种源。 ASIM 与开源安全事件元数据 (OSSEM) 通用信息模型保持一致,促进了与供应商无关的全行业规范化。 查看“高级 SIEM 信息模型 (ASIM):现已内置于 Microsoft Sentinel”网络研讨会:YouTube 或演示文稿。
当前的实现基于使用 KQL 函数的查询时间规范化:
规范化架构涵盖标准的可预测事件类型集,这些集易于处理和构建统一功能。 此架构定义了表示事件的字段、规范化列命名约定,以及字段值的标准格式。
分析程序将现有数据映射到规范化架构。 使用 KQL 函数实现分析程序。 查看“扩展和管理 ASIM:开发、测试和部署分析程序”网络研讨会:YouTube 或演示文稿。
每个规范化架构的内容包括分析规则、工作簿和搜寻查询。 此内容适用于任何规范化数据,无需创建特定于源的内容。
使用 ASIM 具有以下好处:
跨源检测:规范化分析规则可跨本地源和云中的源工作。 规则可检测攻击,如暴力攻击或不可能穿越系统(包括 Okta、AWS 和 Azure)。
允许与源无关的内容:使用 ASIM 覆盖内置内容和自定义内容会自动扩展到支持 ASIM 的任何源,即使源是在创建内容后添加的,也是如此。 例如,进程事件分析支持客户可能用于引入数据的任何源,包括 Microsoft Defender for Endpoint、Windows 事件和 Sysmon。 我们已准备好在发布时添加 Sysmon for Linux 和 WEF。
内置分析中对自定义源的支持
易于使用:了解 ASIM 的分析师会发现编写查询要简单得多,因为字段名称始终相同。
详细了解 ASIM
请充分利用这些资源:
部署 ASIM
从 GitHub 上的 parsers 文件夹中以“ASIM*”开头的文件夹部署分析程序。
激活使用 ASIM 的分析规则。 在模板库中搜索“普通”可找到其中一些。 若要获取完整列表,请使用此 GitHub 搜索。
使用 ASIM
第 3 部分:创建内容
Microsoft Sentinel 内容是什么?
Microsoft Sentinel 安全性的价值是其内置功能与你创建自定义功能和自定义内置功能的能力的结合。 在内置功能中,有用户和实体行为分析 (UEBA)、机器学习或现成分析规则。 自定义功能通常称为“内容”,包括分析规则、搜寻查询、工作簿、playbook 等。
在本部分中,我们将这些模块分组,帮助你了解如何创建此类内容或修改内置内容以满足需求。 我们从 Azure Microsoft Sentinel 的通用语言 KQL 入手。 以下模块讨论了内容构建基块之一,例如规则、playbook 和工作簿。 最后讨论了用例,其中包含不同类型的元素,可解决特定的安全目标,例如威胁检测、搜寻或治理。
模块 10:Kusto 查询语言
大多数 Microsoft Sentinel 功能使用 Kusto 查询语言 (KQL)。 在日志中搜索、编写规则、创建搜寻查询或设计工作簿时,可使用 KQL。
关于编写规则的下一部分介绍了如何在 SIEM 规则的特定上下文中使用 KQL。
了解 Microsoft Sentinel KQL 的推荐旅程
Pluralsight KQL 课程:提供基础知识
必须了解 KQL:包含 20 个部分的 KQL 系列,指导你学习创建第一个分析规则(包括评估和证书)的基础知识
Microsoft Sentinel KQL 实验室:一个交互式实验室,教授 KQL,重点关注你对 Microsoft Sentinel 的需求:
- 学习模块(SC-200 第 4 部分)
- 演示文稿或实验室 URL
- Jupyter Notebooks 版本,用于在笔记本中测试查询
- 学习网络研讨会:YouTube 或 MP4
- 查看实验室解决方案网络研讨会:YouTube 或 MP4
“优化 Azure Microsoft Sentinel KQL 查询性能”网络研讨会:YouTube、MP4 或演示文稿
“适用于 Microsoft Sentinel 的 KQL 框架:力助你成为 KQL 高手”网络研讨会:YouTube 或演示文稿
在学习 KQL 时,你可能还会发现以下参考资料非常有用:
模块 11:分析
编写计划分析规则
借助 Microsoft Sentinel,你可以使用内置规则模板、为环境自定义模板或创建自定义规则。 规则的核心是 KQL 查询;然而,规则中要配置的内容远不止这些。
若要了解创建规则的过程,请参阅创建自定义分析规则以检测威胁。 若要了解如何编写规则(即规则应该包含哪些内容,重点关注规则的 KQL),请查看网络研讨会:YouTube、MP4 或演示文稿。
SIEM 分析规则具有特定的模式。 了解如何为这些模式实现规则并编写 KQL:
关联规则:请参阅使用列表和“in”运算符或使用“join”运算符
聚合:请参阅使用列表和“in”运算符或更高级的模式处理滑动窗口
查找:常规或近似、部分和组合查找
处理误报
延迟事件:在任何 SIEM 中都司空见惯,很难解决。 Microsoft Sentinel 可以帮助你缓解规则中的延迟。
将 KQL 函数用作构建基块:使用参数化函数扩充 Windows 安全事件。
博客文章“Blob 和文件存储调查”提供了编写有用分析规则的分步示例。
使用内置分析
在着手编写自己的规则之前,请考虑利用内置分析功能。 它们对你的要求并不高,但却很值得了解:
使用内置的计划规则模板。 可以通过以与编辑任何计划规则相同的方式修改模板来优化这些模板。 请确保为数据连接器“后续步骤”选项卡中列出的所连接的数据连接器部署模板。
获取默认启用的 Microsoft Sentinel 高级多阶段攻击检测 (Fusion) 列表。
模块 12:实现 SOAR
在 Microsoft Sentinel 等新式 SIEM 中,SOAR 包含从事件触发到解决的整个过程。 此过程从事件调查开始,然后执行自动响应。 博客文章“如何使用 Microsoft Sentinel 进行事件响应、业务流程和自动化”概述了 SOAR 的常见用例。
自动化规则是 Microsoft Sentinel 自动化的起点。 它们为集中自动处理事件提供了一种轻量级方法,包括抑制、误报处理和自动分配。
为了提供可靠的基于工作流的自动化功能,自动化规则使用逻辑应用 playbook。 若要了解详细信息,请访问以下链接:
查看“释放自动化 Jedi 技巧并强有力地构建逻辑应用 playbook”网络研讨会:YouTube、MP4 或演示文稿。
了解逻辑应用,它是推动 Microsoft Sentinel playbook 的核心技术。
请参阅 Microsoft Sentinel 逻辑应用连接器(逻辑应用与 Microsoft Sentinel 之间的链接)。
你会在 Microsoft Sentinel GitHub 站点上的 Playbooks 文件夹中找到许多有用的 Playbook,或阅读使用监视列表通知订阅所有者有关警报的 playbook,以了解 Playbook 演练。
模块 13:工作簿、报表和可视化效果
工作簿
作为 SOC 的神经中心,需要 Microsoft Sentinel 来可视化它收集和生成的信息。 使用工作簿可视化 Microsoft Sentinel 中的数据。
若要了解如何创建工作簿,请阅读 Azure 工作簿文档或观看 Billy York 的工作簿培训(以及随附文本)。
提到的资源不是特定于 Microsoft Sentinel 的资源。 它们通常适用于工作簿。 若要详细了解 Microsoft Sentinel 中的工作簿,请查看网络研讨会:YouTube、MP4 或演示文稿。 阅读文档。
工作簿可以是交互式的,并且可以实现更多功能,而不仅仅是绘制图表。 使用工作簿,可以为 Microsoft Sentinel 创建应用或扩展模块,以补充内置功能。 你还可以使用工作簿扩展 Microsoft Sentinel 的功能。 下面是这类应用的几个示例:
调查见解工作簿提供了另一种调查事件的方法。
外部团队协作的图形可视化可以搜寻有风险的团队使用。
用户的旅行地图工作簿允许调查地理位置警报。
Microsoft Sentinel 不安全协议工作簿实施指南、最近的增强功能和概述视频可帮助你识别网络中不安全协议的使用。
最后,了解如何使用工作簿中的 API 调用集成来自任何源的信息。
你会在 Microsoft Sentinel GitHub 的 Workbooks 文件夹中找到数十个工作簿。 其中一些也可在 Microsoft Sentinel 工作簿库中找到。
报表和其他可视化效果选项
工作簿可用于报告。 对于更高级的报告功能,例如报表计划和分发或数据透视表,可能需要使用:
Power BI,它以本机方式与 Azure Monitor 日志和 Microsoft Sentinel 集成。
Excel,它可以使用 Azure Monitor 日志和 Microsoft Sentinel 作为数据源,并查看“将 Azure Monitor 日志和 Excel 与 Azure Monitor 集成”视频。
Jupyter 笔记本(搜寻模块后面介绍的一个主题)也是很好的可视化工具。
模块 14:笔记本
Jupyter 笔记本与 Microsoft Sentinel 完全集成。 虽然在搜寻者的工具箱中被认为是一个重要的工具,并在下面搜寻部分的网络研讨会上讨论过,但它们的价值要大得多。 笔记本可用于高级可视化、用作调查指南以及用于复杂自动化。
若要更好地了解笔记本,请查看笔记本简介视频。 使用 Notebooks 网络研讨会入门(YouTube、MP4 或演示文稿)或阅读文档。 Microsoft Sentinel Notebooks Ninja 系列 是一个持续的培训系列,旨在提升你在笔记本方面的技能。
集成的一个重要部分由 MSTICPy 实现,它是我们的研究团队开发的 Python 库,可与 Jupyter 笔记本一起使用。 它为你的笔记本添加了 Microsoft Sentinel 界面和复杂的安全功能。
模块 15:用例和解决方案
借助连接器、规则、playbook 和工作簿,你可以实现用例,这是用于检测和响应威胁的内容包的 SIEM 术语。 可以通过在连接每个连接器时激活建议的规则来部署 Microsoft Sentinel 内置用例。 解决方案是针对特定威胁域的一组用例。
“处理标识”网络研讨会(YouTube、MP4 或演示文稿)解释了用例是什么以及如何进行设计,并展示了几个共同解决身份威胁的用例。
另一个相关的解决方案领域是保护远程工作。 查看关于保护远程工作的 Ignite 会话,并阅读有关以下特定用例的详细信息:
使用 Microsoft Sentinel 监控缩放:自定义连接器、分析规则和搜寻查询。
使用 Microsoft Sentinel 监视 Azure 虚拟桌面:使用 Windows 安全事件、Microsoft Entra 登录日志、Microsoft Defender XDR for Endpoints 和 Azure 虚拟桌面诊断日志来检测和搜寻 Azure 虚拟桌面威胁。
使用查询和工作簿监视 Microsoft Intune。
最后,关注最近的攻击,了解如何使用 Microsoft Sentinel 监视软件供应链。
Microsoft Sentinel 解决方案提供产品内可发现性、单步部署,并支持在 Microsoft Sentinel 中启用端到端产品、域和/或垂直方案。 有关详细信息,请参阅关于 Microsoft Sentinel 内容和解决方案,并查看“创建自己的 Microsoft Sentinel 解决方案”网络研讨会:YouTube 或演示文稿。
第 4 部分:操作
模块 16:处理事件
生成 SOC 后,需要开始使用它。 “SOC 分析师生活中的一天”网络研讨会(YouTube、MP4 或演示文稿)引导你在 SOC 中使用 Microsoft Sentinel 对事件进行会审、调查和响应。
若要帮助使你的团队可在整个组织中以及与外部利益干系人无缝协作,请参阅从 Microsoft Sentinel 直接与 Microsoft Teams 集成。 查看“通过将 Microsoft Sentinel 与 Microsoft Teams 集成来减少 SOC 的 MTTR(平均响应时间)”网络研讨会。
你可能还想阅读有关事件调查的文档文章。 作为调查的一部分,你还将使用实体页获取有关与事件相关或被确定为调查的一部分的实体的详细信息。
Microsoft Sentinel 中的事件调查超出了核心事件调查功能。 可以使用工作簿和笔记本构建其他调查工具,下一部分会讨论笔记本:模块 17:搜寻。 还可以构建更多调查工具或根据你的特定需求修改现有工具。 示例包括:
调查见解工作簿提供了另一种调查事件的方法。
笔记本增强了调查体验。 阅读为何使用 Jupyter 进行安全调查?,并了解如何使用 Microsoft Sentinel 和 Jupyter 笔记本进行调查:
模块 17:搜寻
虽然到目前为止的大部分讨论都集中在检测和事件管理上,但搜寻是 Microsoft Sentinel 的另一个重要用例。 搜寻是主动搜索威胁,而不是对警报的被动响应。
搜寻仪表板会不断更新。 它显示由 Microsoft 安全分析师团队编写的所有查询以及已创建或修改的任何额外查询。 每个查询都提供它搜寻的内容以及它在哪种类型的数据上运行。 这些模板按其各种策略进行分组。 右侧的图标将对威胁类型进行分类,例如初始访问、暂留和渗透。 有关详细信息,请参阅通过 Microsoft Sentinel 搜寻威胁。
若要详细了解什么是搜寻以及 Microsoft Sentinel 如何支持它,请查看“威胁搜寻”介绍网络研讨会:YouTube、MP4 或演示文稿。 网络研讨会首先介绍新功能的更新。 若要了解搜寻,请从幻灯片 12 开始。 YouTube 视频已设置为从那里开始。
虽然介绍网络研讨会侧重于工具,但搜寻是关于安全性的。 我们的安全研究团队网络研讨会(YouTube、MP4、演示文稿)侧重于如何实际进行搜寻。
后续网络研讨会“使用 Microsoft Sentinel 进行 AWS 威胁搜寻”(YouTube、MP4 或演示文稿)通过展示高价值目标环境下的端到端搜寻场景,推动了这一点。
最后,你可以了解如何使用 Microsoft Sentinel 进行 SolarWinds 入侵后搜寻和 WebShell 搜寻,这些搜寻是由本地 Microsoft Exchange 服务器中的最新漏洞推动的。
模块 18:用户和实体行为分析 (UEBA)
新推出的 Microsoft Sentinel 用户和实体行为分析 (UEBA) 模块使你能够识别和调查组织内部的威胁及其潜在影响(无论它们是来自遭入侵的实体还是恶意的内部人员)。
Microsoft Sentinel 在从所有其连接的数据源中收集日志和警报的同时,还会跨时间和对等组对收集内容进行分析并生成组织实体(例如用户、主机、IP 地址和应用程序)的基线行为概况。 通过使用各种技术和机器学习功能,Microsoft Sentinel 可以识别异常活动,帮助分析师确定资产是否已遭入侵。 此外,Azure Sentinel 还可以确定特定资产的相对敏感度、识别对等组资产以及评估任何已遭入侵资产的潜在影响(“爆炸半径”)。 掌握这些信息后,你就可有效地设置调查和事件处理的优先级。
通过查看网络研讨会(YouTube、MP4 或演示文稿)来详细了解 UEBA,并阅读有关使用 UEBA 在 SOC 中进行调查的信息。
若要了解最近更新,请查看“Microsoft Sentinel 中用户实体行为分析的未来”网络研讨会。
模块 19:监视 Microsoft Sentinel 的运行状况
SIEM 运行的一部分是确保其顺利运行,这是 Azure Microsoft Sentinel 的一个不断发展的领域。 使用以下内容监视 Microsoft Sentinel 的运行状况:
Microsoft Sentinel 运行状况数据表提供有关运行状况偏离的见解,例如每个连接器的最新失败事件,或者状态从“成功”更改到“失败”的连接器,可用于创建警报和其他自动化操作。 有关详细信息,请参阅监视数据连接器的运行状况。 查看“数据连接器运行状况监视工作簿”视频。 以及获取异常通知。
使用代理运行状况解决方案(仅限 Windows)和检测信号表(Linux 和 Windows)监视代理。
成本管理也是 SOC 中的重要操作过程。 使用引入成本警报 Playbook 确保始终了解任何成本增加。
第 5 部分:高级
模块 20:使用 Microsoft Sentinel API 扩展和集成
作为云原生 SIEM,Microsoft Sentinel 是 API 优先系统。 每个功能都可以通过 API 进行配置和使用,从而轻松与其他系统集成并使用你自己的代码扩展 Microsoft Sentinel。 如果 API 听起来令人生畏,请不要担心。 使用 API 执行的任何操作也可通过 PowerShell 执行。
若要了解有关 Microsoft Sentinel API 的详细信息,请查看简短的介绍视频并阅读博客文章。 有关更深入的探讨,请查看“扩展和集成 Sentinel (API)”网络研讨会(YouTube、MP4 或演示文稿),并阅读博客文章扩展 Microsoft Sentinel:API、集成和管理自动化。
模块 21:构建自己的机器学习
Microsoft Sentinel 为实现你自己的机器学习算法提供了一个很好的平台。 我们称之为“构建自己的机器学习模型”或 BYO ML。 BYO ML 适用于高级用户。 如果要查找内置行为分析,请使用机器学习分析规则或 UEBA 模块,或编写你自己的基于 KQL 的行为分析规则。
若要从将自己的机器学习引入 Microsoft Sentinel 开始,请查看“构建自己的机器学习模型”视频,并阅读在 AI 沉浸式 Azure Sentinel SIEM 中构建自己的机器学习模型检测博客文章。 可能还需要参阅 BYO ML 文档。