本文討論 Microsoft Sentinel 解決方案的不同組成部分,以及它們如何協同合作,以應對重要的客戶情境。
Sentinel平台包含資料湖、圖表、Jupyter 筆記本作業、MCP) 伺服器 (模型上下文協定,以及超過 300 個Sentinel連接器的資料,協助客戶以成本效益的方式集中管理與分析其安全資料。 這些功能加上 Microsoft Security Copilot,使客戶與合作夥伴能創造具影響力的解決方案,並可透過 Microsoft Security Store 發布。
Sentinel SIEM 被安全運維 (SOC) 團隊用來產生偵測、調查惡意行為並修復威脅。 透過建立 Sentinel 連接器以引入新資料,並製作分析規則、操作手冊、搜尋查詢、解析器與工作簿等內容,合作夥伴能協助 SOC 團隊取得識別威脅並適當回應所需的資訊。 Sentinel SIEM 解決方案透過 Sentinel 的內容中心發佈。
資料收集
無論您是在打造使用平台元件的解決方案,或是針對 Sentinel SIEM 整合,擁有適合您情境的正確數據都至關重要。
Sentinel Connectors 將資料帶入 Sentinel,然後可利用 Jupyter 筆記本和工作在湖中分析,或透過 Sentinel SIEM 內容(如分析規則與搜尋查詢)處理。
這些資料可能包括以下類型:
| 類型 | 描述 |
|---|---|
| 未處理的資料 | 支援偵測與狩獵流程。 分析可能存在惡意活動跡象的原始操作資料。 將未處理的資料帶到 Microsoft Sentinel,利用 Microsoft Sentinel 內建的搜尋與偵測功能來識別新的威脅及更多資訊。 範例:Syslog 資料、CEF 資料(over Syslog)、應用程式、防火牆、認證或存取日誌等。 |
| 安全結論 | 創造警示可見性與相關性的機會。 警報與偵測是對威脅已經做出的結論。 將偵測與 Microsoft Sentinel 調查中所有活動及其他偵測事件的脈絡中置置,能節省分析師時間,並建立更完整的事件全貌,進而提升優先順序與決策。 例如:反惡意軟體警示、可疑程序、與已知不良主機的通訊、被阻擋的網路流量及其原因、可疑登入、偵測到的密碼噴射攻擊、識別出的網路釣魚攻擊、資料外洩事件等等。 |
| 參考資料 | 透過參考環境建立上下文,節省調查工作量並提升效率。 範例包括:CMDB、高價值資產資料庫、應用程式相依資料庫、IP 指派日誌、用於豐富化的威脅情報收集等等。 |
| 威脅情報 | 透過提供已知威脅的指標來強化威脅偵測能力。 威脅情報可以包含代表即時威脅的當前指標,或是保留以供未來預防的歷史指標。 歷史資料集通常規模龐大,最好直接在原地臨時參照,而非直接匯入 Microsoft Sentinel。 |
解析器
解析器是 KQL 函式,能將第三方產品的自訂資料轉換成正規化的 ASIM 結構。 正規化確保 SOC 分析師不必學習新架構的細節,而是在已熟悉的正規化架構上建立分析規則與搜尋查詢。 檢視Microsoft Sentinel提供的可用 ASIM 架構,找出相關的 ASIM 架構 (一個或多個資料) ,以確保 SOC 分析師更容易上手,並確保現有為 ASIM 架構撰寫的安全內容能直接適用於您的產品資料。 欲了解更多可用的 ASIM 結構資訊,請參閱 ASIM) schemas (Advanced Security Information Model。
視覺化
你可以加入視覺化,幫助客戶管理與理解你的資料,透過圖形化檢視資料流入 Microsoft Sentinel 的狀況,以及它對偵測的貢獻程度。
你可以加入視覺化,幫助客戶管理與理解你的資料,透過圖形化檢視資料流入 Microsoft Sentinel 的狀況,以及它對偵測的貢獻程度。
監測與偵測
Sentinel 的監控與偵測功能能自動產生偵測,協助客戶擴展 SOC 團隊的專業知識。
以下章節將介紹你可以納入解決方案中的監控與偵測元素。
Security Copilot 代理
Security Copilot 代理自動化重複性工作並減少手動工作量。 它們提升雲端、資料安全與隱私、身份及網路安全的安全與資訊科技運作。 對於 Sentinel,代理可以查詢 SIEM 或資料湖,並呼叫 API 來豐富 Microsoft Sentinel 的資料。 他們可以利用筆記本工作進行密集的資料處理或分析,並使用各種外掛程式。
Jupyter 筆記本工作
Jupyter 筆記本工作提供強大的工具,用於執行複雜資料轉換及使用 Sentinel Data 湖中的 Spark 工作執行機器學習模型。 Security Copilot 代理可使用它們,提供一種確定性且高效的資料分析與摘要方式,並持續執行。 筆記本工作可以將自訂資料表寫入分析層與資料湖,供下游元件如代理、工作簿、狩獵查詢等使用。
分析規則
分析規則是先進的偵測機制,能產生準確且有意義的警示。
在您的解決方案中加入分析規則,幫助客戶在 Microsoft Sentinel 中受益於系統中的數據。 例如,分析規則可以幫助提供專業知識與洞見,說明整合所提供資料中可偵測的活動。
它們可以輸出) (重要事件、事件 (調查單位) ,或觸發自動化操作手冊的警示。
你可以透過解決方案中加入分析規則,並透過 Microsoft Sentinel ThreatHunters 社群加入。 透過社群貢獻,鼓勵社群創意勝過合作夥伴來源的數據,幫助客戶獲得更可靠且有效的偵測。
狩獵查詢
搜尋查詢讓 SOC 分析師能主動尋找目前排程分析規則無法偵測到的新異常。 搜尋查詢引導 SOC 分析師提出正確問題,從 Microsoft Sentinel 現有資料中找出問題,並協助識別潛在威脅情境。 透過加入搜尋查詢,你能幫助客戶在你提供的資料中找到未知威脅。
Workbooks
工作簿提供互動式報告與儀表板,幫助使用者視覺化安全資料並識別資料中的模式。 是否需要工作簿取決於具體的使用情境。 在設計解決方案時,請思考哪些情境可能以視覺化方式解釋,特別是用來追蹤效能的情境。
調查
Sentinel 調查圖譜在調查人員需要時提供相關資料,透過連結實體提供安全事件與警示的可視性。 調查人員可以利用調查圖表找出相關或相關、對正在調查的威脅有貢獻的事件。
合作夥伴可透過提供以下條件來貢獻調查圖:
- Microsoft Sentinel 警示與事件,透過合作夥伴解決方案中的分析規則產生。
- 針對合作夥伴提供資料的客製化探索查詢。 客製化探索查詢為資安調查人員提供了豐富的資料與洞察連結。
回應
Playbook 支援工作流程,具備豐富的自動化功能,能在客戶環境中執行與安全相關的任務。 他們對於確保SOC分析師不會被戰術性項目過度負擔,並能專注於更策略性且更深層的漏洞根本原因至關重要。 例如,若偵測到高嚴重性警報,操作手冊可自動啟動一系列行動,如通知資安團隊、隔離受影響系統,並收集相關日誌以供進一步分析。
例如,戰術手冊可以在以下任一方面提供幫助,甚至更多:
- 協助客戶在合作夥伴產品中配置安全政策
- 蒐集額外資料以指導調查決策
- 將 Microsoft Sentinel 事件與外部管理系統連結
- 整合警示生命週期管理跨合作夥伴解決方案
在設計解決方案時,請思考可採取的自動化行動,以解決由解決方案中定義的分析規則所產生的事件。
Sentinel SIEM 情境範例
以下章節描述常見的合作夥伴情境,以及針對每種情境應包含的解決方案建議。
您的產品產生對資安調查至關重要的資料
情境:您的產品產生可用於資安調查的資料。
舉例:提供某種形式日誌資料的產品包括防火牆、雲端應用程式安全代理、實體存取系統、Syslog 輸出、商業及企業級開發的 LOB 應用程式、伺服器、網路元資料,以及任何可透過 Syslog 以 Syslog 或 CEF 格式交付,或透過 REST API 以 JSON 格式交付的內容。
如何在 Microsoft Sentinel 中使用你的資料:透過資料連接器將產品資料匯入 Microsoft Sentinel,提供分析、搜尋、調查、視覺化等功能。
該建什麼:在這種情況下,請在解決方案中包含以下元素:
| 類型 | 包含要素 |
|---|---|
| Required | - 一個 Microsoft Sentinel 資料連接器,用於傳送資料並連結入口網站中的其他自訂功能。 範例資料查詢 |
| 建議 | - 工作手冊 - 分析規則,基於 Microsoft Sentinel 資料建立偵測 |
| Optional | - 狩獵查詢,提供獵人狩獵時可使用的跳脫框架查詢 - 筆記本,提供完全導覽且可重複的狩獵體驗 |
你的產品提供偵測功能
情境:您的產品提供與來自其他系統的警示與事件的偵測功能
範例包括:反惡意軟體、企業偵測與回應解決方案、網路偵測與回應解決方案、郵件安全解決方案(如反釣魚產品)、漏洞掃描、行動裝置管理解決方案、UEBA 解決方案、資訊保護服務等等。
如何在 Microsoft Sentinel 中使用您的資料:將您的偵測、警報或事件資料放在 Microsoft Sentinel 中,並與其他可能發生在客戶環境中的警報和事件一同顯示。 也考慮提供驅動偵測的日誌和元資料,作為調查的額外背景。
該建什麼:在這種情況下,請在解決方案中包含以下元素:
| 類型 | 包含要素 |
|---|---|
| Required | 一個 Microsoft Sentinel 資料連接器,用來傳送資料並連結入口網站中的其他自訂功能。 |
| 建議 | Analytics 規則,能根據你的偵測產生對調查有幫助的 Microsoft Sentinel 事件 |
您的產品提供威脅情報指標
情境:您的產品提供威脅情報指標,能為客戶環境中發生的安全事件提供背景說明
範例:TIP 平台、STIX/TAXII 收集,以及公開或授權的威脅情報來源。 參考資料,例如 WhoIS、GeoIP 或新觀察到的網域。
如何在 Microsoft Sentinel 中使用您的資料:將當前指標傳送至 Microsoft Sentinel,以便在 Microsoft 偵測平台上使用。 利用大規模或歷史資料集進行濃縮情境,透過遠端存取。
該建什麼:在這種情況下,請在解決方案中包含以下元素:
| 類型 | 包含要素 |
|---|---|
| 當前威脅情報 | 建立一個 GSAPI 資料連接器,將指標推送到 Microsoft Sentinel。 提供一台 STIX 2.0 或 2.1 TAXII 伺服器,供客戶搭配原廠的 TAXII 資料連接器使用。 |
| 歷史指標及/或參考資料集 | 提供一個邏輯應用程式連接器來存取資料,以及一個豐富工作流程手冊,將資料導向正確位置。 |
你的產品為調查提供了額外的背景
情境:您的產品為基於 Microsoft Sentinel 的調查提供額外的情境資料。
範例:額外上下文管理資料庫(CMDB)、高價值資產資料庫、VIP 資料庫、應用程式依賴資料庫、事件管理系統、工單系統
如何在 Microsoft Sentinel 中使用你的資料:利用你的資料在 Microsoft Sentinel 中豐富警示與事件。
該建什麼:在這種情況下,請在解決方案中包含以下元素:
- 一個 Logic App 連接器
- 豐富化工作流程手冊
- 外部事件生命週期管理工作流程 (可選)
你的產品可以實作安全政策
情境:您的產品可以在 Azure 原則及其他系統中實作安全政策
範例:防火牆、NDR、EDR、MDM、身份解決方案、條件存取解決方案、實體存取解決方案,或其他支援封鎖/允許或其他可執行安全政策的產品
如何在 Microsoft Sentinel 中使用您的資料:Microsoft Sentinel 的行動與工作流程,協助修復與回應威脅
該建什麼:在這種情況下,請在解決方案中包含以下元素:
- 一個 Logic App 連接器
- 行動工作流程手冊
入門參考資料
所有 Microsoft Sentinel 與 SIEM 的整合皆始於 Microsoft Sentinel GitHub 倉庫與貢獻指引。
當您準備好開始開發 Microsoft Sentinel 解決方案時,請參閱《建置 Microsoft Sentinel 解決方案指南》中的提交、打包與發佈說明。
進入市場
Microsoft 提供以下計畫協助合作夥伴接近 Microsoft 客戶:
Microsoft MPN) (合作夥伴網絡 。 與 Microsoft 合作的主要計畫是 Microsoft 合作夥伴網絡。 成為 Azure Marketplace 出版商必須成為 MPN 會員,所有 Microsoft Sentinel 解決方案皆在此發布。
Azure Marketplace. Microsoft Sentinel 解決方案透過 Azure Marketplace 提供,客戶在此發現並部署 Microsoft 及合作夥伴提供的通用 Azure 整合。
Microsoft Sentinel 解決方案是市場上眾多商品類型之一。 您也可以在 Microsoft Sentinel 內容中心中找到內嵌的解決方案
Microsoft 智慧安全協會 (MISA) 。 MISA 為 Microsoft Security Partners 提供協助,提升 Microsoft 客戶對合作夥伴整合的認知,並協助 Microsoft Security 產品整合的可發現性。
加入 MISA 計畫需獲得參與的 Microsoft 安全產品團隊的提名。 建立以下任一整合系統,合作夥伴皆可獲得提名資格:
- 一個 Microsoft Sentinel 資料連接器及相關內容,如工作簿、範例查詢與分析規則
- 已發佈的 Logic Apps 連接器與 Microsoft Sentinel playbooks
- API 整合,視個案而定
如需申請MISA提名審查或有疑問,請聯絡 AzureSentinelPartner@microsoft.com。
後續步驟
如需詳細資訊,請參閱:
資料收集:
- 資料收集最佳實務
- Microsoft Sentinel data connectors
- 尋找你的 Microsoft Sentinel 資料連接器
- 了解 Microsoft Sentinel 中的威脅情報
威脅偵測:
- 在 Microsoft Sentinel 中自動化事件處理,並使用自動化規則
- 調查使用 Microsoft Sentinel 的事件
- 在 Microsoft Sentinel 中使用 Playbooks 自動化威脅應對
狩獵與筆記本:
視覺化: 視覺化收集到的資料。
調查:調查與 Microsoft Sentinel 相關的事件。
回應: