Applied Skills 评估实验室的学习指南：使用 Microsoft Sentinel 配置 SIEM 安全运营

本文档的目的

本学习指南汇总了评估实验室中介绍的主题，还提供其他资源帮助你进行准备。 请注意，凭据详细信息页上的学习路径可能包含比“执行的任务”还要多的模块，以提供一致的学习体验。

任务概览

创建和配置 Microsoft Sentinel 工作区

• 创建 Log Analytics 工作区，包括区域选项

• 将 Microsoft Sentinel 部署到工作区

• 向用户分配 Microsoft Sentinel RBAC 角色

• 配置数据保留

  支持模块：

  • 创建和管理 Microsoft Sentinel 工作区

部署 Microsoft Sentinel 内容中心解决方案

• 安装 Microsoft Sentinel 内容中心解决方案

• 设置数据连接器

• 安装并配置“经由 AMA 的 Windows 安全事件”连接器

  支持模块：

  • 将 Microsoft 服务连接到 Microsoft Sentinel

在 Microsoft Sentinel 中配置分析规则

• 执行一个攻击

• 查询 Microsoft Sentinel 日志来查找该攻击

• 创建分析规则

• 通过执行另一个攻击来测试分析规则

  支持模块：

  • 使用 Microsoft Sentinel 分析进行威胁检测

  • 将 Windows 主机连接到 Microsoft Sentinel

配置 Microsoft Sentinel 中的自动化

• 创建并运行一个 Microsoft Sentinel playbook

• 配置分析规则以运行 playbook

• 配置自动化规则

  支持模块：

  • Microsoft Sentinel 中的自动化