简介
部署 Microsoft Sentinel 并将其连接到数据源,以提供对整个企业的安全警报的实时分析。
假设你在伦敦一家中型金融服务公司工作,该公司在纽约市设有分公司。 该组织在其环境中提供以下产品和服务:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID 保护
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud
- Microsoft Defender XDR
- Microsoft Purview 信息保护
- Microsoft Intune
该组织使用 Microsoft Defender for Cloud 的免费云安全态势管理功能。 但是,组织计划移动到标准付费版本,以便为在 Azure 和本地上运行的资源获取威胁防护。 该组织还有其他非 Microsoft 资产需要监视和保护。
组织的安全分析师面临巨大的会审压力。 他们处理来自多个产品的大量警报。 他们通过下列方式关联警报:
- 从不同的产品仪表板手动关联
- 通过使用传统的关联引擎
此外,设置和维护 IT 基础结构所用的时间使安全操作 (SecOps) 团队失去了其安全任务。
IT 主管认为,Microsoft Sentinel 将帮助安全分析师更快地执行复杂的调查并改进其 SecOps。
作为组织的首席系统工程师和 Azure 管理员,你需要设置概念证明试用环境。 此试用环境将验证 Microsoft Sentinel 能否帮助组织的 SecOps 团队在网络攻击造成伤害之前有效地识别和阻止它们。
在本模块中,你将了解 Microsoft Sentinel 部署注意事项,包括:
- 角色和权限的配置
- 数据源与 Microsoft Sentinel 的连接
- Microsoft Sentinel 日志数据的管理
学习目标
完成此模块后,你将能够:
- 启用 Microsoft Sentinel。
- 将连接器从 Microsoft Sentinel 部署到要监视的服务。
- 管理连接器收集的 Microsoft Sentinel 日志数据。