Введение
Microsoft Sentinel собирает журналы и оповещения от всех подключенных источников данных и анализирует их. Решение создает базовые профили поведения сущностей в организации (пользователей, узлов, IP-адресов, приложений и т. д.).
Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Группа специалистов по анализу угроз сообщила о проблемах с конкретной учетной записью пользователя, исходя из обнаруженных индикаторов угроз, и теперь ей необходимо быстро просмотреть профиль, который содержит исторические и связанные данные сущности. Вам необходимо перенаправить специалиста по анализу угроз на страницу «Поведение сущности», чтобы выполнить дальнейший анализ учетной записи.
После прохождения этого модуля вы сможете использовать аналитику поведения сущностей в Microsoft Sentinel для выявления угроз внутри организации.
По завершении этого модуля вы сможете:
- Пояснение особенностей аналитики поведения пользователей и сущностей в Microsoft Sentinel
- Просмотр сущностей в Microsoft Sentinel
- Использование поведения сущностей в аналитических правилах
Необходимые компоненты
Знакомство с системой управления инцидентами безопасности в Microsoft Sentinel