Správa podnikového zabezpečení pomocí Služby Microsoft Sentinel

  • 10 min

Vaše finanční organizace se neustále zabývá zákazníky a partnery v různých oblastech světa. K mnoha transakcím dochází každý den a každá transakce musí být monitorována a chráněna bez ohledu na jejich typ nebo zařízení a uživatele. Strategie zabezpečení a monitorování vaší organizace se musí zaměřit na zabezpečení a monitorování na podnikové úrovni.

Tato lekce popisuje, jak Microsoft Sentinel pomáhá monitorovat bezpečnostní hrozby v organizaci na podnikové úrovni a reagovat na ně. Microsoft Sentinel můžete použít k:

  • Získejte podrobný přehled o vašem podniku, potenciálně napříč několika cloudy a místními umístěními.
  • Vyhněte se závislosti na složitých a různorodých nástrojích.
  • Identifikujte a zacházejte s hrozbami ve vaší organizaci pomocí umělé inteligence na podnikové úrovni vytvořené odborníky.

Připojení zdrojů dat k Microsoft Sentinelu

K implementaci Služby Microsoft Sentinel potřebujete pracovní prostor služby Log Analytics. Když vytvoříte prostředek Microsoft Sentinelu na webu Azure Portal, můžete vytvořit nový pracovní prostor služby Log Analytics nebo připojit existující pracovní prostor.

snímek obrazovky při přidávání pracovního prostoru služby Log Analytics

Po vytvoření prostředku Microsoft Sentinelu a jeho připojení k pracovnímu prostoru potřebujete připojit zdroje dat pro váš podnik. Nainstalujte řešení s datovými konektory z centra obsahu. Microsoft Sentinel se integruje s řešeními Microsoftu, včetně Microsoft Entra ID a Microsoftu 365, prostřednictvím konektorů.

Všechny dostupné datové konektory můžete zobrazit tak, že v levém navigačním panelu Microsoft Sentinelu vyberete Datové konektory v části Konfigurace.

Snímek obrazovky s datovými konektory

Vyberte příslušný datový konektor pro zdroj dat, přečtěte si informace o konektoru a vyberte otevřít stránku konektoru, abyste se podívali na požadavky konektoru. Ujistěte se, že jste vyřešili všechny požadavky na úspěšné připojení zdroje dat.

Když připojíte zdroj dat, vaše protokoly se synchronizují s Microsoft Sentinelem. V grafu Přijatá data vidíte souhrn shromážděných dat pro váš konektor. Můžete také zobrazit různé datové typy, které jsou shromažďovány pro zdroj. Konektor pro účet služby Azure Storage může například shromažďovat protokolovací data týkající se objektů blob, front, souborů nebo tabulek.

snímek obrazovky s grafem přijatých dat

Jakmile připojíte zdroje dat, Microsoft Sentinel začne monitorovat váš podnik.

snímek obrazovky s mapou upozornění

Monitorování podniku pomocí upozornění

Pravidla upozornění můžete nakonfigurovat tak, aby lépe prozkoumala anomálie a hrozby. Pravidla upozornění určují hrozby a aktivity, které by měly vyvolat výstrahy. Můžete odpovědět ručně nebo pomocí manuálů pro automatizované odpovědi.

V levém navigačním panelu služby Microsoft Sentinel v části Configuration vyberte Analytics, abyste zobrazili všechna pravidla, která máte, a vytvořte nová pravidla.

snímek obrazovky se zobrazením všech výstrah

Při vytváření pravidla určíte, jestli má být povolené nebo zakázané, a závažnost výstrahy. Do pole dotazu pravidla na kartě Nastavit logiku pravidla zadejte dotaz pravidla.

Snímek obrazovky pro vytvoření pravidla upozornění

Následující dotaz může například určit, jestli se vytvoří nebo aktualizuje podezřelý počet virtuálních počítačů Azure nebo dojde k podezřelému počtu nasazení prostředků.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

V části Plánování dotazů můžete nastavit, jak často se má dotaz spouštět a jaká doba dat se má vyhledat. V části Prahová hodnota výstrahy můžete zadat úroveň, na které se má výstraha vyvolat.

Vyšetřování incidentů

Microsoft Sentinel kombinuje vygenerovaná upozornění do incidentů pro další šetření. V levém navigačním panelu služby Microsoft Sentinel v části Správa hrozeb vyberte Incidenty, abyste zobrazili podrobnosti o všech vašich incidentech, například o tom, kolik incidentů se zavře, kolik incidentů zůstane otevřené, kdy k incidentům dojde a jejich závažnosti.

Pokud chcete začít prošetřovat incident, vyberte incident. Informace o incidentu najdete v pravém podokně. Pokud chcete získat další informace, vyberte Zobrazit úplné podrobnosti.

Snímek obrazovky se stránkou Incidentů

K prošetření incidentu aktualizujte jeho stav z Nový na Aktivní, přiřaďte ho vlastníkovi a vyberte Prozkoumat.

snímek obrazovky s podrobnostmi incidentu

Mapa vyšetřování vám pomůže pochopit, co způsobilo incident a ovlivněný rozsah. Mapu můžete použít také ke korelaci dat kolem incidentu.

snímek obrazovky s mapou vyšetřování

Mapa vyšetřování umožňuje přejít k podrobnostem incidentu. Na incident lze přiřadit několik entit, včetně uživatelů, zařízení a přístrojů. Můžete například získat podrobnosti o uživateli identifikovaném jako součást incidentu.

snímek obrazovky entity

Pokud najedete myší na entitu, zobrazí se seznam průzkumných dotazů navržených analytiky zabezpečení a odborníky Microsoftu. Průzkumné dotazy můžete použít k efektivnějšímu zkoumání.

snímek obrazovky s průzkumem dotazů

Mapa vyšetřování také poskytuje časovou osu, která vám pomůže pochopit, k jaké události došlo v konkrétní době. Pomocí funkce časové osy můžete porozumět cestě, kterou může hrozba v průběhu času trvat.

Snímek obrazovky s časovou osou