Wprowadzenie

  • 3 min

Zawartość usługi Microsoft Sentinel to zawartość zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), która umożliwia klientom pozyskiwanie danych, monitorowanie, alerty, wyszukiwanie, badanie, reagowanie i łączenie się z różnymi produktami, platformami i usługami w usłudze Microsoft Sentinel.

Zawartość w usłudze Microsoft Sentinel zawiera dowolny z następujących typów:

  • Łączniki danych zapewniają pozyskiwanie dzienników z różnych źródeł do usługi Microsoft Sentinel
  • Analizatory zapewniają formatowanie/przekształcanie dziennika w formaty ASIM, obsługując użycie w różnych typach zawartości i scenariuszach usługi Microsoft Sentinel
  • Skoroszyty zapewniają monitorowanie, wizualizację i interakcyjność z danymi w usłudze Microsoft Sentinel, podkreślając istotne szczegółowe informacje dla użytkowników
  • Reguły analizy zapewniają alerty wskazujące odpowiednie akcje SOC za pośrednictwem zdarzeń
  • Zapytania dotyczące wyszukiwania zagrożeń są używane przez zespoły SOC do proaktywnego wyszukiwania zagrożeń w usłudze Microsoft Sentinel
  • Notesy ułatwiają zespołom SOC korzystanie z zaawansowanych funkcji wyszukiwania zagrożeń w programie Jupyter i usłudze Azure Notebooks
  • Listy kontrolne obsługują pozyskiwanie określonych danych w celu rozszerzonego wykrywania zagrożeń i zmniejszenia zmęczenia alertów
  • Podręczniki i łączniki niestandardowe usługi Azure Logic Apps udostępniają funkcje zautomatyzowanego badania, korygowania i scenariuszy odpowiedzi w usłudze Microsoft Sentinel

Aby zachować zawartość w usłudze Microsoft Sentinel, użyj:

  • Centrum zawartości: — rozwiązania usługi Microsoft Sentinel to pakiety zawartości usługi Microsoft Sentinel lub integracji interfejsu API usługi Microsoft Sentinel, które spełniają kompleksowe scenariusze produktu, domeny lub branży w usłudze Microsoft Sentinel.
  • Repozytoria: — repozytoria ułatwiają automatyzowanie wdrażania zawartości usługi Microsoft Sentinel i zarządzania nią za pośrednictwem repozytoriów centralnych.
  • Społeczność: dołącz zawartość społeczności na żądanie, aby umożliwić korzystanie ze scenariuszy. Repozytorium GitHub w witrynie https://github.com/Azure/Azure-Sentinel zawiera zawartość firmy Microsoft i społeczność, która jest testowana i dostępna do zaimplementowania w obszarze roboczym usługi Sentinel.

Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która wdrożyła usługę Microsoft Sentinel. Należy zainstalować łączniki i reguły analityczne od dostawcy. Utworzono również bibliotekę zapytań wyszukiwania zagrożeń, które muszą być przechowywane w wielu środowiskach.

Po ukończeniu tego modułu będziesz mieć możliwość zarządzania zawartością w usłudze Microsoft Sentinel.

Po ukończeniu tego modułu będziesz mieć następujące umiejętności:

  • Instalowanie rozwiązania centrum zawartości w usłudze Microsoft Sentinel
  • Połączenie repozytorium GitHub do usługi Microsoft Sentinel