介绍
使用 Microsoft Sentinel 通过交互式查询和其他工具搜寻本地和云环境中存在的安全威胁。
本模块设想了一家名为 Contoso, Ltd. 的中型金融服务公司,总部位于伦敦,在纽约设有分支机构。 Contoso 使用 Microsoft 365、Microsoft Entra ID、Microsoft Entra ID 保护、Microsoft Defender for Cloud Apps、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Endpoint Protection 和 Azure 信息保护。
你是安全操作中心团队的一员,团队分配给你的任务是使用 Microsoft Sentinel 识别 Contoso 的 Azure 环境中的安全威胁。
通过学习本模块,你将能够使用 Microsoft Sentinel 中提供的工具搜寻威胁。 具体而言,你将能够使用 Microsoft Sentinel 查询来主动识别威胁行为。 你还将能够使用书签和 Livestream 识别 Contoso 的 Azure 环境中特定帐户的使用模式。
学习目标
完成此模块后,你将能够:
- 使用查询搜寻威胁。
- 使用书签保存重要发现。
- 通过 Livestream 观察随时间推移的威胁情况。
先决条件
若要从此模块获取最佳学习体验,你应具备以下先决条件:
- 熟悉组织中的安全操作。
- 配置 Azure 服务(特别是 Azure Policy)的基本经验。
- 操作概念的基本知识,如监视、日志记录和警报。
- 基本 Microsoft Sentinel 功能。
- 访问用于练习任务的 Microsoft Azure 订阅。
注意
如果执行本模块中的练习,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。