介绍
假设你是 Contoso, Ltd. 的安全工程师,这是伦敦的一家中型金融服务公司,在纽约设有分支机构。 Contoso 使用以下 Microsoft 安全管理产品:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID 保护
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Office 365
- Intune Endpoint Protection
- Azure 信息保护
Contoso 使用 Microsoft Defender for Cloud 作为针对在 Azure 和本地运行的资源的威胁防护。 该公司还监视和保护其他非 Microsoft 资产。
最近,该公司的 Azure 活动日志显示,从 Azure 订阅中删除了大量 VM。 你需要分析这种情况并在以后发生类似活动时收到警报。
Microsoft Sentinel 是一个云应用程序,可帮助保护 Contoso 的资源。 在本模块中,你将了解如何使用 Microsoft Sentinel 在 Contoso 用户删除现有 VM 时创建和调查事件。
学习目标
- 了解安全事件和 Microsoft Sentinel 事件管理。
- 了解 Microsoft Sentinel 事件证据和实体。
- 使用 Microsoft Sentinel 调查安全事件并管理事件解决。
先决条件
- 熟悉组织中的安全操作。
- 使用 Azure 服务的基本经验。
- 了解操作概念,如监视、日志记录和警报。
- 具备 Microsoft Sentinel 规则的基础知识。
注意
如果选择完成本模块中的可选练习,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价。