了解事件

已完成

對組織的技術相關威脅稱為「事件」。 事件管理是完整的事件調查流程，從建立事件到深入調查並解決問題。 從建立到解決問題的過程中，Microsoft Sentinel 可協助您的 IT 小組整理、調查和追蹤這些威脅。

您可以使用 Microsoft Sentinel 來檢閱詳細的事件資訊、指派事件擁有者、設定及維護事件嚴重性，以及管理事件狀態。 Microsoft Sentinel 提供完整的事件管理環境來處理這些步驟。

重要概念

請務必了解下列重要的 Microsoft Sentinel 事件管理概念：

• 資料連接器。 您可以使用 Microsoft Sentinel 資料連接器，從安全性相關服務中擷取和收集資料。 資料連接器可從執行 Log Analytics 代理程式的 Linux 或 Windows 電腦、從防火牆或 Proxy 之類裝置的 Linux Syslog 伺服器，或直接從 Microsoft Azure 服務收集事件。 這些事件會轉送至與 Microsoft Sentinel 相關聯的 Log Analytics 工作區。
• 事件。 Microsoft Sentinel 會將事件儲存在 Log Analytics 工作區中。 這些事件包含您想要 Microsoft Sentinel 監視的安全性相關活動詳細資料。
• 分析規則。 分析規則會偵測重要的安全性事件並產生警示。 您可以使用內建範本，或針對 Microsoft Sentinel 中的 Log Analytics 工作區使用自訂 Kusto 查詢語言 (KQL) 查詢，來建立分析規則。
• 警示。 分析規則會在偵測到重要的安全性事件時產生警示。 您可以設定要產生事件的警示。
• 事件。 Microsoft Sentinel 會依分析規則警示建立事件。 事件可包含多個相關的警示。 您會將每個事件用作起點與追蹤機制來調查環境中的安全性問題。

Microsoft Sentinel 概觀頁面

Microsoft Sentinel 中的事件管理是從 [概觀] 頁面開始，您可在其中檢閱目前的 Microsoft Sentinel 環境。 [概觀] 頁面會顯示最新事件的清單，以及其他重要的 Microsoft Sentinel 資訊。 在調查事件之前，您可以先使用此頁面了解整體安全性狀況。

檢定您的知識

1.

哪個 Microsoft Sentinel 元件會產生警示？

事件。

分析規則。

資料連接器。

活動。

2.

Microsoft Sentinel 中事件管理的主要目標為何？

了解 Azure 中安全性健康情況的狀態。

追蹤和管理所有 Azure 問題。

追蹤並解決整個組織環境中的安全性問題。

管理環境中的安全性角色。

您必須先回答所有問題，才能檢查進度。