Управление корпоративной безопасностью с помощью Microsoft Sentinel

  • 10 мин

Ваша финансовая организация постоянно работает с клиентами и партнерами в разных регионах мира. Многие транзакции происходят каждый день, и каждая транзакция должна отслеживаться и защищаться независимо от его типа или устройств и пользователей, участвующих. Стратегия безопасности и мониторинга вашей организации должна сосредоточиться на безопасности и мониторинге на уровне предприятия.

В этом уроке описывается, как Microsoft Sentinel помогает отслеживать и реагировать на угрозы безопасности в организации корпоративного уровня. Решение Microsoft Sentinel может использоваться для решения следующих задач.

  • Получите подробный обзор предприятия, потенциально в нескольких облаках и локальных расположениях.
  • Отказ от использования сложных и разнородных средств.
  • Использование ИИ корпоративного уровня, созданного экспертами, для выявления и устранения угроз в масштабах всей организации.

Подключение источников данных в Microsoft Sentinel

Для реализации Microsoft Sentinel требуется рабочая область Log Analytics. При создании ресурса Microsoft Sentinel в портал Azure можно создать новую рабочую область Log Analytics или подключить существующую рабочую область.

Screenshot of adding a Log Analytics workspace.

После создания ресурса Microsoft Sentinel и подключения его к рабочей области необходимо подключить источники данных для вашего предприятия. Установите решения с соединителями данных из концентратора содержимого. Microsoft Sentinel интегрируется с решениями Майкрософт, включая идентификатор Microsoft Entra и Microsoft 365 через соединители.

Все доступные соединители данных можно просмотреть, выбрав соединители данных в разделе "Конфигурация" в левой панели навигации Microsoft Sentinel.

Screenshot of data connectors.

Выберите соответствующий соединитель данных для источника данных, прочитайте сведения о соединителе и выберите страницу "Открыть соединитель", чтобы просмотреть необходимые условия для соединителя. Убедитесь, что вы выполнили все необходимые условия для успешного подключения источника данных.

При подключении источника данных журналы синхронизируются с Microsoft Sentinel. Вы увидите сводку собранных данных в графе полученных данных для соединителя. Вы также можете увидеть различные типы данных, собранные для источника. Например, соединитель учетной записи служба хранилища Azure может собирать данные журнала BLOB-объектов, очередей, файлов или таблиц.

Screenshot of the Data received graph.

После подключения источников данных Microsoft Sentinel начинает отслеживать свое предприятие.

Screenshot of an alert map.

Использование оповещений для мониторинга предприятия

Вы можете настроить правила генерации оповещений для более интеллектуального исследования аномалий и угроз. Правила генерации оповещений указывают угрозы и действия, которые должны вызывать оповещения. Вы можете подготовить ответ вручную или использовать сборники схем для автоматического создания ответов.

Выберите Аналитику в левой области навигации Microsoft Sentinel в разделе "Конфигурация" , чтобы просмотреть все правила, которые есть, и создать новые правила.

Screenshot of View all alerts.

При создании правила необходимо указать, следует ли включить или отключить его, а также серьезность оповещения. В поле "Запрос правила" вкладки "Задать логику правила" введите запрос правила.

Screenshot of Create alert rule.

Например, следующий запрос может определить, создаются ли или обновляются подозрительные виртуальные машины Azure, а также происходит подозрительное количество развертываний ресурсов.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

В разделе планирования запросов можно задать частоту выполнения запроса и период данных для поиска. В разделе "Пороговое значение оповещения" можно указать уровень, на котором будет вызываться оповещение.

Исследование инцидентов

Microsoft Sentinel объединяет созданные оповещения в инциденты для дальнейшего изучения. Выберите инциденты в левой области навигации Microsoft Sentinel в разделе "Управление угрозами", чтобы просмотреть сведения обо всех инцидентах, например о том, сколько инцидентов закрыто, сколько остается открытым, когда инциденты произошли, и их серьезность.

Чтобы начать расследование инцидента, выберите инцидент. Вы получите сведения об инциденте в правой области. Чтобы получить более подробные сведения, щелкните Просмотр полных сведений.

Screenshot of the Incidents page.

Чтобы исследовать инцидент, обновите его состояние от "Создать " до "Активный", назначьте его владельцу и выберите " Исследовать".

Screenshot of Incident detail.

Карта исследования помогает понять, что вызвало инцидент и затронутые область. Вы также можете использовать карту для сопоставления данных, связанных с инцидентом.

Screenshot of an investigation map.

Схема исследования позволяет детализировать инцидент. Несколько сущностей, включая пользователей, устройств и (модуль), можно сопоставить с инцидентом. Например, вы можете получить сведения о пользователе, идентифицированном как часть инцидента.

Screenshot of entity.

Если навести указатель мыши на сущность, вы увидите список запросов для исследования, разработанных аналитиками и экспертами майкрософт по безопасности. Запросы исследования можно использовать для более эффективного изучения.

Screenshot of exploration queries.

На схеме исследования также отображается временная шкала, с помощью которой можно определить событие, которое произошло в конкретный момент времени. Используйте функцию временной шкалы, чтобы понять путь, по которому со временем может поступить угроза.

Screenshot of timeline.

Проверьте свои знания

1.

Почему вы используете Microsoft Sentinel?

2.

Как с помощью карты исследования Microsoft Sentinel определить, какие пользователи пострадали от инцидента?