簡介
想像一下,您是 Contoso, Ltd. 的資訊安全工程師,這是一間位於倫敦的中型金融服務有限公司,且在紐約設有分公司。 Contoso 使用下列 Microsoft 安全性管理產品:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- 適用於身分識別的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- Intune Endpoint Protection
- Azure 資訊保護
Contoso 會針對在 Azure 與內部部署環境中執行的資源,使用適用於雲端的 Microsoft Defender 做為威脅防護手段。 該公司同時也監視並保護其他非 Microsoft 資產。
最近,公司的 Azure 活動記錄顯示 Azure 訂用帳戶中刪除了大量 VM。 您需要分析此事件,並在未來發生類似活動時收到警示。
Microsoft Sentinel 是一種雲端應用程式,可協助您保護 Contoso 的資源。 在本課程模組中,您會了解如何在 Contoso 使用者刪除現有 VM 時,使用 Microsoft Sentinel 建立並調查事件。
學習目標
- 了解安全性事件和 Microsoft Sentinel 事件管理。
- 探索 Microsoft Sentinel 事件辨識項和實體。
- 使用 Microsoft Sentinel 來調查安全性事件和管理事件解決。
必要條件
- 熟悉組織內的安全性作業。
- Azure 服務的基本體驗。
- 操作概念的知識,例如監視、記錄和警示。
- Microsoft Sentinel 規則的基本知識。
注意
如果選擇執行本課程模組中的選擇性練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估花費,請參考 Microsoft Sentinel 價格。