Введение

  • 3 мин

Аналитика Microsoft Sentinel — это интеллектуальное решение, которое можно использовать для обнаружения потенциальных угроз и уязвимостей в организациях.

Представьте, что вы работаете в качестве аналитика Центра безопасности (SOC) в Contoso, Ltd. Contoso является средней ценовой компанией финансовых услуг в Лондоне с офисом филиала Нью-Йорка. Contoso использует несколько продуктов и служб Майкрософт для защиты данных и ресурсов от угроз. Это следующие продукты:

  • Microsoft 365
  • ИД Microsoft Entra
  • Защита идентификации Microsoft Entra
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для удостоверений
  • Microsoft Defender для конечной точки
  • Microsoft Defender для Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso реализует защиту от угроз для своих ресурсов в Azure и локальной среде, используя платную версию Microsoft Defender for Cloud. Компания также осуществляет мониторинг и защиту сторонних ресурсов. Аналитикам безопасности в Contoso приходится выполнять огромную работу по расстановке приоритетов. Они получают большое количество оповещений от нескольких продуктов. Они обрабатывают предупреждения следующими способами:

  • вручную с помощью панелей мониторинга разных проектов;
  • с помощью традиционного механизма корреляции.

При этом необходимость настраивать и обслуживать ИТ-инфраструктуру отвлекает команду ЦОБ от выполнения задач, связанных с обеспечения безопасности.

ИТ-директор считает, что Аналитика Microsoft Sentinel поможет специалистам по анализу безопасности ускорить выполнение сложных исследований и улучшить процессы центра информационной безопасности. Вам, как ведущему системному инженеру компании Contoso и администратору Azure, предложено настроить правила аналитики в Microsoft Sentinel, чтобы команда центра информационной безопасности могла определять и анализировать атаки на ресурсы компании Contoso.

В этом модуле объясняется, почему важно использовать Аналитику Microsoft Sentinel, а также показано, как создавать и реализовывать правила аналитики на основе существующих шаблонов, создавать новые правила и запросы с помощью мастера и управлять правилами с помощью изменений.

Пройдя этот модуль, вы сможете настроить правила аналитики в Microsoft Sentinel, чтобы упростить команде центра информационной безопасности определение и блокировку кибератак.

Цели обучения

  • объяснять важность использования Аналитики Microsoft Sentinel;
  • описывать разные типы правил аналитики;
  • создавать правила на основе шаблонов;
  • создавать новые правила и запросы аналитики с помощью мастера правил аналитики;
  • управлять правилами с помощью изменений.

Необходимые компоненты

  • Базовые знания о службах Azure.
  • Базовые знания о концепциях функционирования, таких как мониторинг, ведение журнала и предупреждения.
  • Подписка Azure.
  • Подписка Azure с экземпляром Microsoft Sentinel

Примечание.

Если вы решили выполнить упражнение в этом модуле, имейте в виду, что в подписке Azure за это может взиматься плата. Чтобы оценить затраты, ознакомьтесь с ценами на Microsoft Sentinel.