訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
與 sentinel 整合Microsoft合作夥伴的最佳做法
本文會檢閱使用 Microsoft sentinel 建立您自己的整合解決方案的最佳做法和參考。
安全性作業 (SOC) 小組會使用 Microsoft Sentinel 來產生偵測並調查及補救威脅。 藉由與 Microsoft sentinel 整合,為客戶提供您的數據、偵測、自動化、分析和封裝專業知識,可讓 SOC 小組提供其處理知情安全性回應所需的資訊。
例如,您的整合可能會為下列任何目標增加價值:
從半結構化數據建立偵測 。 例如,您的整合可能會帶來新的記錄數據、可採取動作的智慧、分析規則、搜捕規則、引導式搜捕體驗或機器學習分析
參與Microsoft Sentinel 調查。 例如,您的整合可能會新增偵測、查詢或歷程記錄和支持的數據,例如額外的資料庫、弱點數據、合規性、數據等等。
Microsoft Sentinel 中的自動化。 例如,您的整合可能包含客戶環境和基礎結構內擴充、補救或協調流程安全性活動的規則。
我們建議您將整合封裝併發佈為Microsoft Sentinel 解決方案 ,讓聯合客戶能夠探索、部署及最大化合作夥伴整合的價值。 Microsoft Sentinel 解決方案會在 Azure Marketplace 中發佈,並出現在Microsoft Sentinel 內容中樞。
大部分Microsoft Sentinel 整合都是以數據為基礎,並且同時使用一般偵測引擎和功能完整的調查引擎。 這兩個引擎都會在內嵌至 Microsoft Sentinel 數據存放庫的數據上執行。
Microsoft Sentinel 適用於下列數據類型:
| 類型 | 描述 |
|---|---|
| 未處理的數據 | 支援偵測和搜捕程式。 分析可能有惡意活動跡象的原始作業數據。 將未處理的數據帶入Microsoft Sentinel,以使用Microsoft Sentinel 的內建搜捕和偵測功能,以識別新的威脅等等。 範例:Syslog 數據、透過 Syslog、應用程式、防火牆、驗證或存取記錄等的 CEF 數據。 |
| 安全性結論 | 建立警示可見性和相互關聯的機會。 警示和偵測是已對威脅做出的結論。 將所有活動和其他偵測放在內容中,Microsoft Sentinel 調查中可見的其他偵測,為分析師節省時間,並建立事件更完整的畫面,進而產生更佳的優先順序和更好的決策。 範例:反惡意代碼警示、可疑進程、與已知不良主機的通訊、封鎖的網路流量,以及可疑的登入、偵測到的密碼噴灑攻擊、識別的網路釣魚攻擊、數據外洩事件等等。 |
| 參考數據 | 使用參考的環境建置內容、節省調查工作和提高效率。 範例:CMDB、高價值資產資料庫、應用程式相依性資料庫、IP 指派記錄、用於擴充的威脅情報集合等等。 |
| 威脅情報 | 藉由提供已知威脅的指標來提供威脅偵測能力。 威脅情報可以包含代表立即威脅的目前指標或未來預防所保留的歷史指標。 歷程記錄數據集通常很大,而且最好是隨選參考,而不是直接匯入至 sentinel Microsoft。 |
每種數據類型都支援Microsoft Sentinel 中的不同活動,而且許多安全性產品同時使用多種數據類型。
Microsoft Sentinel 的監視和偵測功能會建立自動化偵測,以協助客戶調整其 SOC 小組的專業知識。
下列各節說明您可以包含在整合解決方案中的監視和偵測元素:
威脅偵測或分析規則是複雜的偵測,可建立精確且有意義的警示。
將分析規則新增至您的整合,以協助您的客戶從Microsoft Sentinel 中的系統獲益。 例如,分析規則可協助提供有關整合所提供數據中可偵測到之活動的專業知識和見解。
分析是以查詢為基礎的規則,可透過客戶Microsoft Sentinel 工作區中的數據執行,而且可以:
- 輸出警示,這是值得注意的事件
- 輸出事件,這是調查單位
- 觸發自動化劇本
您可以在解決方案中包含分析規則,以及透過Microsoft Sentinel ThreatHunters 社群來新增分析規則。 透過社群參與,以鼓勵社群對合作夥伴源數據產生創意,協助客戶進行更可靠且有效的偵測。
Microsoft Sentinel 提供一組豐富的搜捕功能,可用來協助客戶在提供的數據中尋找未知的威脅。 您可以在整合中包含戰術搜捕查詢,以醒目提示特定知識,甚至是完整的引導式搜捕體驗。
您建立的整合也可以包含視覺效果,以協助客戶管理和瞭解您的數據,包括圖形檢視,了解數據流入Microsoft Sentinel 的方式,以及它對偵測的貢獻程度。
可自定義儀錶板上的視覺效果所提供的清晰性,可以醒目提示您的合作夥伴對客戶的價值。
Microsoft Sentinel 調查圖表可讓調查人員在需要時提供相關數據,並透過連線實體提供安全性事件和警示的可見度。 調查人員可以使用調查圖表來尋找相關或相關的事件,以參與正在調查的威脅。
合作夥伴可以藉由提供下列專案來參與調查圖表:
- Microsoft Sentinel 警示和事件,透過合作夥伴解決方案中的分析規則建立
- 合作夥伴提供數據的自定義探索查詢 。 自定義探索查詢可為安全性調查人員提供數據與深入解析之間的豐富探索和連線能力。
Microsoft Sentinel 的協調與補救功能可支援需要快速且準確地協調及啟用補救的客戶。
在整合解決方案中包含自動化劇本,以支援具有豐富自動化的工作流程,並在客戶環境中執行安全性相關工作。 例如,整合劇本可透過下列任何方式來協助,以及更多功能:
- 協助客戶在合作夥伴產品中設定安全策略
- 收集額外的數據以通知調查決策
- 將Microsoft Sentinel 事件連結至外部管理系統
- 跨合作夥伴解決方案整合警示生命週期管理
下列各節說明常見的合作夥伴整合案例,以及每個案例解決方案中要包含之項目的建議。
案例:您的產品會產生可通知或對於安全性調查而言非常重要的數據。 您的產品不一定包含現用的偵測。
範例:提供某種形式的記錄數據的產品包括防火牆、雲端應用程式安全性代理程式、實體存取系統、Syslog 輸出、商業上可用的企業建置 LOB 應用程式、伺服器、網路元數據、Syslog 或 CEF 格式的 Syslog,或 JSON 格式透過 REST API 傳遞的任何專案。
如何在 Microsoft Sentinel 中使用您的數據:透過數據連接器將產品的數據匯入至 Microsoft Sentinel,以提供分析、搜捕、調查、視覺效果等等。
要建置的專案:在此案例中,在您的解決方案中包含下列元素:
| 類型 | 要包含的專案 |
|---|---|
| 必要 | - Microsoft Sentinel 數據連接器,可在入口網站中傳遞數據並連結其他自定義專案。 範例數據查詢 |
| 建議需求 | -練習 冊 - 分析規則,以Microsoft Sentinel 中建置以數據為基礎的偵測 |
| 選擇性 | - 搜捕查詢,為獵人提供搜捕時要使用的現用查詢 - 筆記本,以提供完整引導、可重複的搜捕體驗 |
案例:您的產品提供偵測來補充來自其他系統的警示和事件
範例:反惡意代碼、企業偵測和回應解決方案、網路偵測和回應解決方案、郵件安全性解決方案,例如防網路釣魚產品、弱點掃描、行動裝置管理解決方案、UEBA 解決方案、資訊保護服務等等。
如何在 Microsoft Sentinel 中使用您的數據:讓您的偵測、警示或事件可在 Microsoft Sentinel 中顯示,以內容顯示客戶環境中可能發生的其他警示和事件。 也請考慮傳遞記錄和元數據來提供偵測功能,作為調查的額外內容。
要建置的專案:在此案例中,在您的解決方案中包含下列元素:
| 類型 | 要包含的專案 |
|---|---|
| 必要 | Microsoft Sentinel 數據連接器,可在入口網站中傳遞數據並連結其他自定義專案。 |
| 建議需求 | 分析規則,從您的偵測中建立Microsoft Sentinel 事件,有助於調查 |
案例:您的產品提供威脅情報指標,可為客戶環境中發生的安全性事件提供內容
範例:TIP 平臺、STIX/TAXII 集合,以及公用或授權的威脅情報來源。 參考數據,例如 WhoIS、GeoIP 或新觀察到的網域。
如何在 Microsoft Sentinel 中使用您的數據:將目前的指標傳遞至Microsoft Sentinel,以便跨Microsoft偵測平臺使用。 透過遠端訪問,針對擴充案例使用大規模或歷程記錄數據集。
要建置的專案:在此案例中,在您的解決方案中包含下列元素:
| 類型 | 要包含的專案 |
|---|---|
| 目前的威脅情報 | 建置 GSAPI 數據連接器,將指標推送至Microsoft Sentinel。 提供 STIX 2.0 或 2.1 TAXII 伺服器,客戶可與現成的 TAXII 數據連接器搭配使用。 |
| 歷程記錄指標和/或參考數據集 | 提供邏輯應用程式連接器來存取數據,以及將數據導向至正確位置的擴充工作流程劇本。 |
案例:您的產品提供額外的內容數據,以Microsoft Sentinel 為基礎進行調查。
範例:額外的內容 CMDB、高價值資產資料庫、VIP 資料庫、應用程式相依性資料庫、事件管理系統、票證系統
如何在 Microsoft Sentinel 中使用您的數據:在 Microsoft Sentinel 中使用您的數據來擴充警示和事件。
要建置的專案:在此案例中,在您的解決方案中包含下列元素:
- 邏輯 應用程式連線程式
- 擴充工作流程劇本
- 外部事件生命週期管理工作流程(選擇性)
案例:您的產品可以在 Azure 原則 和其他系統中實作安全策略
範例:防火牆、NDR、EDR、MDM、身分識別解決方案、條件式存取解決方案、實體存取解決方案或其他支持封鎖/允許或其他可採取動作安全策略的產品
如何在 Microsoft Sentinel 中使用您的數據:Microsoft Sentinel 動作和工作流程,以補救和響應威脅
要建置的專案:在此案例中,在您的解決方案中包含下列元素:
- 邏輯 應用程式連線程式
- 動作工作流程劇本
所有Microsoft Sentinel 技術整合都是從Microsoft Sentinel GitHub 存放庫和貢獻指引開始。
當您準備好開始處理Microsoft Sentinel 解決方案時,請在建置Microsoft Sentinel 解決方案指南中尋找提交、封裝和發佈指示。
Microsoft提供計劃來協助合作夥伴Microsoft客戶:
Microsoft合作夥伴網路 (MPN) 。 與 Microsoft 合作的主要計畫是 Microsoft 合作夥伴網路。 MPN 的成員資格必須成為 Azure Marketplace 發行者,也就是發佈所有Microsoft Sentinel 解決方案的位置。
Azure Marketplace。 Microsoft Sentinel 解決方案會透過 Azure Marketplace 傳遞,這是客戶探索及部署Microsoft和合作夥伴提供的一般 Azure 整合的位置。
Microsoft Sentinel 解決方案是 Marketplace 中找到的許多供應項目類型之一。 您也可以尋找內嵌在 Microsoft Sentinel 內容中樞的解決方案供應專案
Microsoft智慧型手機安全性協會(MISA)。 MISA 為Microsoft安全性合作夥伴提供協助,協助建立與Microsoft客戶的合作夥伴建立整合,並協助提供Microsoft安全性產品整合的可探索性。
加入MISA計劃需要參與Microsoft安全性產品小組的提名。 建置下列任何整合可以符合提名資格的合作夥伴:
- Microsoft Sentinel 數據連接器和相關聯的內容,例如活頁簿、範例查詢和分析規則
- 已發佈的Logic Apps連接器和Microsoft Sentinel劇本。
- 以案例為基礎的 API 整合
若要要求 MISA 提名檢閱或提出問題,請連絡 AzureSentinelPartner@microsoft.com。
如需詳細資訊,請參閱
資料收集:
威脅偵測:
搜捕和筆記本
視覺效果: 將收集的數據可視化。
調查: 使用 Microsoft Sentinel 調查事件。
回應:
其他資源
文件
-
瞭解內容中樞中提供Microsoft Sentinel 的網域特定解決方案,以及在哪裡尋找完整的解決方案清單。
-
瞭解 Microsoft Sentinel 內容和解決方案,其中包含與資料連接器一起封裝的資料分析工具。
-
使用資料連接器將資料連接至 Microsoft Sentinel
瞭解如何在 Sentinel Microsoft 安裝和設定數據連接器。