Co to jest analiza usługi Microsoft Sentinel?

  • 5 min

Analiza usługi Microsoft Sentinel pomaga wykrywać, badać i korygować zagrożenia cyberbezpieczeństwa. Zespół SOC firmy Contoso może używać analizy usługi Microsoft Sentinel do konfigurowania reguł analizy i zapytań w celu wykrywania problemów w środowisku.

Co to jest analiza usługi Microsoft Sentinel?

Analiza usługi Microsoft Sentinel udostępnia kilka funkcji, których można użyć do zaimplementowania zabezpieczeń danych i zasobów w firmie Contoso.

Możesz analizować dane historyczne zebrane ze stacji roboczych, serwerów, urządzeń sieciowych, zapór, rozwiązań do ochrony przed włamaniami, czujników itd. Analiza usługi Microsoft Sentinel analizuje dane z różnych źródeł w celu identyfikowania korelacji i anomalii.

Korzystając z reguł analizy, można wyzwalać alerty w oparciu o techniki ataków stosowane przez znanych złośliwych aktorów. Możesz skonfigurować te reguły, aby ułatwić zapewnienie, że centrum SOC będzie otrzymywać alerty o potencjalnych zdarzeniach dotyczących zabezpieczeń w danym środowisku w odpowiednim czasie.

Dlaczego warto używać reguł analizy na potrzeby operacji zabezpieczeń?

Chociaż niektóre inne produkty zaimplementowane przez firmę Contoso mogą pomóc w identyfikowaniu zagrożeń, analiza usługi Microsoft Sentinel odgrywa ważną rolę w ogólnym wykrywaniu zagrożenia bezpieczeństwa, korelując i pasując do sygnałów, które wpływają na obecność zagrożenia cybernetycznego. Dzięki zastosowaniu właściwej reguły analizy można uzyskać szczegółowe informacje o tym, skąd pochodził atak, które zasoby miały naruszone zabezpieczenia, jakie dane zostały potencjalnie utracone, a także informacje dotyczące osi czasu zdarzenia.

Typowe przypadki użycia usługi analizy zabezpieczeń obejmują następujące zastosowania:

  • Identyfikacja kont z naruszonymi zabezpieczeniami

  • Analiza zachowania użytkowników w celu wykrywania potencjalnie podejrzanych wzorców

  • Analiza ruchu sieciowego w celu lokalizowania trendów wskazujących potencjalne ataki

  • Wykrywanie eksfiltracji danych przez osoby atakujące

  • Wykrywanie zagrożeń wewnętrznych

  • Badanie zdarzeń

  • Wyszukiwanie zagrożeń

Wykrycie niektórych zagrożeń przy użyciu konwencjonalnych narzędzi ochrony, takich jak zapory lub rozwiązania chroniące przed złośliwym kodem, może okazać się niemożliwe. Niektóre zagrożenia mogą pozostać niewykryte przez wiele miesięcy. Połączenie danych zebranych przez wiele narzędzi i produktów z możliwością analizy zagrożeń może pomóc w wykrywaniu, analizowaniu i eliminowaniu zagrożeń wewnętrznych.

Za pomocą reguł analizy można także tworzyć niestandardowe alerty używające wskaźników ataku. Te wskaźniki mogą w czasie rzeczywistym identyfikować trwające potencjalne ataki.

Analiza pomaga zespołowi SOC firmy Contoso zwiększyć wydajność złożonego badania i szybszego wykrywania zagrożeń.

Eksplorowanie strony głównej analizy

Reguły analizy można tworzyć na stronie głównej Analiza. Dostęp do strony Analiza w usłudze Microsoft Sentinel można uzyskać w okienku nawigacji.

Screenshot of the Analytics rules and rule details page.

Strona główna Analiza ma trzy główne części:

  • Pasek nagłówka zawiera informacje dotyczące liczby aktualnie używanych reguł.

  • Lista reguł i szablonów zawiera wszystkie szablony reguł, które firma Microsoft wstępnie załadowała z repozytorium GitHub usługi Microsoft Sentinel.

  • Okienko szczegółów zawiera dodatkowe informacje z objaśnieniami dotyczącymi szablonu oraz reguły, których można użyć podczas wykrywania.

Filtrowanie szablonów reguł

Obecnie firma Microsoft wstępnie załadowała ponad 150 reguł szablonów z repozytorium GitHub usługi Microsoft Sentinel. Aby przeszukiwać te szablony i uzyskiwać dostęp do odpowiedniej reguły, należy zastosować filtry. Możesz na przykład zdecydować się na przeglądanie tylko reguł szablonu, które wykrywają zagrożenia o wysokim poziomie ważności, lub reguł pochodzących z określonych źródeł danych.

Aby użyć filtrów, na pasku nagłówka wybierz właściwe filtry.

Screenshot of filtering the Analytics home page.

Na stronie głównej Analiza dostępne są następujące filtry:

  • Ważność. Służy do filtrowania reguł według poziomów ważności.

  • Typ reguły. Obecnie istnieją cztery typy reguł: Zaplanowane, Fusion, Microsoft Security, Machine Edukacja Behavior Analytics.

  • Taktyka. Służy do filtrowania reguł na podstawie 14 określonych metodologii w modelu ATT&CK.

  • Źródła danych. Służy do filtrowania reguł według łącznika źródła danych, który generuje alert.

Uwaga

MITRE ATT&CK to globalnie dostępna baza wiedzy taktyki i technik przeciwników na podstawie rzeczywistych obserwacji. Baza wiedzy ATT&CK jest używana jako podstawa do rozwoju określonych modeli zagrożeń i metodologii w sektorze prywatnym, w instytucjach rządowych i w społeczności produktu i usług cyberbezpieczeństwa.