考虑部署选项

已完成

若要部署概念证明环境,第一步是了解 Microsoft Sentinel 的功能和部署注意事项。

使用 Microsoft Sentinel 检索数据和监视事件

Microsoft Sentinel 检测连接的源中的数据事件,然后在需要操作时提醒你。 可以使用 Microsoft Sentinel 概述、仪表板和自定义查询来深入了解原始数据和潜在的恶意事件。

将连接器从 Microsoft Sentinel 部署到服务,以从 Contoso 管理要监视的不同数据源检索数据。 Microsoft Sentinel 检索服务中的日志数据后,会跨数据源执行关联。 可以通过使用 Azure Monitor Log Analytics 工作区来管理该数据。

Microsoft Sentinel 使用机器学习和 AI 执行以下操作:

  • 威胁搜寻
  • 警报检测
  • 事件快速响应

加入 Microsoft Sentinel

若要载入 Microsoft Sentinel,需要先启用它,然后连接数据源。

Microsoft Sentinel 附带了许多适用于 Microsoft 的连接器,和其他开箱即用的解决方案。 有一些连接器适用于:

  • Defender for Cloud
  • Microsoft 365 源,包括 Office 365
  • Azure AD
  • Azure ATP
  • Defender for Cloud Apps
  • 适用于合作伙伴解决方案的内置连接器
  • 适用于 Amazon Web Services 的内置连接器

另外,还有适用于非 Microsoft 解决方案的更广阔的安全生态系统的内置连接器。 你还可以使用通用事件格式 (CEF)、Syslog 和 REST API 通过 Microsoft Sentinel 连接数据源。 下图显示了此连接功能。

此图显示了到 Microsoft Sentinel 的多个数据连接。

Microsoft Sentinel 部署的关键因素

Contoso 首席系统工程师执行了研究,并确定了以下要点:

  • Microsoft Sentinel 需要到 Log Analytics 工作区的访问权限。 此过程创建 Log Analytics 工作区,并在该工作区之上启用 Microsoft Sentinel。
  • Microsoft Sentinel 是付费服务。
  • 自定义工作区的数据保留基于工作区定价层。 如果 Log Analytics 工作区与 Microsoft Sentinel 一起使用,则前 90 天的保留免费。
  • 若要启用 Microsoft Sentinel,你需要具有对 Microsoft Sentinel 工作区所在订阅的参与者权限。
  • 若要使用 Microsoft Sentinel,你需要具有对工作区所属的资源组的参与者或读者权限。

Microsoft Sentinel 在正式发布了 Log Analytics 的大多数区域中的工作区上运行。 刚发布 Log Analytics 的区域可能需要一些时间才能载入 Microsoft Sentinel 服务。 Microsoft Sentinel 生成的某些数据可能包含源自这些工作区的客户数据。 例如,事件、书签以及警报规则。 对于欧洲工作区,此数据保存在欧洲;对于澳大利亚工作区,此数据保存在澳大利亚;对于任何其他区域,此数据保存在美国东部。

如何部署 Microsoft Sentinel

请按照以下步骤启用 Microsoft Sentinel:

  1. 登录到 Azure 门户。

  2. 选择要在其中创建 Microsoft Sentinel 的订阅。 此帐户应具有:

    1. 将在其中创建 Microsoft Sentinel 工作区的订阅的参与者权限。

    2. Microsoft Sentinel 工作区将所属的资源组的参与者或读者权限。

  3. 搜索并选择“Microsoft Sentinel”,然后选择“添加”。 此时将显示消息“没有可显示的 Microsoft Sentinel 工作区”窗格。

  4. 选择“创建 Microsoft Sentinel”。 此时将显示“将 Microsoft Sentinel 添加到工作区”页。

  5. 选择“新建工作区”。 此时会显示“创建 Log Analytics 工作区”窗格。

  6. 在“基本信息”选项卡上,使用下拉列表选择以下值:

设置
项目详细信息
订阅 将 Sentinel 作为付费服务的订阅
资源组 具有参与者或读者权限的资源组
实例详细信息
名称 要用于 Log Analytics 工作区的唯一名称
区域 从下拉列表中,选择适用于 Sentinel 服务订阅的地理位置
  1. 选择“下一页: 定价层”

  2. 选择定价层。

  3. 选择“查看 + 创建”,等待 Azure 验证 Log Analytics 工作区的设置,然后选择“创建”。

  4. 创建工作区可能需要一些时间。 将工作区部署到资源组后,你将收到一条通知,工作区的名称将显示在“工作区”列表中。 选择 Azure 工具栏右上角的“通知”图标,然后选择“固定到仪表板”。

  5. 在“固定到仪表板”窗格上,选择“新建”,为仪表板提供名称,然后选择窗格底部的“添加”。 此时将显示工作区的 Microsoft Sentinel 仪表板。

  6. 在左侧菜单上选择“概述”。

监视数据馈送

Contoso 的首席系统工程师发现,连接安全源后,可以监视数据馈送。

让我们看看此 Sentinel 工作区的基本结构。 Sentinel 是一种云原生的实时安全信息和事件管理 (SIEM) 引擎,其中包含预定义的图表、关系图和自动化工具。 布局在首行中提供受监视事件、警报和事故的摘要计数,以及用于动态更改报告范围的下拉选择。 下面是 3 个面板,包含事件和事故的预定义图形图表。 下表中介绍的左侧菜单包含各种用于自定义和配置数据连接的内置工具。

菜单项 说明
常规
概述 已配置的事件和事故的复合图形视图。
日志 可针对 Azure 工作区的所有方面(包括应用程序、虚拟机和虚拟网络)运行的预定义查询。
资讯与指南 用于通过内置 playbook 创建数据连接、安全警报和自动化的初学者包。
威胁管理
事故 查看已配置的所有或已选中的警报和事件的实际访问权限。
工作簿 使用 Microsoft Sentinel 工作簿监视数据。
搜寻 使用基于 MITRE ATT&CK 框架的强大搜寻搜索和查询工具。 使用这些工具主动搜寻整个组织数据源中的安全威胁。
笔记本 从所有 SIEM 类别中的数十个社区提供的教程和模板中选择,并创建自己的库。
实体行为 基于帐户、主机或 IP 地址查看事件
威胁情报 使用深入调查工具,以了解范围并找出潜在安全威胁的根本原因。
配置
数据连接器 使用各种设备和平台设置与安全源的连接。 例如,选择“Azure 活动”以实时查看 Azure 活动日志。
Analytics Microsoft Sentinel 使用分析将警报和事件进行关联。 分析有助于减少干扰,并最大程度地减少要查看和调查的警报数。
Watchlist 创建自定义播放列表来筛选或阻止警报,以在 Sentinel 中提供重点事件报告。
自动化 利用与 Azure 服务互操作的 Playbook 自动执行常见任务和简化安全业务流程。 它们可以使用现有工具。
解决方案 为 Sentinel 仪表板创建和自定义端到端解决方案。
社区 Microsoft 安全分析师不断创建和添加新的工作簿、Playbook、搜寻查询等。 他们将其发布到社区,供所有人使用。

以下屏幕截图显示了“Microsoft Sentinel - 概述”窗格。 Microsoft Sentinel 可以显示实时图表和图形,帮助你了解安全操作的事件、警报和事故。

“Microsoft Sentinel - 概述”窗格的屏幕截图,包含多个图形和图表,包括一段时间发生的事件和警报、最近事件、潜在恶意事件以及事件、警报和事故总数。