什么是 Microsoft Sentinel 分析?
Microsoft Sentinel 分析可帮助检测、调查和修正网络安全威胁。 Contoso SOC 团队可以使用 Microsoft Sentinel 分析来设置分析规则和查询,以检测环境中的问题。
什么是 Microsoft Sentinel 分析?
Microsoft Sentinel 分析提供了几项功能,可用于实现 Contoso 的数据和资源的安全性。
可以分析从工作站、服务器、网络设备、防火墙、入侵防护、传感器等收集的历史数据。 Microsoft Sentinel 分析会分析来自不同源的数据,以确定相关性和异常情况。
使用分析规则,你可以根据已知恶意行动者所使用的攻击方法触发警报。 可以设置这些规则来帮助确保 SOC 及时收到环境中潜在安全事件的警报。
为什么要在安全操作中使用分析规则?
尽管 Contoso 实现的其他某些产品可以帮助你识别威胁,但 Microsoft Sentinel 分析在整个安全威胁检测中起着重要作用,它将影响网络安全威胁状况的信号关联和匹配起来。 使用正确的分析规则,可以深入了解攻击来源、已泄露的资源、可能丢失的数据以及事件的时间线。
常见安全分析用例包括:
已泄露帐户的标识
用于检测潜在可疑模式的用户行为分析
用于定位指示潜在攻击的趋势的网络流量分析
攻击者发起的数据外泄检测
检测内部威胁
调查事件
威胁搜寻
可能无法使用传统保护工具(如防火墙或反恶意软件解决方案)检测某些威胁。 某些威胁可能几个月都未检测到。 利用威胁情报的强大功能,合并多个工具和产品收集的数据可帮助检测、分析和缓解内部威胁。
还可以使用分析规则来创建使用攻击指示器的自定义警报。 这些指示器可实时识别正在进行的潜在攻击。
Analytics 有助于 Contoso SOC 团队提高复杂调查的效率并更快地检测威胁。
探索 Analytics 主页
可以从“Analytics”主页创建分析规则。 可以从导航窗格访问 Microsoft Sentinel 中的“分析”页面。
“Analytics”主页有三个主要部分:
标题栏包含当前使用的规则数信息。
规则和模板列表包含 Microsoft 从 Microsoft Sentinel GitHub 存储库预加载的所有规则模板。
详细内容窗格包含说明可用于检测的每个模板和规则的附加信息。
筛选规则模板
Microsoft 当前已从 Microsoft Sentinel GitHub 存储库预加载了 150 个以上模板规则。 若要搜索这些模板并访问相应规则,需要应用筛选器。 例如,你可能只想查看检测高严重性级别威胁的模板规则,或特定数据源的规则。
若要使用筛选器,请在标题栏中选择要使用的筛选器。
“Analytics”主页提供以下筛选器:
严重性。 用于按严重性级别筛选规则。
规则类型。 目前有四种类型的规则:计划、融合、Microsoft 安全、机器学习行为分析。
策略。 用于基于 ATT&CK 模型中的 14 种特定方法来筛选规则。
数据源。 用于通过生成警报的数据源连接器来筛选规则。
注意
MITRE ATT&CK 是一个全球可访问的基于现实认知的攻击者策略和技术知识库。 ATT&CK 知识库用作在私营部门、政府和网络安全产品和服务社区中开发特定威胁模型和方法的基础。