Introduktion

  • 3 minuter

Microsoft Sentinel Analytics tillhandahåller en intelligent lösning som du kan använda för att identifiera potentiella hot och sårbarheter i dina organisationer.

Anta att du arbetar som SOC-analytiker (Security Operations Center) i Contoso, Ltd. Contoso är ett medelstort företag för finansiella tjänster i London med ett filialkontor i New York. Contoso använder flera Microsoft-produkter och -tjänster för att implementera datasäkerhet och hotskydd för sina resurser. Dessa produkter är:

  • Microsoft 365
  • Microsoft Entra ID
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Defender för Endpoint
  • Microsoft Defender for Office 365
  • System Center Endpoint Protection
  • Microsoft Azure Information Protection

Contoso ger skydd mot hot för sina Azure-baserade och lokala resurser med hjälp av den betalda versionen av Microsoft Defender för molnet. Företaget övervakar och skyddar även andra tillgångar som inte kommer från Microsoft. Säkerhetsanalytikerna på Contosos står inför ett enormt prioriteringsarbete. De hanterar en stor mängd aviseringar från flera produkter. De korrelerar aviseringar på följande sätt:

  • Manuellt från olika produktinstrumentpaneler
  • Med hjälp av en traditionell korrelationsmotor

Den tid som krävs för att konfigurera och underhålla IT-infrastrukturen gör dessutom att SOC-teamet inte har lika mycket tid att lägga på säkerhetsuppgifterna.

IT-chefen tror att Microsoft Sentinel Analytics hjälper säkerhetsanalytikerna att utföra komplexa undersökningar snabbare och förbättra sitt Security Operations Center (SOC). Som Contosos ledande systemtekniker och Azure-administratör har du blivit ombedd att konfigurera analysregler i Microsoft Sentinel så att SecOps-teamet kan identifiera och analysera attacker mot Contosos resurser.

I den här modulen förstår du vikten av att använda Microsoft Sentinel Analytics, skapa och implementera analysregler från befintliga mallar, skapa nya regler och frågor med hjälp av guiden och hantera regler med ändringar.

I slutet av den här modulen kommer du att kunna konfigurera analysregler i Microsoft Sentinel för att hjälpa SecOps-teamet att identifiera och stoppa cyberattacker.

Utbildningsmål

  • Förklara vikten av Microsoft Sentinel Analytics.
  • Förklara olika typer av analysregler.
  • Skapa regler från mallar.
  • Skapa nya analysregler och -frågor med hjälp av guiden för analysregler.
  • Hantera regler med ändringar.

Förutsättningar

  • Grundläggande kunskaper om Azure-tjänster
  • Grundläggande kunskaper om driftskoncept, till exempel övervakning, loggning och avisering
  • Azure-prenumeration
  • Microsoft Sentinel-instans i din Azure-prenumeration

Kommentar

Om du väljer att utföra övningen i den här modulen ska du vara medveten om att det kan tillkomma kostnader i din Azure-prenumeration. Information om hur du beräknar kostnaden finns i Priser för Microsoft Sentinel