简介
Microsoft Sentinel 分析提供智能解决方案,可用于检测组织中的潜在威胁和漏洞。
假设你是 Contoso 有限公司的一名安全操作中心 (SOC) 分析师。Contoso 是伦敦一家中型金融服务公司,在纽约市有一家分公司。 Contoso 使用几个 Microsoft 产品和服务来实现其资源的数据安全和威胁防护。 这些产品包括:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID 保护
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Office 365
- System Center Endpoint Protection
- Microsoft Azure 信息保护
Contoso 使用付费版 Microsoft Defender for Cloud 为其基于 Azure 的资源和本地资源提供威胁防护。 该公司还监视和保护其他非 Microsoft 资产。 Contoso 的安全分析师面临巨大的会审压力。 他们处理来自多个产品的大量警报。 他们通过下列方式关联警报:
- 从不同的项目仪表板手动关联
- 通过使用传统的关联引擎
此外,设置和维护 IT 基础结构所用的时间会挤占 SOC 团队用于执行安全任务的时间。
IT 主管认为,Microsoft Sentinel 分析将帮助安全分析师更快地执行复杂的调查并改进其安全操作中心 (SOC)。 作为 Contoso 的首席系统工程师和 Azure 管理员,你需要在 Microsoft Sentinel 中设置分析规则,以便 SecOps 团队能够识别和分析对 Contoso 资源的攻击。
在本模块中,你将了解使用 Microsoft Sentinel 分析的重要性,从现有模板中创建和实现分析规则,使用向导创建新规则和查询以及管理修改后的规则。
完成本模块后,你将能够在 Microsoft Sentinel 中设置分析规则,帮助 SecOps 团队识别和停止网络攻击。
学习目标
- 说明 Microsoft Sentinel 分析的重要性。
- 介绍不同类型的分析规则。
- 从模板创建规则。
- 使用分析规则向导创建新的分析规则和查询。
- 管理修改后的规则。
先决条件
- Azure 服务基础知识
- 操作概念的基本知识,如监视、日志记录和警报
- Azure 订阅
- Azure 订阅中的 Microsoft Sentinel 实例
注意
如果选择执行本模块中的练习,请注意,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价