Jak Microsoft Sentinel funguje

  • 10 min

Microsoft Sentinel vám pomůže povolit komplexní operace zabezpečení. Začíná s ingestováním (přijímáním) protokolů a pokračuje v procesu až po automatickou reakci na upozornění zabezpečení.

Tady jsou klíčové funkce a komponenty služby Microsoft Sentinel.

Konektory dat

První věcí, kterou je potřeba udělat, je ingestování dat do Služby Microsoft Sentinel. Datové konektory vám to umožňují. Datové konektory připojíte tak, že nejprve nainstalujete řešení centra obsahu. Po instalaci můžete přidat některé služby, jako jsou protokoly aktivit Azure, jednoduše tak, že vyberete tlačítko. Jiné, například syslog, vyžadují další konfiguraci. Existují datové konektory, které pokrývají všechny scénáře a zdroje, mimo jiné tyto:

  • syslog
  • Common Event Format (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (pro analýzu hrozeb)
  • Aktivity v Azure
  • Služby Microsoft Defenderu
  • Amazon Web Services (AWS) a Google Cloud Platform (GCP)

Snímek obrazovky znázorňující částečný seznam datových konektorů v uživatelském rozhraní Microsoft Sentinelu na webu Azure Portal

Uchovávání protokolů

Po ingestování dat do Služby Microsoft Sentinel se data ukládají v pracovním prostoru služby Log Analytics. Mezi výhody používání Log Analytics patří možnost použít dotazovací jazyk Kusto (KQL) k dotazování na data. KQL je propracovaný dotazovací jazyk, který přináší možnosti, jak z dat získávat podrobné informace a přehledy.

Snímek obrazovky znázorňující rozhraní Log Analytics na webu Azure Portal

Workbooks

Pomocí sešitů můžete vizualizovat data v Microsoft Sentinelu. Sešity si můžete představit jako řídicí panely. Jednotlivé komponenty na řídicím panelu jsou sestaveny pomocí podkladového dotazu KQL na vaše data. Můžete použít předdefinované sešity v Microsoft Sentinelu a upravit je tak, aby vyhovovaly vašim potřebám, nebo můžete vytvářet vlastní sešity úplně od začátku. Pokud jste sešity Azure Monitoru používali, je tato funkce pro vás známá, protože se jedná o implementaci sešitů monitorování služby Sentinel.

Snímek obrazovky znázorňující příklad sešitu v Microsoft Sentinelu

Upozornění analýzy

Zatím máte protokoly a nějaké vizualizace dat. Teď by bylo skvělé mít k dispozici nějaké aktivní analýzy v rámci vašich dat, abyste dostali oznámení, když dojde k něčemu podezřelému. V pracovním prostoru služby Sentinel můžete zapnout integrovaná upozornění analýzy. Existují různé typy upozornění, z nichž některá můžete upravovat podle svých potřeb. Jiná jsou vytvořená na vlastních modelech strojového učení Microsoftu. Můžete také vytvářet nová vlastní plánovaná upozornění.

Snímek obrazovky znázorňující některé předdefinované analytické výstrahy dostupné v sešitu Microsoft Sentinelu

Proaktivní vyhledávání hrozeb

V tomto modulu se nebudeme podrobněji zabývat proaktivním vyhledáváním hrozeb. Pokud ale analytici SOC potřebují hledat podezřelé aktivity, mnoho řešení centra obsahu poskytuje integrované dotazy proaktivního vyhledávání, které můžou použít. Můžou také vytvořit svoje vlastní dotazy. Sentinel se také dá integrovat s Azure Notebooks. Poskytuje ukázkové poznámkové bloky pro pokročilé vyhledávače, kteří chtějí využít celou sílu programovacího jazyka k hledání ve svých datech.

Snímek obrazovky znázorňující rozhraní proaktivního vyhledávání hrozeb v Microsoft Sentinelu

Incidenty a prověřování

Incident se vytvoří při aktivaci výstrah. V Microsoft Sentinelu můžete provádět standardní úlohy správy incidentů, jako je změna stavu nebo přiřazení incidentů jednotlivcům pro účely vyšetřování. Microsoft Sentinel má také funkce vyšetřování, takže můžete vizuálně prozkoumat incidenty namapováním entit napříč daty protokolů na časové ose.

Snímek obrazovky znázorňující graf pro šetření incidentů v Microsoft Sentinelu

Playbooky pro automatizaci

Když můžete na incidenty reagovat automaticky, můžete automatizovat některé operace zabezpečení a vaše centrum SOC může pracovat produktivněji. Microsoft Sentinel umožňuje vytvářet automatizované pracovní postupy nebo playbooky v reakci na události. Tuto funkci lze využít ke správě incidentů, rozšiřování, prověřování nebo odstraňování problémů. Tyto schopnosti se často označují jako řešení SOAR (Security Orchestration, Automation and Response) (orchestrace, automatizace a reakce zabezpečení).

Snímek obrazovky se službou Microsoft Sentinel Automation se zvýrazněnou možností Vytvoření

Jako analytik SOC teď začínáte vidět, jak vám může Microsoft Sentinel pomoct dosáhnout vašich cílů. Mohli byste například:

  • Ingestovat data z vašeho cloudového a místního prostředí
  • Provádět analýzy těchto dat
  • Spravovat a zkoumat všechny incidenty, ke kterým dojde
  • Automaticky reagovat pomocí playbooků.

Jinými slovy, Microsoft Sentinel poskytuje ucelené řešení pro vaše operace zabezpečení.