考虑部署选项
若要部署概念证明环境,第一步是了解 Microsoft Sentinel 的功能和部署注意事项。
使用 Microsoft Sentinel 检索数据和监视事件
Microsoft Sentinel 检测连接的源中的数据事件,然后在需要操作时提醒你。 可以使用 Microsoft Sentinel 概述、仪表板和自定义查询来深入了解原始数据和潜在的恶意事件。
将连接器从 Microsoft Sentinel 部署到服务,以从组织管理要监视的不同数据源检索数据。 Microsoft Sentinel 检索服务中的日志数据后,会跨数据源执行关联。 可以通过使用 Azure Monitor Log Analytics 工作区来管理该数据。
Microsoft Sentinel 使用机器学习和 AI 执行以下操作:
- 威胁搜寻
- 警报检测
- 事件快速响应
加入 Microsoft Sentinel
若要载入 Microsoft Sentinel,需要先启用它,然后连接数据源。
Microsoft Sentinel 附带解决方案和独立内容,其中包括适用于 Microsoft 和产品的现成数据连接器。 有一些连接器适用于:
- Microsoft Defender for Cloud
- Microsoft 365 源,包括 Office 365
- Microsoft Entra ID
- Microsoft Defender for Cloud Apps
- 合作伙伴解决方案
- Amazon Web Services
另外,还有更广泛的非 Microsoft 解决方案安全生态系统适用的现成连接器。 你还可以使用通用事件格式 (CEF)、Syslog 和 REST API 通过 Microsoft Sentinel 连接数据源。 下图显示了此连接功能。
Microsoft Sentinel 部署的关键因素
组织的首席系统工程师进行了研究,并确定了以下要点:
- Microsoft Sentinel 需要到 Log Analytics 工作区的访问权限。 此过程创建 Log Analytics 工作区,并在该工作区之上启用 Microsoft Sentinel。
- Microsoft Sentinel 是付费服务。
- 自定义工作区的数据保留基于工作区定价层。 如果 Log Analytics 工作区与 Microsoft Sentinel 一起使用,则前 90 天的保留免费。
- 若要启用 Microsoft Sentinel,你需要具有对 Microsoft Sentinel 工作区所在订阅的参与者权限。
- 若要安装和管理现成的解决方案和独立内容(例如数据连接器、分析规则等),需要具有对工作区所属资源组的“模板规范参与者”权限。
- 若要使用 Microsoft Sentinel,你需要具有对工作区所属的资源组的参与者或读者权限。
Microsoft Sentinel 在正式发布了 Log Analytics 的大多数区域中的工作区上运行。 刚发布 Log Analytics 的区域可能需要一些时间才能载入 Microsoft Sentinel 服务。 Microsoft Sentinel 生成的某些数据可能包含源自这些工作区的客户数据。 例如,事件、书签以及警报规则。 对于欧洲工作区,此数据保存在欧洲;对于澳大利亚工作区,此数据保存在澳大利亚;对于任何其他区域,此数据保存在美国东部。
如何部署 Microsoft Sentinel
请按照以下步骤启用 Microsoft Sentinel:
登录到 Azure 门户。
选择要在其中创建 Microsoft Sentinel 的订阅。 此帐户应具有:
将在其中创建 Microsoft Sentinel 工作区的订阅的参与者权限。
Microsoft Sentinel 工作区将所属的资源组的参与者或读者权限。
搜索并选择“Microsoft Sentinel”,然后选择“添加”。 此时将显示消息“没有可显示的 Microsoft Sentinel 工作区”窗格。
选择“创建 Microsoft Sentinel”。 此时将显示“将 Microsoft Sentinel 添加到工作区”页。
选择“新建工作区”。 此时会显示“创建 Log Analytics 工作区”窗格。
在“基本信息”选项卡上,使用下拉列表选择以下值:
设置 值 项目详细信息 订阅 将 Sentinel 作为付费服务的订阅 资源组 具有参与者或读者权限的资源组 实例详细信息 名称 要用于 Log Analytics 工作区的唯一名称 区域 从下拉列表中,选择适用于 Sentinel 服务订阅的地理位置 选择“下一页: 定价层”
选择定价层。
选择“查看 + 创建”,等待 Azure 验证 Log Analytics 工作区的设置,然后选择“创建”。
创建工作区可能需要一些时间。 将工作区部署到资源组后,你将收到一条通知,工作区的名称将显示在“工作区”列表中。 选择 Azure 工具栏右上角的“通知”图标,然后选择“固定到仪表板”。
在“固定到仪表板”窗格上,选择“新建”,为仪表板提供名称,然后选择窗格底部的“添加”。 此时将显示工作区的 Microsoft Sentinel 仪表板。
在左侧菜单上选择“概述”。
监视数据馈送
组织的首席系统工程师发现:连接安全源后,可以监视数据馈送。
让我们看看此 Sentinel 工作区的基本结构。 Sentinel 是一种云原生的实时安全信息和事件管理 (SIEM) 引擎,其中包含预定义的图表、关系图和自动化工具。 布局在首行中提供受监视事件、警报和事故的摘要计数,以及用于动态更改报告范围的下拉选择。 下面是三个面板,包含事件和事故的预定义图形图表。 下表中介绍的左侧菜单包含各种用于自定义和配置数据连接的内置工具。
| 菜单项 | 说明 |
|---|---|
| 常规 | |
| 概述 | 已配置的事件和事故的复合图形视图。 |
| 日志 | 可针对 Azure 工作区的所有方面(包括应用程序、虚拟机和虚拟网络)运行的预定义查询。 |
| 资讯与指南 | 新增功能、入门指南和免费试用版信息。 |
| 搜索 | 在所有日志中搜索事件。 筛选符合条件的事件。 |
| 威胁管理 | |
| 事故 | 查看已配置的所有或已选中的警报组和事件的实际访问权限。 |
| 工作簿 | 使用 Microsoft Sentinel 工作簿监视数据。 |
| 搜寻 | 使用基于 MITRE ATT & CK 框架的强大搜寻搜索和查询工具。 使用这些工具主动搜寻整个组织数据源中的安全威胁。 |
| 笔记本 | 从所有 SIEM 类别中的数十个社区提供的教程和模板中选择,并创建自己的库。 |
| 实体行为 | 基于帐户、主机或 IP 地址查看事件 |
| 威胁情报 | 使用深入调查工具,以了解范围并找出潜在安全威胁的根本原因。 |
| MITRE ATT&CK | 根据攻击者经常利用的可公开访问的策略和技术知识库,直观显示组织安全状态和安全覆盖范围。 |
| 内容管理 | |
| 内容中心 | 安装和管理现成的解决方案和独立内容。 |
| 存储库 | 以代码形式部署和管理 Microsoft Sentinel 的自定义内容。 |
| 社区 | 获取社区新闻以及 Microsoft Sentinel 博客和论坛的链接。 |
| 配置 | |
| 数据连接器 | 使用各种设备和平台设置与安全源的连接。 例如,选择“Azure 活动”以实时查看 Azure 活动日志。 |
| Analytics | Microsoft Sentinel 使用分析将警报和事件进行关联。 分析有助于减少干扰,并最大程度地减少要查看和调查的警报数。 |
| Watchlist | 创建自定义播放列表来筛选或阻止警报,以在 Sentinel 中提供重点事件报告。 |
| 自动化 | 利用与 Azure 服务互操作的 Playbook 自动执行常见任务和简化安全业务流程。 它们可以使用现有工具。 |
| 设置 | 查找定价详细信息、功能设置和工作区设置。 |
以下屏幕截图显示了“Microsoft Sentinel - 概述”窗格。 Microsoft Sentinel 可以显示实时图表和图形,帮助你了解安全操作的事件、警报和事故。
