簡介
部署 Microsoft Sentinel 並將其連線至資料來源,以在整個企業中提供安全性警示的即時分析。
假設您為設址於倫敦並在紐約市有分公司的一家中型金融服務公司工作。 您的組織在其環境中具有下列產品和服務:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- 適用於雲端的 Microsoft Defender
- Microsoft Defender XDR
- Microsoft Purview 資訊保護
- Microsoft Intune
您的組織使用適用於雲端的 Microsoft Defender 的免費雲端安全性態勢管理功能。 不過,計劃是移至標準付費版本,以為在 Azure 與內部部署執行的資源取得威脅防護。 組織也有其他要監視及保護的非 Microsoft 資產。
組織的安全性分析師面臨龐大的分級負擔。 其會處理來自多項產品的大量警示。 其會以下列方式將警示相互關聯:
- 從不同的產品儀表板手動操作
- 透過使用傳統的相互關聯引擎
以外,設定及維護 IT 基礎結構所花的時間,讓安全性作業 (SecOps) 小組無法執行其安全性工作。
IT 主管相信,Microsoft Sentinel 將協助安全性分析師更快速地執行複雜調查,以及改善其 SecOps。
身為組織的首席系統工程師暨 Azure 系統管理員,您必須設定概念證明試用環境。 此試用會驗證 Microsoft Sentinel 是否可以協助組織的 SecOps 小組有效率地在網路攻擊造成損害之前,找出並防止這些攻擊。
在本課程模組中,您將了解 Microsoft Sentinel 部署考量,包括:
- 角色與權限的設定
- 將資料來源連線至 Microsoft Sentinel
- 管理 Microsoft Sentinel 記錄資料
學習目標
完成此課程模組之後,您將能夠:
- 啟用 Microsoft Sentinel。
- 將連接器從 Microsoft Sentinel 部署到您想要監視的服務。
- 管理連接器所收集的 Microsoft Sentinel 記錄資料。