使用 Microsoft Sentinel 为已启用 Azure Arc 的服务器提供威胁情报

  • 7 分钟

Tailwind Traders 的 SOC(安全运营中心)分析师正在努力使用其各种 SIEM 和 SOAR 解决方案评估他们的环境。 在本单元中,你将了解已启用 Azure Arc 的服务器如何与 Microsoft Sentinel(一种与混合和多云环境保持同步的 SIEM 和 SOAR 解决方案)一起使用。

Microsoft Sentinel 概述

Microsoft Sentinel 是可缩放的云原生安全信息与事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 提供跨整个企业的威胁智能,实现了同时用于攻击检测、主动搜寻和威胁响应的统一解决方案。

Microsoft Sentinel 是整个企业的鸟瞰视图,可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据
  • 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大程度减少误报。
  • 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。
  • 通过内置的业务流程和常见任务自动化快速响应事件

连接数据

若要载入 Microsoft Sentinel,首先需要连接到安全源。

Microsoft Sentinel 附带几个适用于 Microsoft 解决方案的连接器,这些连接器立即可用并且可实现实时集成。 Microsoft Sentinel 的现成可用连接器包括 Microsoft 365 源、Microsoft Entra ID、Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps。 此外,内置的连接器可以拓宽非 Microsoft 解决方案的安全生态系统。

启用 Azure Arc 的服务器的相关数据连接器可能包括安全事件(通过旧版代理程序)、Windows 安全事件(通过 AMA )或系统日志。

工作簿和分析

将数据源连接到 Microsoft Sentinel 后,可以使用 Microsoft Sentinel 与 Azure Monitor 工作簿的集成来监视数据,这在创建自定义工作簿方面提供了多样性。 Microsoft Sentinel 还附带内置的工作簿模板,支持在连接到数据源后快速了解数据。

为了助你最大限度地减少必须调查的警报数量,Microsoft Sentinel 使用分析将警报与事件相关联。 事件是一组相关的警报,它们共同创建可进行调查和解决的可操作的潜在威胁。 可以按原样使用内置的关联规则,也可以使用它们作为起点来生成自己的关联规则。 Microsoft Sentinel 还提供机器学习规则用于映射网络行为,然后查找不同资源中的异常。

安全自动化和业务流程

可以将常见任务自动化,并使用可与 Azure 服务和现有工具集成的 playbook 来简化安全业务流程。

由于使用 Azure 逻辑应用,Microsoft Sentinel 的自动化和业务流程解决方案是可扩展的、可缩放的和现代化的。 若要使用 Azure 逻辑应用生成 Playbook,可以从不断扩充的内置 Playbook 库中进行选择。 这些 Playbook 包括适用于 Azure Functions 等服务的 200 多个连接器。 使用连接器可在代码、ServiceNow、Jira、Zendesk、HTTP 请求、Microsoft Teams、Slack、Windows Defender ATP 和 Defender for Cloud Apps 中应用任何自定义逻辑。

搜寻和笔记本

根据 MITRE 框架使用 Microsoft Sentinel 的强大搜寻式搜索和查询工具,可以在触发警报之前,主动搜寻组织的不同数据源中的安全威胁。 在发现哪个搜寻查询提供了对攻击的高价值见解后,还可以根据查询创建自定义检测规则,并将这些见解作为警报呈现给安全事件响应者。 搜寻时可为相关事件创建书签,以便将来可以再次找到这些事件、将其与他人共享,并将其与其他相关事件分组到一起,以创建令人关注的事件方便调查。

Microsoft Sentinel 支持 Azure 机器学习工作区中的 Jupyter 笔记本,包括用于机器学习、可视化和数据分析的完整库。 可以使用 Microsoft Sentinel 中的笔记本来扩展可对 Microsoft Sentinel 数据执行的操作的范围。 例如,可以执行未内置于 Microsoft Sentinel 中的分析,例如一些 Python 机器学习功能;创建未内置于 Microsoft Sentinel 中的数据可视化效果,例如自定义时间线和流程树;或集成 Microsoft Sentinel 之外的数据源,例如本地数据集。