適用於啟用 Azure Arc 伺服器的威脅情報搭配 Microsoft Sentinel

  • 7 分鐘

Tailwind Traders 的 SOC (安全性作業中心) 分析師,正努力使用其各種 SIEM 和 SOAR 解決方案來評估其環境。 在本單元中,您將了解已啟用 Azure Arc 的伺服器如何與 Microsoft Sentinel 搭配運作,後者為適用於混合式和多重雲端環境的 SIEM 和 SOAR 解決方案。

Microsoft Sentinel 的概觀

Microsoft Sentinel 為可調整的雲端原生安全性資訊和事件管理 (SIEM),和安全性協調流程、自動化與回應 (SOAR) 解決方案。 Microsoft Sentinel 提供適用於整個企業的威脅情報,並針對攻擊偵測、主動式搜捕及威脅回應提供單一解決方案。

Microsoft Sentinel 可讓您以鳥瞰的角度檢視整個企業,減輕因日漸複雜的攻擊、增長的警示數量,以及冗長解析時間範圍所生的壓力。

  • 以雲端規模收集內部部署和多個雲端中所有使用者、裝置、應用程式和基礎結構的資料。
  • 使用 Microsoft 的分析和無可匹敵的威脅情報,偵測先前未偵測到的威脅,並減少誤判。
  • 使用人工智慧調查威脅,並大規模搜捕可疑的活動,深入探究 Microsoft 多年來的網路安全性工作。
  • 使用內建的常見工作協調流程和自動化作業,快速回應事件

連線資料

若要將 Microsoft Sentinel 上線,您必須先連線到安全性來源。

Microsoft Sentinel 隨附數種適用於 Microsoft 解決方案的連接器,現成可用且提供即時整合功能。 Microsoft Sentinel 現成連接器包括 Microsoft 365 來源、Microsoft Entra ID、適用於身分識別的 Microsoft Defender,以及適用於雲端的 Microsoft Defender 應用程式。 此外,還有適用於非 Microsoft 解決方案的內建連接器,用於連線至更廣泛的安全性生態系統。

適用於已啟用 Azure Arc 的伺服器相關資料連接器,可能包含透過舊版代理程式的安全性事件、透過 AMA 的 Windows 安全性事件或 Syslog。

活頁簿和分析

將資料來源連線至 Microsoft Sentinel 之後,您可以使用 Microsoft Sentinel 與 Azure 監視器活頁簿的整合來監視資料,在建立自訂活頁簿時更具多樣性。 Microsoft Sentinel 也隨附內建的活頁簿範本,可讓您在連接資料來源後快速取得資料洞察。

為了協助您將必須調查的警示數量最小化,Microsoft Sentinel 會使用分析,將警示相互關聯成為事件。 事件是一組相關警示,可一起建立可操作的可能威脅,以便您進行調查並予以解決。 依照現狀使用內建的相互關聯規則,或使用其作為建立自有規則的起點。 Microsoft Sentinel 也提供機器學習規則來對應網路行為,然後尋找資源的異常狀況。

安全性自動化和協調流程

您可使用將 Azure 服務與現有工具整合的劇本,自動化一般工作並簡化安全性協調流程。

使用 Azure Logic Apps,Microsoft Sentinel 是可延伸、可調整且現代化的自動化與協調流程解決方案。 若要使用 Azure Logic Apps 來建置劇本,您可從不斷增長的內建劇本資源庫中進行選擇。 這些劇本包括 200 個以上適用於 Azure Functions 等服務的連接器。 連接器可讓您在程式碼、ServiceNow、Jira、Zendesk、HTTP 要求、Microsoft Teams、Slack、Windows Defender ATP 和適用於雲端應用程式的 Defender 中套用任何自訂邏輯。

搜捕和筆記本

使用 Microsoft Sentinel 的強大搜捕搜尋查詢工具 (以 MITRE 架構為基礎),在觸發警示之前,主動搜捕貴組織各資料來源的安全性威脅。 在您發現哪個搜捕查詢可提供攻擊的寶貴見解之後,您也可以根據查詢建立自訂偵測規則,以及將這些見解當作警示,向您的安全性事件回應程式呈現。 進行搜捕時,您可以為感興趣的事件建立書籤,以便稍後返回、與他人分享,以及與其他相互關聯事件構成群組,以建立令人注目的調查事件。

Microsoft Sentinel 支援 Azure Machine Learning 工作區中的 Jupyter 筆記本,包括機器學習、視覺效果和資料分析的完整程式庫。 您可以使用 Microsoft Sentinel 中的筆記本,來延伸您可以使用 Microsoft Sentinel 資料執行的動作範圍。 例如,您可以執行未內建於 Microsoft Sentinel 的分析,例如某些 Python 機器學習功能;建立未內建於 Microsoft Sentinel 的資料視覺效果,例如自訂時間軸和處理序樹狀結構;或整合 Microsoft Sentinel 外部的資料來源,例如內部部署資料集。