Wprowadzenie

  • 3 min

Analiza usługi Microsoft Sentinel udostępnia inteligentne rozwiązanie, którego można użyć do wykrywania potencjalnych zagrożeń i luk w zabezpieczeniach w organizacjach.

Wyobraź sobie, że pracujesz jako analityk usługi Security Operations Center (SOC) w firmie Contoso, Ltd. Contoso jest średniej wielkości firmą zajmującą się usługami finansowymi w Londynie z oddziałem w Nowym Jorku. Firma Contoso używa kilku produktów i usług firmy Microsoft do implementowania zabezpieczeń danych i ochrony przed zagrożeniami dla swoich zasobów. Są to następujące produkty:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID — ochrona
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Usługa Microsoft Defender dla punktu końcowego
  • Microsoft Defender dla usługi Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Firma Contoso zapewnia ochronę przed zagrożeniami dla zasobów lokalnych i opartych na platformie Azure przy użyciu płatnej wersji Microsoft Defender dla Chmury. Ponadto firma monitoruje i chroni zasoby firm innych niż Microsoft. Analitycy zabezpieczeń w firmie mają dużo pracy związanej z klasyfikacją. Muszą reagować na dużą liczbę alertów wysyłanych z różnych produktów. Korelują alerty w następujący sposób:

  • Ręcznie z poziomu pulpitów nawigacyjnych różnych projektów
  • Przy użyciu tradycyjnego aparatu korelacji

Ponadto zespół SOC poświęca czas na konfigurowanie i utrzymanie infrastruktury IT, zamiast na wykonywanie zadań związanych z zabezpieczeniami.

Dyrektor IT uważa, że usługa Microsoft Sentinel Analytics pomoże analitykom zabezpieczeń wykonywać złożone badania szybciej i ulepszać centrum operacji zabezpieczeń (SOC). Jako główny inżynier systemu i administrator platformy Azure firmy Contoso poproszono Cię o skonfigurowanie reguł analitycznych w usłudze Microsoft Sentinel, aby zespół SecOps mógł identyfikować i analizować ataki do zasobów firmy Contoso.

W tym module zrozumiesz znaczenie korzystania z analizy usługi Microsoft Sentinel, tworzenia i implementowania reguł analizy z istniejących szablonów, tworzenia nowych reguł i zapytań przy użyciu kreatora oraz zarządzania regułami z modyfikacjami.

Po ukończeniu tego modułu będziesz w stanie skonfigurować reguły analizy w usłudze Microsoft Sentinel, aby ułatwić zespołowi SecOps identyfikowanie i zatrzymywanie cyberataków.

Cele szkolenia

  • Wyjaśnij znaczenie analizy usługi Microsoft Sentinel.
  • Objaśnianie różnych typów reguł analizy.
  • Tworzenie reguł na podstawie szablonów.
  • Tworzenie nowych reguł analizy i zapytań przy użyciu kreatora reguł analizy.
  • Zarządzanie regułami przy użyciu modyfikacji.

Wymagania wstępne

  • Podstawowa wiedza na temat usług platformy Azure
  • Podstawowa wiedza na temat pojęć operacyjnych, takich jak monitorowanie, rejestrowanie i alerty
  • Subskrypcja platformy Azure
  • Wystąpienie usługi Microsoft Sentinel w ramach subskrypcji platformy Azure

Uwaga

Jeśli zdecydujesz się na wykonanie ćwiczenia w tym module, pamiętaj, że możesz ponieść koszty w ramach subskrypcji platformy Azure. Aby oszacować koszt, zapoznaj się z cennikiem usługi Microsoft Sentinel