Введение

  • 3 мин

Содержимое Microsoft Sentinel — это содержимое управления информационной безопасностью и событиями безопасности (SIEM), которое позволяет клиентам выполнять прием данных, а также мониторинг, оповещение, поиск, исследование, реагирование и подключение к различным продуктам, платформам и службам в Microsoft Sentinel.

Содержимое в Microsoft Sentinel включает любой из следующих типов:

  • Соединители данных обеспечивают прием журналов из разных источников в Microsoft Sentinel.
  • Средства синтаксического анализа обеспечивают форматирование и преобразование журнала в форматы ASIM, поддерживая использование различных типов контента и сценариев Microsoft Sentinel.
  • Книги обеспечивают мониторинг, визуализацию и возможности интерактивного взаимодействия с данными в Microsoft Sentinel, выделяя важные сведения для пользователей.
  • Правила аналитики предоставляют оповещения, которые указывают на соответствующие действия SOC через инциденты
  • Запросы охоты используются командами SOC для упреждающего поиска угроз в Microsoft Sentinel.
  • Записные книжки помогают командам SOC использовать расширенные функции поиска в Jupyter и Azure Notebooks.
  • Списки наблюдения поддерживают прием определенных данных для расширенного обнаружения угроз и снижения усталости оповещений
  • Сборники схем и настраиваемые соединители Azure Logic Apps предоставляют функции для автоматических исследований, исправлений и сценариев реагирования в Microsoft Sentinel

Чтобы сохранить содержимое в Microsoft Sentinel, используйте следующее:

  • Центр содержимого: решения Microsoft Sentinel — это пакеты содержимого Microsoft Sentinel или интеграции API Microsoft Sentinel, которые реализуют полный сценарий продукта, домена или отрасли в Microsoft Sentinel.
  • Репозитории: позволяют автоматизировать развертывание контента Microsoft Sentinel и управление им с помощью центральных репозиториев.
  • Сообщество: подключите содержимое сообщества по запросу для включения сценариев. В репозиторий https://github.com/Azure/Azure-Sentinel в GitHub находится содержимое корпорации Майкрософт и сообщества, которое протестировано и доступно для реализации в рабочей области Sentinel.

Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Необходимо установить соединители и аналитические правила от поставщика. Вы также создали библиотеку запросов охоты, которые должны поддерживаться в нескольких средах.

После прохождения этого модуля вы сможете управлять содержимым в Microsoft Sentinel.

По завершении этого модуля вы сможете:

  • Установка решения для центра содержимого в Microsoft Sentinel
  • Подключение репозитория GitHub к Microsoft Sentinel