實作 Azure Sentinel

  • 8 分鐘

除了透過其混合式環境的安全性設定來評估及解決問題以外,Contoso 還必須監視新的問題和威脅,然後適當地回應。 Azure Sentinel 是專為混合式環境所設計的 SIEM 和 SOAR 解決方案。

注意

SIEM 解決方案會儲存和分析其他系統產生的記錄、事件和警示,而且您可以設定這些解決方案,引發這些系統自己的警示。 SOAR 解決方案支援弱點修復及安全性程序的整體自動化。

什麼是 Sentinel?

Sentinel 透過下列動作來滿足 SIEM 和 SOAR 解決方案的需求:

  • 在雲端式和內部部署使用者、裝置、應用程式和基礎結構間收集資料。
  • 使用 AI 來識別可疑的活動。
  • 偵測威脅,減少誤判為真。
  • 快速且自動地回應事件。

Sentinel 的必要條件

若要啟用 Sentinel,您需要:

  • Log Analytics 工作區。

    提示

    Sentinel 無法使用與適用於雲端的 Microsoft Defender 相同的 Log Analytics 工作區。

  • 訂用帳戶中的參與者權限或更高的權限,以及 Sentinel 工作區的工作群組。

  • 對任何您連線到 Sentinel 的資源具有適當權限。

資料連接

Sentinel 可原生連線到適用於雲端的 Microsoft Defender,提供雲端和內部部署伺服器的涵蓋範圍。 此外,Sentinel 資料連線支援包括:

  • 原生服務對服務連線。 Sentinel 原生整合至下列 Azure 和非 Azure 服務:
    • Azure 活動記錄
    • Microsoft Entra 稽核記錄
    • Microsoft Entra ID Protection
    • Azure 進階威脅防護 (Azure ATP)
    • AWS CloudTrail
    • Microsoft Cloud App Security
    • DNS 伺服器
    • Microsoft 365
    • Defender ATP
    • Microsoft Web 應用程式防火牆
    • Windows Defender 防火牆
    • Windows 安全性事件
  • 透過 API 的外部解決方案連線。 Sentinel 可針對下列解決方案,透過 API 連線至資料來源:
    • Barracuda
    • Barracuda CloudGen Firewall
    • Citrix Analytics for Security
    • F5 BIG-IP
    • Forcepoint DLP
    • squadra technologies secRMM
    • Symantec ICDx
    • Zimperium
  • 透過代理程式的外部解決方案連線。 Sentinel 可以透過代理程式連線到支援 Syslog 通訊協定的資料來源。 Sentinel 代理程式可以直接安裝在裝置上,或是可從其他裝置接收事件的 Linux 伺服器上。 下列裝置和解決方案支援透過代理程式連線:
    • 防火牆、網際網路 Proxy 和端點
    • 資料外洩防護 (DLP) 解決方案
    • DNS 機器
    • Linux 伺服器
    • 其他雲端提供者

權限

Sentinel 中的存取權透過角色型存取控制 (RBAC) 角色來管理。 這些角色可讓您管理使用者可在 Sentinel 中看到和執行的內容:

  • 全域角色。 內建的 Azure 全域角色:擁有者、參與者及讀者,授與所有 Azure 資源存取權,包括 Sentinel 和 Log Analytics。
  • Sentinel 專屬角色。 Sentinel 專屬的內建角色如下:
    • Azure Sentinel 讀者。 此角色可取得資料、事件、儀表板,以及 Sentinel 資源的相關資訊。
    • Azure Sentinel 回應者。 此角色具備 Azure Sentinel 讀者角色的所有功能,並能夠管理事件。
    • Azure Sentinel 參與者。 除了 Azure Sentinel 回應者角色的功能之外,此角色還可以建立和編輯儀表板、分析規則和其他 Sentinel 資源。
  • 其他角色。 Log Analytics 參與者和 Log Analytics 讀者是 Log Analytics 專屬的內建角色。 這些角色只會將權限授與 Log Analytics 工作區。 如果您沒有全域參與者或擁有者角色,您將需要邏輯應用程式參與者角色來建立和執行劇本,以回應警示。

實作 Azure Sentinel

若要實作 Sentinel:

  1. 在 Azure 入口網站中,搜尋並選取 [Azure Sentinel]
  2. 在 [Azure Sentinel 工作區] 窗格上,選取 [連線到工作區],然後選擇適當的工作區。
  3. 選取 [新增 Azure Sentinel]。 工作區已修改為包含 Sentinel。
  4. 在 [Azure Sentinel] 窗格的 [新聞與指南] 中,選取 [開始] 索引標籤。
  5. 選取 [連線] 以開始收集資料。
  6. 選取適當的連接器。 例如,選取 [適用於雲端的 Microsoft Defender]
  7. 選取 [開啟連接器頁面]
  8. 檢閱必要條件資訊,並在準備好時,選取 [連線]

什麼是 SIEM?

SIEM 解決方案可儲存並分析來自外部來源的記錄資料。 您可以從 Azure 和組織中的外部來源 (包括內部部署資源) 連線資料來源。 然後,Azure Sentinel 會提供預設的儀表板,協助您分析這些事件並將其視覺化。 儀表板會顯示您已收到的事件數目、從該資料產生的警示數目,以及從這些警示所建立之任何事件的狀態。

Sentinel 使用內建和自訂偵測功能,針對潛在安全性威脅對您發出警示,例如當有人嘗試從 Contoso 的基礎結構外部存取 Contoso 的組織,或 Contoso 的資料似乎傳送到已知惡意的 IP 位址時。 它也可讓您根據這些警示建立事件。

Sentinel 提供內建和自訂的活頁簿,可協助您分析傳入的資料。 「活頁簿」是包含記錄查詢、文字、計量和其他資料的互動式報表。 Microsoft 事件建立規則可讓您從其他服務 (例如適用於雲端的 Microsoft Defender) 產生的警示建立事件。

若要在 Sentinel 中實作 SIEM 功能:

  • 啟用 Azure Sentinel。
  • 建立資料連線。
  • 建立產生警示的自訂規則。

什麼是 SOAR?

SOAR 解決方案可讓您管理或協調針對安全性威脅所收集之資料的分析、協調您對這些威脅的回應,以及建立自動化的回應。 Azure Sentinel 的 SOAR 功能會緊密地繫結到其 SIEM 功能。

使用下列最佳做法在 Sentinel 中實作 SOAR:

  • 當您建立引發警示的分析規則時,也請設定這些規則來建立事件。
  • 使用事件來管理調查和回應流程。
  • 將相關警示分到事件中。

調查事件

在 Sentinel 中,您可以檢閱開啟的事件數目、正在處理的事件數目,以及已關閉的事件數目。 您甚至可以重新開啟已關閉的事件。 您可以取得事件的詳細資料,例如,發生事件的時間和狀態。 您也可以將附註新增至事件並變更其狀態,以便更容易了解進度。 事件可指派給特定使用者。

使用安全性劇本回應警示

Sentinel 可讓您使用安全性劇本來回應警示。 「安全性劇本」是可執行以回應警示並以 Azure Logic Apps 為基礎的程序集合。 您可以手動執行這些安全性劇本來回應事件調查,也可以設定警示來自動執行劇本。

延伸閱讀

您可參閱下列文件來深入了解: