Microsoft Sentinel 技能提升訓練
本文將逐步引導您完成 400 級訓練,以協助您提升 Microsoft Sentinel 的技能。 此訓練包含 21 個自學型課程模組,提供相關的產品文件、部落格文章和其他資源。
此處列出的模組會遵循安全性作業中心 (SOC) 的生命週期分割成五個部分:
- 課程模組 3:工作區和租用戶架構
- 課程模組 4:資料收集
- 課程模組 5:記錄管理
- 課程模組 6:擴充:威脅情報、關注清單等等
- 課程模組 7:記錄轉換
- 課程模組 8:移轉
- 課程模組 9:進階 SIEM 資訊模型和正規化
- 課程模組 16:SOC 分析師一天的生活、事件管理和調查
- 課程模組 17:搜捕
- 課程模組 18:使用者與實體行為分析 (UEBA)
- 課程模組 19:監視 Microsoft Sentinel 的健康情況
第 1 部分:概觀
課程模組 0:其他學習和支援選項
此技能提升訓練為 400 級訓練,以 Microsoft Sentinel Ninja 訓練為基礎。 如果您不想要深入或須解決特定問題,則其他資源可能更適合:
- 儘管技能提升訓練範圍廣泛,但其必須遵循指令碼,而且無法擴展至每個主題。 如需各文章的相關資訊,請參閱參考文件。
- 藉由涵蓋了 Microsoft Sentinel 的新認證 SC-200:Microsoft 安全性作業分析師 來幫助您獲得認證。 若要取得 Microsoft 安全性套件的更廣泛、更高階的檢視,建議您可以考慮參與 SC-900:Microsoft 安全性、合規性和身分識別基本概念或 AZ-500:Microsoft Azure 安全性技術。
- 若您已提升 Microsoft Sentinel 的相關技能,請追蹤新功能,或加入 Microsoft Cloud Security 私人社群 計畫,提前了解即將發行的版本。
- 您是否對功能有任何想法,想要與我們分享? 請在 Microsoft Sentinel 使用者語音頁面上告訴我們。
- 您是頂級客戶嗎? 建議您現場或遠端參加為期四天的 Microsoft Sentinel 基礎概念研討會。 如需更多的詳細資料,請連絡客戶成功專案經理。
- 您是否有特定問題? 在 Microsoft Sentinel 技術社群上詢問 (或回答其他人)。 或者,您也可以將疑問或問題透過電子郵件發送給我們:MicrosoftSentinel@microsoft.com。
課程模組 1:開始使用 Microsoft Sentinel
Microsoft Sentinel 為可調整的雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Microsoft Sentinel 提供跨企業的安全性分析和威脅情報。 其提供進行警示偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。 如需詳細資訊,請參閱什麼是 Microsoft Sentinel?。
如果您想要取得 Microsoft Sentinel 技術功能的初始概觀,最新的 Ignite 簡報是不錯的起點。 Microsoft Sentinel 的快速入門手冊也是相當實用的資源 (需要註冊網站)。
在此 Microsoft Sentinel 網路研討會中找到更詳細的概觀:YouTube (英文)、MP4 (英文) 或簡報 (英文)。
最後,您要自行嘗試嗎? Microsoft Sentinel All-In-One Accelerator (部落格、YouTube、MP4 或簡報) 為您提供簡單的入門方式。 若要了解如何開始,請檢閱上線文件,或觀看 Insight 的 Microsoft Sentinel 設定和組態影片。
向其他使用者學習
數千個組織和服務提供者正在使用 Microsoft Sentinel。 以安全性產品的常態來說,大部分組織並不會將其細節公開。 不過,以下人員會:
- 尋找公用客戶使用案例。
- Stuart Gregg (ASOS 安全性 Operations Manager) 張貼了 Microsoft Sentinel 體驗中更詳細的部落格文章,專注於搜捕。
向分析師學習
- Azure Sentinel 獲 Forrester Wave 評選為領導者地位,並在策略方面名列前茅
- 在 2021 Gartner Magic Quadrant for SIEM 中,Microsoft 的 Microsoft Sentinel 獲評選為遠見者
課程模組 2:如何使用 Microsoft Sentinel?
許多組織都會使用 Microsoft Sentinel 作為其主要 SIEM。 本課程中的大部分課程模組都涵蓋此使用案例。 在本課程模組中,我們會提供一些額外的方式來使用 Microsoft Sentinel。
作為 Microsoft 安全性堆疊的一部分
結合使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft Defender 全面偵測回應來保護您的 Microsoft 工作負載,包括 Windows、Azure 和 Office:
- 深入閱讀結合 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應的完整 SIEM+XDR 解決方案 (英文)。
- 請閱讀 Azure 安全性指南針 (現為 Microsoft 安全性最佳做法),了解安全性作業的 Microsoft 藍圖。
- 請閱讀並觀看此類設定如何協助偵測和回應 WebShell 攻擊:部落格、影片示範。
- 觀看「一起變得更好」網路研討會「OT 和 IOT 攻擊偵測、調查和回應」。
監視多雲端工作負載
雲端是 (仍然) 新的,而且通常不會像內部部署工作負載一樣廣泛地受到監視。 閱讀此簡報,以了解 Microsoft Sentinel 如何協助您縮小雲端之間的雲端監視差距。
與現有的 SIEM 並排
針對轉換期間或較長的期限,如果您是針對雲端工作負載使用 Microsoft Sentinel,則可以搭配現有的 SIEM 使用 Microsoft Sentinel。 您可能也會同時使用這兩者搭配票證系統,例如 Service Now。
如需從另一個 SIEM 移轉至 Microsoft Sentinel 的詳細資訊,請觀看移轉網路研討會:YouTube、MP4 或簡報。
並排部署有三個常見案例:
如果您的 SOC 中有票證系統,最佳做法是將警示或事件從這兩個 SIEM 系統傳送到票證系統,例如 Service Now。 範例包括使用 Microsoft Sentinel 事件與 ServiceNow 的雙向同步,或將使用支援事件擴充的警示從 Microsoft Sentinel 傳送至協力廠商 SIEM。
至少一開始,許多使用者都會將警示從 Microsoft Sentinel 傳送至內部部署 SIEM。 若要了解做法,請參閱將使用支援事件擴充的警示從 Microsoft Sentinel 傳送至協力廠商 SIEM。
隨著時間推移,Microsoft Sentinel 涵蓋更多的工作負載,您通常會轉換方向,並將警示從內部部署 SIEM 傳送至 Microsoft Sentinel。 若要這麼做︰
- 針對 Splunk,請參閱將資料和值得注意的事件從 Splunk 傳送至 Microsoft Sentinel。
- 針對 QRadar,請參閱將 QRadar 違規傳送至 Microsoft Sentinel。
- 針對 ArcSight,請參閱常見事件格式 (CEF) 轉送。
您也可以使用 Graph 安全性 API,將警示從 Microsoft Sentinel 傳送至協力廠商 SIEM 或票證系統。 這是比較簡單的方法,但無法傳送其他資料。
針對 MSSP
由於其會消除設定成本且與位置無關,因此 Microsoft Sentinel 是提供 SIEM 即服務的熱門選擇。 尋找使用 Microsoft Sentinel 的 MISA (Microsoft Intelligent Security Association) 成員受控安全性服務提供者 (MSSP) 清單 (英文)。 許多其他 MSSP,特別是區域和較小的 MSSP,都會使用 Microsoft Sentinel,但不是 MISA 成員。
若要以 MSSP 開始旅程,請閱讀適用於 MSSP 的 Microsoft Sentinel 技術劇本。 下一個課程模組中包含 MSSP 支援的詳細資訊,其中亦包括雲端架構和多租用戶支援。
第 2 部分:架構和部署
雖然「第 1 部分:概觀」提供在幾分鐘內開始使用 Microsoft Sentinel 的方式,但在開始生產環境部署之前,請務必建立方案。
本節將逐步解說建構解決方案時需要考慮的區域,並提供如何實作設計的指導方針:
- 工作區和租用戶架構
- 資料集合
- 記錄管理
- 取得威脅情報
課程模組 3:工作區和租用戶架構
Microsoft Sentinel 執行個體稱為工作區。 此工作區與 Log Analytics 工作區相同,並支援任何 Log Analytics 功能。 您可以將 Microsoft Sentinel 視為在 Log Analytics 工作區頂端新增 SIEM 功能的解決方案。
多個工作區通常是必要的,而且可以一起做為單一 Microsoft Sentinel 系統。 特殊使用案例是使用 Microsoft Sentinel 提供服務 (例如透過 MSSP (Managed Security Service Provider) 或透過大型組織中的全域 SOC)。
若要深入了解如何使用多個工作區作為一個 Microsoft Sentinel 系統,請參閱跨工作區和租用戶擴充 Microsoft Sentinel,或觀看網路研討會:YouTube、MP4 或簡報。
當您使用多個工作區時,請考慮下列事項:
- 使用多個工作區的重要因素是資料落地。 如需詳細資訊,請參閱 Microsoft Sentinel 資料落地。
- 若要在多個工作區之間有效率地部署 Microsoft Sentinel 和管理內容,您可以使用持續整合/持續傳遞 (CI/CD) 技術,將 Microsoft Sentinel 作為程式碼加以管理。 Microsoft Sentinel 的建議最佳做法是啟用持續部署。 如需詳細資訊,請參閱使用 Microsoft Sentinel 存放庫原生啟用持續部署。
- 當您以 MSSP 身分管理多個工作區時,可能會想保護 Microsoft Sentinel 中的 MSSP 智慧財產。
適用於 MSSP 的 Microsoft Sentinel 技術劇本提供當中許多主題的詳細指導方針,不僅適用於 MSSP,也適用於大型組織。
課程模組 4:資料收集
SIEM 的基礎在於收集遙測資料:事件、警示和內容擴充資訊,例如威脅情報、弱點資料和資產資訊。 以下是可供參考的來源清單:
- 請參閱 Microsoft Sentinel 資料連接器。
- 移至尋找您的 Microsoft Sentinel 資料連線器,以查看所有支援和現成的資料連線器。 尋找一般部署程序的連結,以及特定連接器所需的額外步驟。
- 資料收集案例:了解收集方法,例如 Logstash/CEF/WEF。 其他常見案例是資料表的權限限制、記錄篩選、從 Amazon Web Services (AWS) 或 Google Cloud Platform (GCP) 收集記錄、Microsoft 365 原始記錄等等。 您可以在「資料收集案例」網路研討會中找到所有內容:YouTube、MP4 或簡報。
您會看到每個連接器的第一個資訊片段是其資料擷取方法。 此處出現的方法會有下列其中一個一般部署程序的連結,其中包含將資料來源連線至 Microsoft Sentinel 所需的大部分資訊:
| 資料擷取方法 | 相關聯的文章 |
|---|---|
| Azure 服務對服務整合 | 連線到 Azure、Windows、Microsoft 和 Amazon 服務 |
| 透過 Syslog (CEF) 的常見事件格式 | 使用 Azure 監視器代理程式,以內嵌 Syslog 和 CEF 訊息至 Microsoft Sentinel |
| Azure Sentinel 資料收集器 API | 將資料來源連線到 Microsoft Sentinel 資料收集器 API 以擷取資料 |
| Azure Functions 和 REST API | 使用 Azure Functions 將 Microsoft Sentinel 連線至您的資料來源 |
| Syslog | 使用 Azure 監視器代理程式,以內嵌 Syslog 和 CEF 訊息至 Microsoft Sentinel |
| 自訂的記錄 | 透過 AMA 資料連接器的自訂記錄 - 設定從特定應用程式將資料擷取至 Microsoft Sentinel |
如果您的來源無法使用,您可以建立自訂連接器。 自訂連接器會使用擷取 API,因此類似於直接來源。 您最常使用 Azure Logic Apps (其提供無程式碼選項) 或 Azure Functions 來實作自訂連接器。
課程模組 5:記錄管理
在設定 Microsoft Sentinel 時,要考慮的第一個架構決策是「工作區的數量及選用」。 須考慮的其他重要記錄管理架構決策包括:
- 資料的保留位置和時間。
- 如何以最佳方式管理資料的存取並保護資料。
在 Microsoft Sentinel 內擷取、封存、搜尋和還原資料
若要開始使用,請觀看「使用擷取、封存、搜尋和還原的新方法管理您的記錄生命週期」網路研討會。
此功能套件包含:
- 基本擷取層:Azure 監視器記錄的新定價層,可讓您以較低的成本擷取記錄。 此資料只會在工作區中保留八天。
- 封存層:Azure 監視器已將其保留功能從兩年延長至七年。 透過這個新分層,您可用低成本封存狀態,將資料保留長達七年。
- 搜尋作業:執行有限 KQL 的搜尋工作,以便尋找並傳回所有相關記錄。 這些作業會在分析層、基本層和封存資料中搜尋資料。
- 資料還原:運用這項新功能,您便能挑選資料表和時間範圍,透過還原資料表將資料還原至工作區。
如需這些新功能的詳細資訊,請參閱在 Microsoft Sentinel 中擷取、封存、搜尋和還原資料。
Microsoft Sentinel 平台外的替代保留選項
如果您想要保留資料超過兩年,或降低保留成本,則可以考慮使用 Azure 資料總管長期保留 Microsoft Sentinel 記錄。 請參閱網路研討會投影片、網路研討會錄製內容或部落格。
想要更多深入資訊嗎? 請觀看「使用 ADX 支援、其他實體類型和更新的 MITRE 整合來改善威脅搜捕的廣度和涵蓋範圍」網路研討會。
如果您偏好另一個長期保留解決方案,請參閱從 Microsoft Sentinel/Log Analytics 工作區匯出至 Azure 儲存體和事件中樞,或使用 Azure Logic Apps 將記錄移至長期儲存體。 使用 Logic Apps 的優勢在於能匯出歷程記錄資料。
最後,您可以使用資料表層級保留設定來設定精細的保留期間。 如需詳細資訊,請參閱在 Azure 監視器記錄中設定資料保留和封存原則 (預覽)。
記錄安全性
使用資源角色型存取控制 (RBAC) 或資料表層級 RBAC,讓多個小組能夠使用單一工作區。
如有需要,請從您的工作區中刪除客戶內容。
請使用私人連結,確保記錄永遠不會離開您的私人網路。
專用叢集
如果您的投影資料擷取每日約等於或超過 500 GB,請使用專用工作區叢集。 專用叢集可讓您保護 Microsoft Sentinel 資料的資源,從而為大型資料集提供更佳查詢效能。
課程模組 6:擴充:威脅情報、關注清單等等
SIEM 的其中一項重要功能是將內容資訊套用至事件串流,進而啟用偵測、警示優先順序和事件調查。 例如,內容資訊包括威脅情報、IP 情報、主機和使用者資訊,以及關注清單。
Microsoft Sentinel 提供完整工具,以匯入、管理和使用威脅情報。 針對其他類型的內容資訊,Microsoft Sentinel 提供關注清單和其他替代解決方案。
威脅情報
威脅情報是 SIEM 的重要建置區塊。 請觀看「探索 Microsoft Sentinel 中威脅情報的強大功能」網路研討會。
在 Microsoft Sentinel 中,您可以使用 TAXII (Trusted Automated eXchange of Indicator Information) 伺服器的內建連接器或透過 Microsoft Graph 安全性 API 整合威脅情報。 如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅情報整合。 如需匯入威脅情報的詳細資訊,請參閱課程模組 4:資料收集章節。
一旦匯入後,就會在整個 Microsoft Sentinel 中廣泛地使用威脅情報。 下列功能著重於使用威脅情報:
在 Microsoft Sentinel 的新 [威脅情報] 區域中,於 [記錄] 中檢視和管理匯入的威脅情報。
使用內建的威脅情報分析規則範本,利用您匯入的威脅情報來產生安全性警示和事件。
使用威脅情報活頁簿,在 Microsoft Sentinel 中將威脅情報的重要相關資訊視覺化。
觀看「使用 RiskIQ 威脅情報將 Microsoft Sentinel 分級工作自動化」網絡研討會:YouTube 或簡報。
缺乏時間? 檢視 Ignite 工作階段 (28 分鐘)。
想要更多深入資訊嗎? 觀看「深入探討威脅情報」網路研討會:YouTube、MP4 或簡報。
關注清單和其他查閱機制
若要匯入和管理任何類型的內容資訊,Microsoft Sentinel 會提供關注清單。 使用關注清單,您便能以 CSV 格式上傳資料表,並在 KQL 查詢中使用這些資料表。 如需詳細資訊,請參閱在 Microsoft Sentinel 中使用關注清單,或檢視「使用關注清單來管理警示、減少警示疲勞並改善 SOC 效率」網路研討會:YouTube 或簡報。
使用關注清單可協助您處理下列案例:
調查威脅並快速回應事件:快速從 CSV 檔案匯入 IP 位址、檔案雜湊和其他資料。 匯入資料後,您可以使用成對的關注清單名稱與值進行聯結及篩選,運用於警示規則、威脅搜捕、活頁簿、筆記本及一般查詢中。
將商務資料匯入為關注清單:例如,匯入具有特殊系統存取權限的使用者或已離職員工的清單。 然後,使用關注清單建立允許清單和封鎖清單,以偵測或防止這些使用者登入網路。
減少警示疲勞:建立允許清單讓警示對特定群組的使用者隱藏,例如來自已授權 IP 位址的使用者,這些使用者執行的工作通常會觸發警示。 防止良性事件成為警示。
擴充事件資料:使用關注清單,透過衍生自外部資料來源的名稱數值組合來擴充事件資料。
除了關注清單之外,您也能使用 KQL 外部資料運算子、自訂記錄和 KQL 函式來管理及查詢內容資訊。 這四種方法皆有其優缺點,而且您可以在部落格文章「在 Microsoft Sentinel 中實作查閱」 (英文) 中深入閱讀這些選項之間的比較。雖然每種方法會有所不同,但使用查詢中產生的資訊很類似,而且可讓您在這些方法之間輕鬆切換。
如需在分析規則外使用關注清單的想法,請參閱使用關注清單在 Microsoft Sentinel 調查期間提升效率。
觀看「使用關注清單管理警示、減輕警示疲勞和改善 SOC 效率」網路研討會:YouTube 或簡報。
課程模組 7:記錄轉換
Microsoft Sentinel 針對資料擷取和轉換支援兩個新功能。 由 Log Analytics 所提供的這兩個功能會先處理資料再讓其儲存到工作區。 這些功能包括:
記錄擷取 API (部分機器翻譯):可用於從任何資料來源將自訂格式的記錄傳送至 Log Analytics 工作區,然後將這些記錄儲存在特定標準資料表中,或儲存在您建立的自訂格式資料表中。 您可以使用直接 API 呼叫來執行這些記錄的實際擷取。 您可以使用 Azure 監視器資料收集規則來定義及設定這些工作流程。
標準記錄的工作區資料轉換 (部分機器翻譯):使用資料收集規則來篩選不相關的資料、擴充或標記您的資料,或是隱藏敏感或個人資訊。 在擷取階段,您可以針對下列類型的內建資料連接器設定資料轉換:
- 以 Azure 監視器代理程式 (AMA) 為基礎的數據連接器 (Syslog 和 CEF | Windows DNS | 自定義)
- 使用診斷設定的數據連接器
- 服務對服務資料連接器 (部分機器翻譯)
如需詳細資訊,請參閱
課程模組 8:移轉
在許多 (如果不是大部分) 案例中,您已有 SIEM,而且需要移轉至 Microsoft Sentinel。 雖然這可能是重新開始並重新思考 SIEM 實作的好時機,但利用您已在目前實作中建置的一些資產亦為合理做法。 觀看「將偵測規則從 Splunk、QRadar 和 ArcSight 轉換為 Azure Microsoft Sentinel 的最佳做法」網路研討會:YouTube、MP4、簡報或部落格。
您可能也會對下列資源感興趣:
課程模組 9:進階 SIEM 資訊模型和正規化
一起使用各種資料類型和資料表可能會帶來挑戰。 在撰寫和使用一組唯一的分析規則、活頁簿及搜捕查詢時,您必須熟悉這些資料類型和結構描述。 調查和搜捕所需的資料類型之間相互關聯也可能會很棘手。
進階 SIEM 資訊模型 (ASIM) 提供順暢的體驗,以統一的正規化檢視處理各種來源。 ASIM 與開放原始碼安全性事件中繼資料 (OSSEM) 通用資訊模型保持一致,從而促進與廠商無關的全產業正規化。 觀看「進階 SIEM 資訊模型 (ASIM):現在內建於 Microsoft Sentinel」網路研討會:YouTube 或簡報。
目前的實作是以使用 KQL 函式的查詢時間正規化為基礎:
- 正規化的結構描述涵蓋易於使用並建置統一功能的可預測事件類型標準集。 結構描述定義哪些欄位應該代表事件、正規化資料行命名慣例,以及欄位值的標準格式。
剖析器會將現有資料對應至正規化的結構描述。 您可以使用 KQL 函式來實作剖析器。 觀看「擴充和管理 ASIM:開發、測試和部署剖析器」網路研討會:YouTube 或簡報。
每個正規化結構描述的內容包括分析規則、活頁簿和搜捕查詢。 此內容適用於任何正規化資料,無需建立來源特定內容。
使用 ASIM 提供下列優點:
跨來源偵測:標準化分析規則可在內部部署和雲端之間的來源運作。 這些規則檢測攻擊,例如暴力密碼破解,或不可能的跨系統移動,包括 Okta、AWS 和 Azure。
允許與來源無關的內容:即使在建立內容後才新增來源,使用 ASIM 的內建和自訂內容涵蓋範圍會自動擴充至任何支援 ASIM 的來源。 例如,處理事件分析支援客戶可能用於帶入資料的任何來源,包括適用於端點的 Microsoft Defender、Windows 事件和 Sysmon。 我們已準備好在發行時新增適用於 Linux 的 Sysmon 和 WEF。
在內建分析中支援您的自訂來源
容易使用:學習 ASIM 的分析師發現撰寫查詢相對簡單,因為欄位名稱一律相同。
深入了解 ASIM
善用這些資源:
部署 ASIM
在 GitHub 上的剖析器資料夾中,從開頭為 “ASIM*” 資料夾部署剖析器。
啟動使用 ASIM 的分析規則。 在範本庫中搜尋 normal,以尋找其中一些。 若要取得完整清單,請使用此 GitHub 搜尋。
使用 ASIM
第 3 部分:建立內容
什麼是 Microsoft Sentinel 內容?
Microsoft Sentinel 安全性的價值在於其內建功能,以及您建立自訂功能和自訂內建內容的能力。 在內建功能中,有使用者和實體行為分析 (UEBA)、機器學習或現成可用的分析規則。 自訂功能通常稱為「內容」,並包括分析規則、搜捕查詢、活頁簿、劇本等。
在本節中,我們已將課程模組分組,協助您了解如何建立這類內容或修改內建內容,以符合您的需求。 讓我們先從 KQL 開始吧,這是 Azure Microsoft Sentinel 的通用語。 下列課程模組會討論其中一個內容建置區塊,例如規則、劇本和活頁簿。 最後會討論使用案例,其中包含不同類型的元素,以處理特定安全性目標,例如威脅偵測、搜捕或治理。
課程模組 10:Kusto 查詢語言
大部分的 Microsoft Sentinel 功能都會使用 Kusto 查詢語言 (KQL)。 在記錄中搜尋、撰寫規則、建立搜捕查詢或設計活頁簿時,您會使用 KQL。
有關撰寫規則的下一節說明如何在 SIEM 規則的特定內容中使用 KQL。
學習 Microsoft Sentinel KQL 的建議旅程
Pluralsight KQL 課程:提供您基本概念
必須了解 KQL:包括 20 個部分的 KQL 系列,引導您完成建立第一個分析規則的基本概念 (包含評量和憑證)
Microsoft Sentinel KQL 實驗室:教導 KQL 的互動式實驗室,專注於 Microsoft Sentinel 所需的內容:
- 學習課程模組 (SC-200 第 4 部分)
- 簡報或實驗室 URL
- Jupyter Notebook 版本可讓您測試筆記本內的查詢
- 學習網路研討會:YouTube 或 MP4
- 檢閱實驗室解決方案網路研討會:YouTube 或 MP4
「將 Azure Microsoft Sentinel KQL 查詢效能最佳化」網路研討會:YouTube、MP4 或簡報
「適用於 Microsoft Sentinel 的 KQL Framework:讓您精通 KQL」網路研討會:YouTube 或簡報
在學習 KQL 時,下列參考項目也會相當實用:
課程模組 11:分析
撰寫排程分析規則
使用 Microsoft Sentinel,您便能使用內建規則範本、自訂環境的範本,或建立自訂規則。 規則的核心是 KQL 查詢;不過,在規則中設定時遠不止這些。
若要了解建立規則的程序,請參閱建立自訂分析規則來偵測威脅。 若要了解如何撰寫規則 (即規則應包含的內容,專注於規則的 KQL),請觀看網路研討會:YouTube、MP4 或簡報。
SIEM 分析規則具有特定模式。 了解如何針對這些模式實作規則並撰寫 KQL:
相互關聯規則:請參閱使用清單和 "in" 運算子或使用 "join" 運算子
彙總:請參閱使用清單和 "in" 運算子,或處理滑動視窗的進階模式
查閱:一般或近似的局部與合併查閱
處理誤判為真
延遲事件:是任何 SIEM 中無法更改的事實,而且難以處理。 Microsoft Sentinel 可以協助您減輕規則中的延遲。
使用 KQL 函式作為「建置區塊」:使用參數化函式擴充 Windows 安全性事件。
部落格文章「Blob 和檔案儲存體調查」提供撰寫實用分析規則的逐步範例。
使用內建分析
在開始撰寫自己的規則之前,請考慮利用內建分析功能。 這些功能對您的要求並不高,但值得了解它們:
使用內建的排程規則範本。 您可以採取編輯任何排程規則的相同方式修改範本來進行調整。 請務必為您連線的資料連線器部署範本,這些範本列示在資料連線器 [後續步驟] 索引標籤中。
取得 Microsoft Sentinel 進階多階段攻擊偵測 (Fusion) 的清單,而這些偵測預設為已啟用。
課程模組 12:實作 SOAR
在新式 SIEM 中 (例如 Microsoft Sentinel),SOAR 構成從觸發事件到解決事件的整個流程。 此流程會從事件調查開始,並繼續進行自動化回應。 部落格文章「如何將 Microsoft Sentinel 用於事件回應、協調流程和自動化」提供 SOAR 常見使用案例的概觀。
自動化規則是 Microsoft Sentinel 自動化的起點。 這些規則提供集中且自動處理事件的輕量型方法,包括歸併、誤判處理和自動指派。
為了提供強固的工作流程型自動化功能,自動化規則會使用 Logic Apps 劇本。 若要深入了解:
觀看「釋放自動化 Jedi 訣竅和建置 Logic Apps 劇本 (例如 Boss)」網路研討會:YouTube、MP4 或簡報。
閱讀 Logic Apps,這是推動 Microsoft Sentinel 劇本的核心技術。
請參閱 Microsoft Sentinel Logic Apps 連接器,其為 Logic Apps 與 Microsoft Sentinel 之間的連結。
在 Microsoft Sentinel GitHub (英文) 網站上的劇本 (英文) 資料夾中尋找數十個有用的劇本,或閱讀使用關注清單以通知訂閱擁有者有關警示的劇本 (英文),從而取得劇本逐步解說。
課程模組 13:活頁簿、報告和視覺效果
活頁簿
身為 SOC 的神經中心,需要 Microsoft Sentinel 將其收集和產生的資訊視覺化。 使用活頁簿將 Microsoft Sentinel 中的資料視覺化。
若要了解如何建立活頁簿,請閱讀 Azure 活頁簿文件或觀看 Billy York 的活頁簿訓練 (和隨附文字)。
此處提及的資源並非 Microsoft Sentinel 特定資源。 這些資源一般適用於活頁簿。 若要深入了解 Microsoft Sentinel 中的活頁簿,請觀看網路研討會:YouTube、MP4 或簡報。 閱讀文件。
這些活頁簿可以是互動式活頁簿,而且啟用的不只是繪圖功能而已。 使用活頁簿,您可以為 Microsoft Sentinel 建立應用程式模組或延伸模組,以補充內建功能。 您也可以使用活頁簿來擴充 Microsoft Sentinel 的功能。 以下是這些應用程式的幾個範例:
調查深入解析活頁簿提供調查事件的替代方法。
外部小組共同作業的圖表視覺效果可讓您搜捕具風險的小組使用方式。
使用者的旅遊地圖活頁簿可讓您調查地理位置警示。
Microsoft Sentinel 不安全通訊協定活頁簿實作指南、最近的增強功能和概觀影片可讓您識別網路中是否使用不安全的通訊協定。
最後,了解如何使用活頁簿的 API 呼叫來整合任何來源中的資訊。
您可以在 Microsoft Sentinel GitHub 的活頁簿資料夾中找到數十個活頁簿。 其中有些活頁簿也可以在 Microsoft Sentinel 活頁簿資源庫中取得。
報告和其他視覺效果選項
活頁簿可以用於報告。 如需更進階的報告功能,例如報告排程和散發資料表或樞紐分析表,建議您使用:
Power BI,其原生與 Azure 監視器記錄和 Microsoft Sentinel 整合。
Excel,可使用 Azure 監視器記錄和 Microsoft Sentinel 作為資料來源,並檢視「將 Azure 監視器記錄和 Excel 與 Azure 監視器整合」影片。
Jupyter Notebook 也是不錯的視覺效果工具,稍後會在搜捕課程模組介紹此主題。
課程模組 14:筆記本
Jupyter Notebook 與 Microsoft Sentinel 完全整合。 雖然被視為搜捕者工具箱中的重要工具,並在搜捕一節中討論網路研討會,但其價值更為廣泛。 筆記本可用於進階視覺效果、作為調查指南,以及複雜的自動化。
如需進一步了解筆記本,請檢視筆記本簡介影片。 開始使用 Notebooks 網路研討會 (YouTube、MP4 或簡報) 或閱讀文件。 Microsoft Sentinel Notebooks Ninja 系列是持續訓練系列,可讓您在 Notebooks 中提升技能。
整合的重要部分是由 MSTICPy 所實作,MSTICPy 是我們研究小組開發的 Python 程式庫,可與 Jupyter Notebook 搭配使用。 其會將 Microsoft Sentinel 介面和複雜的安全性功能新增至您的筆記本。
課程模組 15:使用案例和解決方案
使用連接器、規則、劇本和活頁簿,您便能實作「使用案例」,其為內容套件的 SIEM 字詞,此套件旨在偵測及回應威脅。 您可以在連線每個連接器時啟用建議的規則,來部署 Microsoft Sentinel 內建使用案例。 「解決方案」是處理特定威脅網域的使用案例群組。
「處理身分識別」網路研討會(YouTube、MP4 或簡報) 說明什麼是使用案例、如何處理其設計,以及呈現數個共同解決身分識別威脅的使用案例。
另一個相關的解決方案領域是保護遠端工作。 觀看有關保護遠端工作的 Ignite 工作階段,並深入閱讀下列特定使用案例:
使用 Microsoft Sentinel 監視縮放:自訂連接器、分析規則和搜捕查詢。
使用 Microsoft Sentinel 監視 Azure 虛擬桌面 (部分機器翻譯):使用 Windows 安全性事件、Microsoft Entra 登入記錄、適用於端點的 Microsoft Defender 全面偵測回應,以及 Azure 虛擬桌面診斷記錄來偵測和搜捕 Azure 虛擬桌面威脅。
使用查詢和活頁簿監視 Microsoft Intune (英文)。
最後,專注於最近的攻擊,了解如何使用 Microsoft Sentinel 監視軟體供應鏈。
Microsoft Sentinel 內容中樞提供產品內探索能力、單一步驟部署,以及在 Microsoft Sentinel 中啟用端對端產品、網域和/或垂直案例。 如需詳細資訊,請參閱關於 Microsoft Sentinel 內容和解決方案,並檢視「建立您自己的 Microsoft Sentinel 解決方案」網路研討會:YouTube 或簡報。
第 4 部分:操作
課程模組 16:處理事件
在建置 SOC 之後,您必須開始使用此 SOC。 「SOC 分析師的日常生活」網路研討會 (YouTube、MP4 或簡報) 會逐步引導您在 SOC 中使用 Microsoft Sentinel 來分級、調查和回應 事件。
為了讓小組輕鬆跨組織與外部專案關係人共同作業,直接從 Microsoft Sentinel 與 Microsoft Teams 整合。 並且觀看「整合 Microsoft Sentinel 與 Microsoft Teams 以減少 SOC MTTR (平均回應時間)」網路研討會。
您可能也想要閱讀有關事件調查的文件文章。 在調查過程中,您也會使用實體頁面取得與事件相關或識別為調查一部分的實體詳細資訊。
Microsoft Sentinel 中的事件調查不僅只有核心事件調查功能而已。 您可以使用活頁簿和筆記本建置其他調查工具,筆記本將在下一節課程模組 17:搜捕 (部分機器翻譯) 中討論。 您也可以建置更多調查工具,或根據您的特定需求修改現有調查工具。 範例包含:
調查深入解析活頁簿提供調查事件的替代方法。
筆記本可增強調查體驗。 閱讀為何使用 Jupyter 進行安全性調查?,並了解如何使用 Microsoft Sentinel 和 Jupyter Notebook 進行調查:
課程模組 17:搜捕
雖然到目前為止大部分的討論都專注於偵測和事件管理,但「搜捕」是 Microsoft Sentinel 的另一個重要使用案例。 搜捕是主動式搜尋威脅,而不是對警示的被動回應。
搜捕儀表板會持續更新。 其會顯示 Microsoft 安全性分析師小組所撰寫的所有查詢,以及您已建立或修改的任何額外查詢。 每個查詢都會提供其所搜捕的項目描述及所執行的資料類型。 這些範本會依各種策略進行分組。 右側的圖示會將威脅類型分類,例如初始存取、持續性和外流。 如需詳細資訊,請參閱使用 Microsoft Sentinel 搜捕威脅。
若要深入了解什麼是搜捕,以及 Microsoft Sentinel 支援搜捕的方式,請觀看「威脅搜捕」簡介網路研討會 (YouTube、MP4 或簡報)。 網路研討會從新功能的更新開始。 若要了解搜捕,請在投影片 12 開始。 YouTube 影片已設定為從該處開始。
雖然簡介網路研討會專注於工具,但搜捕與安全性息息相關。 我們的安全性研究小組網路研討會 (YouTube、MP4 或簡報) 專注於如何實際搜捕。
後續「使用 Microsoft Sentinel 進行 AWS 威脅搜捕」的網路研討會 (YouTube、MP4 或簡報) 會藉由展示一個在高價值目標環境上進行端對端搜捕的案例,來進一步解釋這點。
最後,您可以了解如何使用 Microsoft Sentinel 執行 SolarWinds 入侵後搜捕,以及如何執行 WebShell 搜捕,此搜捕是由內部部署 Microsoft Exchange 伺服器中最新的弱點所推動。
課程模組 18:使用者與實體行為分析 (UEBA)
新引進的 Microsoft Sentinel 使用者和實體行為分析 (UEBA) 課程模組可讓您識別及調查組織內的威脅及其潛在影響,無論其來自遭入侵的實體或是惡意測試人員。
Microsoft Sentinel 從其已連線的所有資料來源中收集記錄與警示時,會跨時間與同儕群體範圍對所收集內容進行分析並建置組織實體 (例如使用者、主機、IP 位址和應用程式) 的基準行為設定檔。 使用各種技術與機器學習功能,Microsoft Sentinel 可以識別異常活動,並協助您判斷資產是否遭入侵。 不僅如此,還可以找出特定資產的相對敏感度、識別資產的對等群組,並評估任何給定遭入侵資產的潛在影響 (其「影響半徑」)。 有了此資訊,您就可以有效地設定調查和事件處理的優先順序。
若要深入了解 UEBA 的相關資訊,請觀看網路研討會 (YouTube、MP4 或簡報),並閱讀如何在 SOC 中使用 UEBA 進行調查。
若要了解最近的更新,請觀看「Microsoft Sentinel 中使用者實體行為分析的未來」網路研討會。
課程模組 19:監視 Microsoft Sentinel 的健康情況
操作 SIEM 過程中的一部分是確保其運作順暢,而這也是 Azure Microsoft Sentinel 中不斷演進的區域。 使用下列動作監視 Microsoft Sentinel 的健康情況:
Microsoft Sentinel 健康情況資料表提供健康情況漂移的深入解析,例如每個連接器的最新失敗事件,或狀態從成功變更為失敗的連接器,您可以用於建立警示和其他自動化動作。 如需詳細資訊,請參閱監視資料連接器的健康情況。 觀看「資料連接器健康情況監控活頁簿」影片。 並取得異常的通知。
使用代理程式的健康情況解決方案 (僅限 Windows) 和活動訊號資料表 (Linux 和 Windows) 監視代理程式。
成本管理也是 SOC 中的重要作業程序。 使用擷取成本警示劇本,確保您隨時掌握任何成本增加。
第 5 部分:進階
課程模組 20:使用 Microsoft Sentinel API 擴充和整合
作為雲端原生 SIEM,Microsoft Sentinel 是 API 優先系統。 每個功能都可以透過 API 來設定和使用,從而與其他系統輕鬆整合,並使用您自己的程式碼擴充 Microsoft Sentinel。 如果您覺得 API 聽起來令人緊張,請別擔心。 使用 API 所取得的任何內容也可以藉由使用 PowerShell 取得。
若要深入了解 Microsoft Sentinel API,請觀看簡短的簡介影片,並閱讀部落格文章。 如需深入探索,請觀看「擴充和整合 Sentinel (API)」網路研討會 (YouTube、MP4 或簡報),並閱讀擴充 Microsoft Sentinel:API、整合與管理自動化的部落格文章。
課程模組 21:建立自己的機器學習
Microsoft Sentinel 提供絕佳的平台來實作您自己的機器學習演算法。 我們稱之為「建立自己的機器學習模型」或 BYO ML。 BYO ML 適用於進階使用者。 如果您要尋找內建的行為分析,請使用我們的機器學習分析規則或 UEBA 模組,或撰寫您自己的行為分析 KQL 型分析規則。
若要從將自己的機器學習帶入 Microsoft Sentinel 開始,請檢視「建立自己的機器學習模型」影片,並閱讀在 AI 沉浸式 Azure Sentinel SIEM 中建立自己的機器學習模型偵測部落格文章。 您可能也想要參考 BYO ML 文件。