Introduzione

  • 3 minuti

Microsoft Sentinel Analytics offre alle aziende una soluzione intelligente per rilevare potenziali minacce e vulnerabilità.

Si supponga di lavorare come analista del Centro operazioni per la sicurezza presso Contoso, Ltd. Contoso è una società di servizi finanziari di medie dimensioni con sede a Londra e con una succursale a New York. La società usa numerosi prodotti e servizi Microsoft per implementare la sicurezza dei dati e proteggere le risorse dalle minacce. Questi prodotti sono:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender per identità
  • Microsoft Defender per endpoint
  • Microsoft Defender per Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso implementa la protezione dalle minacce per le proprie risorse locali e basate su Azure usando la versione a pagamento di Microsoft Defender for Cloud. La società monitora e protegge anche asset non Microsoft. Gli analisti della sicurezza di Contoso devono affrontare un carico di lavoro enorme per le valutazioni. Gestiscono un volume elevato di avvisi di più prodotti. Gli avvisi vengono messi in correlazione nei modi seguenti:

  • Manualmente usando vari dashboard di progetto
  • Usando un motore di correlazione tradizionale

Il tempo che il team per le operazioni di sicurezza dedica alla configurazione e alla gestione dell'infrastruttura IT è tempo sottratto alle attività per la sicurezza.

Il responsabile IT ritiene che Microsoft Sentinel Analytics aiuterà gli analisti della sicurezza a eseguire indagini complesse più rapidamente e a migliorare le attività del Security Operations Center (SOC). Al responsabile di sistema e all'amministratore di Azure in Contoso viene chiesto di configurare le regole di analisi in Microsoft Sentinel in modo che il team per le operazioni di sicurezza possa identificare e analizzare gli attacchi alle risorse di Contoso.

In questo modulo si comprenderà l'importanza di usare Microsoft Sentinel Analytics, si creeranno e si implementeranno regole di analisi da modelli esistenti, si creeranno nuove regole e query tramite la procedura guidata e si gestiranno le regole con le modifiche.

Al termine di questo modulo, si sarà in grado di configurare regole di analisi in Microsoft Sentinel per aiutare il team per le operazioni di sicurezza a identificare e arrestare gli attacchi informatici.

Obiettivi di apprendimento

  • Descrivere l'importanza di Microsoft Sentinel Analytics.
  • Illustrare i diversi tipi di regole di analisi.
  • Creare regole da modelli.
  • Creare nuove regole di analisi e query usando la creazione guidata regole di analisi.
  • Gestire le regole con le modifiche.

Prerequisiti

  • Conoscenza di base dei servizi di Azure
  • Conoscenza di base di concetti operativi quali monitoraggio, registrazione e avviso
  • Abbonamento di Azure
  • Istanza di Microsoft Sentinel in una sottoscrizione di Azure

Nota

Se si esegue l'esercizio di questo modulo, è possibile che venga addebitato un costo aggiuntivo nella sottoscrizione di Azure. Per stimare il costo, vedere Prezzi di Microsoft Sentinel