Inleiding

  • 3 minuten

Microsoft Sentinel-inhoud is SIEM-inhoud (Security Information and Event Management) waarmee klanten gegevens kunnen opnemen, bewaken, waarschuwen, opsporen, onderzoeken, beantwoorden en verbinding kunnen maken met verschillende producten, platforms en services in Microsoft Sentinel.

Inhoud in Microsoft Sentinel bevat een van de volgende typen:

  • Gegevensconnectors bieden logboekopname van verschillende bronnen in Microsoft Sentinel
  • Parsers bieden logboekopmaak/-transformatie in ASIM-indelingen, ondersteuning voor gebruik in verschillende Microsoft Sentinel-inhoudstypen en -scenario's
  • Werkmappen bieden bewaking, visualisatie en interactiviteit met gegevens in Microsoft Sentinel, waarbij zinvolle inzichten voor gebruikers worden gemarkeerd
  • Analyseregels bieden waarschuwingen die verwijzen naar relevante SOC-acties via incidenten
  • Opsporingsquery's worden door SOC-teams gebruikt om proactief op bedreigingen in Microsoft Sentinel te zoeken
  • Notebooks helpen SOC-teams geavanceerde opsporingsfuncties te gebruiken in Jupyter en Azure Notebooks
  • Watchlists ondersteunen de opname van specifieke gegevens voor verbeterde detectie van bedreigingen en verminderde waarschuwingsmoeheid
  • Aangepaste playbooks en aangepaste Azure Logic Apps-connectors bieden functies voor geautomatiseerd onderzoek, herstel en responsscenario's in Microsoft Sentinel

Inhoud onderhouden voor Microsoft Sentinel:

  • Inhoudshub: - Microsoft Sentinel-oplossingen zijn pakketten van Microsoft Sentinel-inhoud of Microsoft Sentinel-API-integraties, die voldoen aan een end-to-end product-, domein- of branche verticaal scenario in Microsoft Sentinel.
  • Opslagplaatsen: - Opslagplaatsen helpen u bij het automatiseren van de implementatie en het beheer van uw Microsoft Sentinel-inhoud via centrale opslagplaatsen.
  • Community: onboarding van community-inhoud op aanvraag om uw scenario's mogelijk te maken. De GitHub-opslagplaats op https://github.com/Azure/Azure-Sentinel de site bevat inhoud van Microsoft en de community die is getest en beschikbaar is voor u om te implementeren in uw Sentinel-werkruimte.

U bent een Security Operations-analist die werkt bij een bedrijf dat Microsoft Sentinel heeft geïmplementeerd. U moet connectors en analytische regels van een leverancier installeren. U hebt ook een bibliotheek gemaakt met opsporingsquery's die moeten worden onderhouden in meerdere omgevingen.

Aan het einde van deze module kunt u inhoud beheren in Microsoft Sentinel.

Als u deze module hebt voltooid, kunt u het volgende:

  • Een oplossing voor een inhoudshub installeren in Microsoft Sentinel
  • Verbinding maken een GitHub-opslagplaats naar Microsoft Sentinel