Vysvětlení incidentů

Dokončeno

Technologické hrozby pro organizaci se nazývají incidenty. Řízení incidentů je kompletní proces vyšetřování incidentů od vytvoření incidentu až po hloubkové šetření a řešení. Microsoft Sentinel může vašemu IT týmu pomoct s uspořádáním, vyšetřováním a sledováním incidentů od vytvoření prostřednictvím řešení.

Pomocí služby Microsoft Sentinel můžete zkontrolovat podrobné informace o incidentu, přiřadit vlastníka incidentu, nastavit a udržovat závažnost incidentu a spravovat stav incidentu. Microsoft Sentinel poskytuje kompletní prostředí pro správu incidentů pro zpracování těchto kroků.

Klíčové koncepty

Je důležité pochopit následující klíčové koncepty řízení incidentů služby Microsoft Sentinel:

• Datové konektory. Datové konektory Microsoft Sentinelu můžete použít k ingestování a shromažďování dat ze služeb souvisejících se zabezpečením. Datové konektory můžou shromažďovat události z počítačů s Linuxem nebo Windows, na kterých běží agent Log Analytics, ze serveru Syslog s Linuxem pro zařízení, jako jsou brány firewall nebo proxy servery, nebo přímo ze služeb Microsoft Azure. Tyto události se přeposílají do pracovního prostoru služby Log Analytics přidruženého k Microsoft Sentinelu.
• Události. Microsoft Sentinel ukládá události do pracovního prostoru služby Log Analytics. Tyto události obsahují podrobnosti o aktivitě související se zabezpečením, kterou má Microsoft Sentinel monitorovat.
• Analytická pravidla. Analytická pravidla detekují důležité události zabezpečení a generují výstrahy. Analytická pravidla můžete vytvářet pomocí předdefinovaných šablon nebo pomocí vlastních dotazů na dotazovací jazyk Kusto (KQL) v pracovních prostorech služby Log Analytics v Microsoft Sentinelu.
• Výstrahy. Analytická pravidla generují výstrahy, když zjistí důležité události zabezpečení. Výstrahy můžete nakonfigurovat tak, aby generovaly incidenty.
• Incidenty. Microsoft Sentinel vytváří incidenty z upozornění analytických pravidel. Incidenty můžou obsahovat více souvisejících výstrah. Každý incident slouží jako výchozí bod a sledovací mechanismus pro prošetření problémů zabezpečení ve vašem prostředí.

Stránka Přehled služby Microsoft Sentinel

Řízení incidentů v Microsoft Sentinelu začíná na stránce Přehled , kde můžete zkontrolovat aktuální prostředí Microsoft Sentinelu. Na stránce Přehled najdete seznam nejnovějších incidentů spolu s dalšími důležitými informacemi o službě Microsoft Sentinel. Na této stránce můžete před vyšetřováním incidentů porozumět obecné situaci zabezpečení.

Prověřte si své znalosti

1.

Která komponenta Microsoft Sentinelu generuje výstrahy?

Incidenty.

Analytická pravidla.

Datové konektory.

Akce.

2.

Jaký je primárním cílem řízení incidentů v Microsoft Sentinelu?

Vysvětlení stavu zabezpečení v Azure

Sledování a správa všech problémů s Azure

Sledování a řešení problémů se zabezpečením v prostředí vaší organizace

Správa rolí zabezpečení ve vašem prostředí

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.