Så här fungerar Microsoft Sentinel

  • 10 minuter

Microsoft Sentinel hjälper dig att aktivera säkerhetsåtgärder från slutpunkt till slutpunkt. Det börjar med logginmatning och fortsätter med automatiserade svar på säkerhetsaviseringar.

Här är de viktigaste funktionerna och komponenterna i Microsoft Sentinel.

Dataanslutningar

Det första du behöver göra är att mata in dina data i Microsoft Sentinel. Med dataanslutningsprogram kan du göra just det. Du ansluter dataanslutningar genom att först installera Content Hub-lösningar . När du har installerat kan du lägga till vissa tjänster, till exempel Azure-aktivitetsloggar, bara genom att välja en knapp. Andra, till exempel syslog, kräver mer konfiguration. Det finns dataanslutningsprogram som omfattar alla scenarier och källor, inklusive men inte begränsat till:

  • syslog
  • Common Event Format (CEF)
  • TAXII (Trusted Automated eXchange of Indicator Information) (för hotinformation)
  • Azure-aktivitet
  • Microsoft Defender-tjänster
  • Amazon Web Services (AWS) och Google Cloud Platform (GCP)

Skärmbild som visar en partiell lista över dataanslutningar i Microsoft Sentinel-användargränssnittet i Azure Portal.

Kvarhållning av loggar

När data har matats in i Microsoft Sentinel lagras data på Log Analytics-arbetsytan. Fördelarna med att använda Log Analytics omfattar bland annat möjligheten att använda Kusto Query Language (KQL) när du kör frågor mot data. KQL är ett omfattande frågespråk som ger dig stora möjligheter att undersöka och få insikter från data.

Skärmbild som visar Log Analytics-gränssnittet i Azure Portal.

Arbetsböcker

Du kan använda arbetsböcker för att visualisera dina data i Microsoft Sentinel. Tänk på arbetsböcker som instrumentpaneler. Varje komponent i instrumentpanelen har skapats med hjälp av en underliggande KQL-fråga till dina data. Du kan använda de inbyggda arbetsböckerna i Microsoft Sentinel och redigera dem för att uppfylla dina egna behov, eller skapa egna arbetsböcker från grunden. Om du har använt Azure Monitor-arbetsböcker är den här funktionen bekant för dig, eftersom det är Sentinels implementering av Monitor-arbetsböcker.

Skärmbild som visar ett exempel på en arbetsbok i Microsoft Sentinel.

Analysaviseringar

Hittills har du dina loggar och vissa datavisualiseringar. Nu skulle vara bra med några proaktiva analyser av dina data, så att du kan få aviseringar när något misstänkt inträffar. Du kan aktivera flera inbyggda analysaviseringar på Sentinel-arbetsytan. Det finns olika typer av aviseringar, vilka du kan redigera efter behov. Andra aviseringar bygger på maskininlärningsmodeller som är tillverkarspecifika för Microsoft. Du kan även skapa anpassade schemalagda aviseringar från grunden.

Skärmbild som visar några av de inbyggda analysaviseringar som är tillgängliga i en Microsoft Sentinel-arbetsbok.

Jakt på hot

Vi kommer inte att gå närmare in på hotjakt i den här modulen. Men om SOC-analytiker behöver jaga efter misstänkt aktivitet tillhandahåller många content hub-lösningar inbyggda jaktfrågor som de kan använda. Analytiker kan också skapa egna frågor. Sentinel är även integrerat med Azure Notebooks. Det tillhandahåller notebook-exempelfiler för avancerad jakt som utnyttjar programmeringsspråkets hela kraft i jakten på hot i dina data.

Skärmbild som visar gränssnittet för hotjakt i Microsoft Sentinel.

Incidenter och utredningar

En incident skapas när en avisering utlöses. I Microsoft Sentinel kan du utföra standarduppgifter för incidenthantering som att ändra status eller tilldela incidenter till enskilda personer för undersökning. Microsoft Sentinel har också undersökningsfunktioner, så du kan visuellt undersöka incidenter genom att mappa entiteter mellan loggdata längs en tidslinje.

Skärmbild som visar ett diagram över incidentundersökningar i Microsoft Sentinel.

Spelböcker för automatisering

Med möjligheten att svara på incidenter automatiskt kan du automatisera vissa av dina säkerhetsåtgärder och göra dina SOC mer produktiva. Med Microsoft Sentinel kan du skapa automatiserade arbetsflöden eller spelböcker som svar på händelser. Den här funktionen kan användas för incidenthantering, berikning, utredning eller reparation. Dessa funktioner kallas ofta säkerhetsorkestrering, automatisering och svar (SOAR, Security Orchestration, Automation, and Response).

Skärmbild som visar en Microsoft Sentinel Automation med alternativen Skapa markerade.

Som SOC-analytiker börjar du nu se hur Microsoft Sentinel kan hjälpa dig att uppnå dina mål. Du kan exempelvis:

  • Mata in data från molnet och lokala miljöer.
  • Utföra analys av dessa data.
  • Hantera och undersöka eventuella incidenter som inträffar.
  • Svara automatiskt med hjälp av spelböcker.

Med andra ord ger Microsoft Sentinel dig en lösning från slutpunkt till slutpunkt för dina säkerhetsåtgärder.