簡介
Microsoft Sentinel 分析提供可用來偵測組織中潛在威脅與弱點的智慧型解決方案。
假設您是 Contoso, Ltd. 的一名安全性作業中心 (SOC) 分析師。Contoso 是位於倫敦並設有紐約分公司的中型金融服務公司。 Contoso 使用數種 Microsoft 產品與服務來為其資源實作資料安全性與威脅防護。 這些產品包括:
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- 適用於身分識別的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- System Center Endpoint Protection
- Microsoft Azure 資訊保護
Contoso 透過使用付費版「適用於雲端的 Microsoft Defender」,為其 Azure 型與內部部署資源提供威脅防護。 該公司同時也監視並保護其他非 Microsoft 資產。 Costoso 的安全性分析師會面臨龐大的分級負擔。 其會處理來自多項產品的大量警示。 其會以下列方式將警示相互關聯:
- 從不同的專案儀表板手動操作
- 透過使用傳統的相互關聯引擎
此外,設定及維護 IT 基礎結構所需花費的時間,會使 SOC 小組無法執行其安全性工作。
IT 主管相信,Microsoft Sentinel 分析將能協助安全性分析師更快速地執行複雜調查,並改善其安全性作業中心 (SOC)。 身為 Contoso 的首席系統工程師與 Azure 系統管理員,您需負責在 Microsoft Sentinel 中設定分析規則,使 SecOps 小組能識別及分析對 Contoso 資源所進行的攻擊。
在此課程模組中,您將了解使用 Microsoft Sentinel 分析的重要性、從現有範本建立及實作分析規則、使用精靈來建立新的規則和查詢,以及透過修改來管理規則。
在此課程模組結束時,您將能在 Microsoft Sentinel 中設定分析規則,以協助 SecOps 小組識別及阻止網路攻擊。
學習目標
- 說明 Microsoft Sentinel 分析的重要性。
- 說明不同類型的分析規則。
- 從範本建立規則。
- 使用分析規則精靈建立新的分析規則及查詢。
- 透過修改來管理規則。
必要條件
- Azure 服務的基本知識
- 操作概念的基本知識,例如監視、記錄和警示
- Azure 訂用帳戶
- Azure 訂用帳戶中的 Microsoft Sentinel 執行個體
注意
請注意,如果您選擇執行此課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 定價。