描述 Microsoft Sentinel 中的威胁检测和缓解功能
若要高效管理组织的网络安全外围,需正确组合工具和系统。 Microsoft Sentinel 是可缩放的云原生 SIEM/SOAR 解决方案,可在整个企业内提供智能安全分析和威胁情报。 它提供单一的解决方案来进行网络威胁的检测、调查、响应和主动搜寻,并为整个企业提供鸟瞰视图。
此图展示了 Microsoft Sentinel 的端到端功能。
- 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据。
- 使用分析和独特的威胁情报检测以前发现的威胁并最大程度减少误报。
- 充分利用 Microsoft 数十年的网络安全工作经验,使用人工智能 (AI) 调查威胁并大规模搜寻可疑活动。
- 通过内置的业务流程和常见安全任务的自动化来快速响应事件。
在现代安全运营中心 (SOC) 中,Microsoft Sentinel 可帮助实现端到端安全操作。
大规模收集数据
跨所有用户、设备、应用程序和基础结构(无论在本地还是多个云中)收集数据。 以下是 Microsoft Sentinel 中用于数据收集的关键功能。
开箱即用的数据连接器 - 许多连接器都与 Microsoft Sentinel 的 SIEM 解决方案打包在一起,并提供实时集成。 这些连接器包括 Microsoft 源和 Azure 源,例如 Microsoft Entra ID、Azure 活动、Azure 存储等。
对于非 Microsoft 解决方案,现成连接器也可用于更广泛的安全性和应用程序生态系统。 你也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Microsoft Sentinel 相连接。
自定义连接器 - Microsoft Sentinel 支持在没有专用连接器的情况下从某些源引入数据。 如果你无法使用现有解决方案将数据源连接到 Microsoft Sentinel,则可以创建你自己的数据源连接器。
数据规范化 - Microsoft Sentinel 从多个源引入数据。 在调查和搜寻期间处理和关联不同类型的数据可能很有挑战性。 Microsoft Sentinel 支持高级安全信息模型 (ASIM),该模型介于这些不同源和用户之间,帮助提供统一的规范化视图。
检测威胁
使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大限度地减少误报。 以下是 Microsoft Sentinel 中用于威胁检测的关键功能。
分析 - Microsoft Sentinel 使用分析将警报和事件进行分组。 按原样使用现成的分析规则,或将其作为构建你自己的规则的起点。 Microsoft Sentinel 还提供用于映射网络行为的规则,然后会查找不同资源中的异常。
MITRE ATT&CK 覆盖范围 - Microsoft Sentinel 分析引入的数据,不仅可检测并帮助调查威胁,还可根据 MITRE ATT&CK® 框架(全球性的对手策略和技术数据库)的策略和技术直观显示组织安全状态的性质和覆盖范围。
威胁情报 - 可以将许多威胁情报源集成到 Microsoft Sentinel 中,以检测环境中的恶意活动,并为安全调查人员提供上下文以做出明智的响应决策。
监视列表 - 可以将你提供的数据源(监视列表)中的数据与 Microsoft Sentinel 环境中的事件关联起来。 例如,可以创建一个监视列表,其中列出了环境中的高价值资产、离职员工或服务帐户。 在搜索、检测规则、威胁搜寻和响应 playbook 中使用监视列表。
工作簿 - 可以使用工作簿创建交互式可视报表。 将数据源连接到 Microsoft Sentinel 后,可以使用 Microsoft Sentinel 与 Azure Monitor 工作簿的集成来监视数据。 Microsoft Sentinel 附带内置的工作簿模板,可让你快速获得数据见解。 你也可以创建自己的自定义工作簿。
调查威胁
借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。 以下是 Microsoft Sentinel 中用于威胁调查的关键功能。
事件 - 事件是案例文件,包含针对特定调查的所有相关证据的聚合。 每个事件都是根据证据(警报)片段创建(或添加)的,这些片段由分析规则生成或从生成其自己的警报的第三方安全产品导入。 事件详细信息页面提供信息和调查工具,帮助你了解潜在安全威胁的范围并找到根本原因。
搜寻 - 根据 MITRE 框架使用 Microsoft Sentinel 的强大搜寻式搜索和查询工具,可以在触发警报之前,主动搜寻组织的不同数据源中的安全威胁。 发现哪个搜寻式查询可以提供有关潜在攻击的宝贵见解后,还可以基于该查询创建自定义检测规则,并将这些见解作为警报传达给安全事件响应者。
笔记本 - Microsoft Sentinel 支持 Azure 机器学习工作区中的 Jupyter 笔记本。 Jupyter 笔记本是一种开源 Web 应用程序,可用于创建和共享包含实时代码、公式、可视化效果和叙述性文本的文档。
使用 Microsoft Sentinel 中的笔记本来扩展可对 Microsoft Sentinel 数据执行的操作的范围。 例如:
- 执行非内置于 Microsoft Sentinel 的分析(例如,一些 Python 机器学习功能)。
- 创建非内置于 Microsoft Sentinel 的数据可视化效果(例如,自定义时间线和进程树)。
- 集成 Microsoft Sentinel 外部的数据源(例如,本地数据集)。
快速响应事件
借助 Microsoft Sentinel,你可以通过与 Azure 服务和现有工具集成的 Playbook 自动执行常见任务并简化安全业务流程,从而更快地响应事件。
以下是 Microsoft Sentinel 中用于威胁响应的关键功能。
自动化规则 - 通过定义并协调涵盖不同方案的一小部分规则,集中管理 Microsoft Sentinel 中的事件处理自动化。
Playbook - 使用 Playbook 自动执行和协调威胁响应,这是修正操作的集合。 按需或自动运行 playbook 以响应由自动化规则触发的特定警报或事件。
Microsoft Sentinel 中的 Playbook 基于 Azure 逻辑应用中生成的工作流。 例如,如果使用 ServiceNow 票证系统,请使用 Azure 逻辑应用自动执行工作流,并在每次生成特定的警报或事件时在 ServiceNow 中开具票证。
启用现成安全内容
Microsoft Sentinel 内容是指安全信息和事件管理 (SIEM) 解决方案组件,使客户能够引入数据、监视、警示、搜寻、调查、响应和连接不同的产品、平台和服务。 Microsoft Sentinel 中的内容可以包括以下内容类型:数据连接器、工作簿、分析规则、搜寻查询、笔记本、监视列表和 Playbook。
Microsoft Sentinel 将这些内容类型作为解决方案和独立项提供。 解决方案是指 Microsoft Sentinel 内容或 Microsoft Sentinel API 集成包,可在 Microsoft Sentinel 中实现端到端的产品、领域或行业垂直方案。 解决方案和独立项均可从内容中心发现和管理。
Microsoft Sentinel 内容中心是用于发现和管理现成(内置)打包解决方案的集中位置。 Microsoft Sentinel 解决方案是包含 Microsoft Sentinel 内容或 Microsoft Sentinel API 集成的程序包,可提供单步部署和启用。 内容中心解决方案,在 Microsoft Sentinel 中实现端到端的产品、领域或行业垂直方案。 一个特定于域的内置解决方案示例是 Microsoft Purview 内部风险管理,它包括数据连接器、工作簿、分析规则、搜索查询和 Playbook。
Microsoft Defender 门户中的 Microsoft Sentinel
Microsoft Sentinel 是通过 Azure 门户启用的安全服务。 启用 Microsoft Sentinel 服务后,可以通过 Azure 门户或从 Microsoft Defender 门户中的 Microsoft 统一安全运营平台内部访问该服务。
Microsoft Defender 门户中的 Microsoft 统一安全运营平台汇集了 Microsoft Defender 中的 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Copilot 的全部功能。
将 Microsoft Sentinel 加入 Defender 门户时,可以将所有功能与 Microsoft Defender XDR(例如事件管理和高级搜寻)统一起来。 减少工具切换并生成更注重上下文的调查,以加快事件响应速度并迅速阻止违规行为。
有关 Microsoft Defender 门户中的 Microsoft Sentinel 体验以及加入方法的详细信息,请参阅本模块的摘要和资源部分。