什麼是 Microsoft Sentinel 分析?
Microsoft Sentinel Analytics 可協助您偵測、調查及補救網路安全性威脅。 Contoso SOC 小組可以使用 Microsoft Sentinel Analytics 來設定分析規則與查詢,以偵測您環境中的問題。
什麼是 Microsoft Sentinel 分析?
Microsoft Sentinel Analytics 能提供可用來針對 Contoso 的資料與資源實作安全性的數個功能。
您可以分析從您的工作站、伺服器、網路裝置、防火牆、入侵預防、感應器等收集的歷程記錄資料。 Microsoft Sentinel Analytics 會分析來自各種來源的資料,以識別相互關聯與異常狀況。
透過使用分析規則,您可以根據由已知惡意執行者使用的攻擊技術來觸發警示。 您可以設定這些規則來協助確保 SOC 會在環境中發生潛在安全性事件時及時收到警示。
為何要針對安全性作業使用分析規則?
雖然 Contoso 實作的一些其他產品可以協助您識別威脅,但因為 Microsoft Sentinel Analytics 能透過相互關聯並比對影響網路安全性威脅存在的信號,所以使其在整體的安全性威脅偵測上扮演重要角色。 透過使用適當的分析規則,您便可以取得關於攻擊的來源、遭洩漏的資源、潛在的資料遺失,以及事件時間表的見解。
常見的安全性分析使用案例包括:
識別遭洩漏的帳戶
使用者行為分析,以偵測潛在的可疑模式
網路流量分析,以找出能指出潛在攻擊的趨勢
偵測攻擊者所進行的資料外流
偵測內部人員威脅
調查事件
威脅搜尋
使用傳統的防護工具 (例如防火牆或反惡意程式碼軟體解決方案) 可能無法偵測出某些威脅。 未偵測到某些威脅的時間可能會達數個月之久。 透過結合由多種工具與產品所收集到的資料及威脅情報的強大功能,可協助您偵測、分析及補救內部人員威脅。
您也可以使用分析規則來建立能使用攻擊指標的自訂警示。 這些指標能即時識別出正在進行的潛在攻擊。
Analytics 會協助 Contoso SOC 小組改善其複雜調查的效能,並加快偵測到威脅的速度。
探索 Analytics 首頁
您可以從 [Analytics] 首頁建立分析規則。 您可以在 Microsoft Sentinel 中從瀏覽窗格存取 [Analytics] 頁面。
[Analytics] 首頁具有三個主要部分:
標頭列包含目前使用中之規則數目的相關資訊。
規則與範本的清單包含 Microsoft 已從 Microsoft Sentinel GitHub 存放庫預先載入的所有規則範本。
詳細資料窗格包含能說明用於偵測之每個範本與規則的其他資訊。
篩選規則範本
目前 Microsoft 已從 Microsoft Sentinel GitHub 存放庫預先載入超過 150 個範本規則。 若要搜尋這些範本及存取適當的規則,您必須套用篩選。 例如,假設您只想要檢閱能偵測具有高嚴重性等級之威脅的範本規則,或是來自特定資料來源的規則。
若要使用篩選,請在標頭列中選取想要使用的篩選。
[Analytics] 首頁提供下列篩選:
嚴重性: 用來依嚴重性等級篩選規則。
規則類型: 目前有四種類型的規則:[已排程]、[融合]、[Microsoft 安全性]、[機器學習行為分析]。
戰略: 使用 根據 ATT&CK 模型中 14 種特定方法篩選規則。
資料來源: 用來根據產生警示的資料來源連接器來篩選規則。
注意
MITRE ATT&CK 是一個全球無障礙的 知識庫 對手戰術和技術,根據真實世界觀察。 ATT&CK 知識庫 可作為在私營部門、政府及網路安全產品和服務社群中開發特定威脅模型和方法的基礎。