Udostępnij przez

Składniki i wzorce usługi Microsoft Sentinel

W tym artykule omówiono różne składniki rozwiązania usługi Microsoft Sentinel i sposób ich współpracy w celu rozwiązania ważnych scenariuszy klientów.

Platforma Sentinel obejmuje magazyn danych typu data lake, graf, zadania notatnika Jupyter, serwer protokołu MCP (Model Context Protocol) oraz dane z ponad 300 konektorów Sentinel, które ułatwiają klientom scentralizowanie i analizowanie danych zabezpieczeń w sposób kosztowo efektywny. Te możliwości oraz Microsoft Security Copilot umożliwiają klientom i partnerom tworzenie rozwiązań o dużym wpływie, które można publikować w Microsoft Security Store.

Usługa Sentinel SIEM jest używana przez zespoły ds. operacji zabezpieczeń (SOC) do generowania wykryć, badać złośliwe zachowanie i korygować zagrożenia. Tworząc łączniki usługi Sentinel do wprowadzania nowych danych i tworząc zawartość, taką jak reguły analizy, playbooki, zapytania do wyszukiwania zagrożeń, analizatory i skoroszyty, partnerzy mogą pomóc zespołom SOC uzyskać informacje potrzebne do identyfikowania zagrożeń i reagowania na nie odpowiednio. Rozwiązania SIEM usługi Sentinel są publikowane za pośrednictwem centrum zawartości usługi Sentinel.

Zbieranie danych

Niezależnie od tego, czy tworzysz rozwiązanie korzystające ze składników platformy, czy przeznaczone dla integracji rozwiązania SIEM usługi Sentinel, kluczowe znaczenie ma posiadanie odpowiednich danych dla danego scenariusza.

Łączniki usługi Sentinel umożliwiają przenoszenie danych do usługi Sentinel, które następnie można analizować w jeziorze przy użyciu notesów i zadań Jupyter, lub adresowane za pomocą zawartości rozwiązania SIEM usługi Sentinel, takiej jak reguły analizy i zapytania wyszukiwania zagrożeń.

Te dane mogą obejmować następujące typy:

Typ Opis
Nieprzetworzone dane Obsługuje procesy wykrywania i wyszukiwania zagrożeń.

Analizowanie nieprzetworzonych danych operacyjnych, w których mogą występować oznaki złośliwego działania. Przenoszenie nieprzetworzonych danych do usługi Microsoft Sentinel w celu korzystania z wbudowanych funkcji wyszukiwania zagrożeń i wykrywania usługi Microsoft Sentinel w celu identyfikowania nowych zagrożeń i nie tylko.

Przykłady: dane dziennika systemowego, dane CEF za pośrednictwem dziennika systemowego, aplikacji, zapory, uwierzytelniania lub dzienników dostępu itd.
Wnioski dotyczące zabezpieczeń Tworzy widoczność alertu i możliwość korelacji.

Alerty i wykrycia to wnioski, które zostały już wykonane na temat zagrożeń. Umieszczenie wykrywania w kontekście wszystkich działań i innych wykryć widocznych w badaniach usługi Microsoft Sentinel pozwala zaoszczędzić czas dla analityków i utworzy bardziej pełny obraz zdarzenia, co skutkuje lepszym priorytetem i lepszymi decyzjami.

Przykłady: alerty chroniące przed złośliwym oprogramowaniem, podejrzane procesy, komunikacja ze znanymi złymi hostami, ruch sieciowy, który został zablokowany i dlaczego, podejrzane logowania, wykryte ataki sprayu haseł, zidentyfikowane ataki wyłudzające informacje, zdarzenia eksfiltracji danych i inne.
Dane referencyjne Tworzy kontekst ze środowiskami referencyjnymi, oszczędzając nakład pracy badania i zwiększając wydajność.

Przykłady: CMDB, bazy danych zasobów o wysokiej wartości, bazy danych zależności aplikacji, dzienniki przypisywania adresów IP, kolekcje analizy zagrożeń na potrzeby wzbogacania i nie tylko.
Analiza zagrożeń Wspomaga wykrywanie zagrożeń, przyczyniając się do wskaźników znanych zagrożeń.

Analiza zagrożeń może obejmować bieżące wskaźniki reprezentujące natychmiastowe zagrożenia lub wskaźniki historyczne, które są przechowywane na potrzeby przyszłego zapobiegania. Historyczne zestawy danych są często duże i najlepiej odwołują się do nich ad hoc zamiast importować je bezpośrednio do usługi Microsoft Sentinel.

Parsery

Analizatory to funkcje KQL, które przekształcają niestandardowe dane z produktów innych firm w znormalizowany schemat karty ASIM. Normalizacja zapewnia, że analitycy SOC nie muszą uczyć się szczegółów nowych schematów, lecz mogą budować reguły analityczne i zapytania śledzące na znormalizowanym schemacie, z którym są już zaznajomieni. Przejrzyj dostępne schematy ASIM dostarczone przez usługę Microsoft Sentinel, aby zidentyfikować przydatne schematy ASIM (jedno lub więcej) dla danych i aby zapewnić łatwiejsze dołączanie dla analityków SOC oraz aby upewnić się, że istniejąca treść zabezpieczeń napisana dla schematu ASIM ma zastosowanie do danych produktu. Aby uzyskać więcej informacji na temat dostępnych schematów ASIM, zobacz Zaawansowane schematy modelu informacji o zabezpieczeniach (ASIM).

Wizualizacja

Możesz uwzględnić wizualizacje ułatwiające klientom zarządzanie danymi i ich zrozumienie, uwzględniając graficzne widoki tego, jak dobrze przepływają dane do usługi Microsoft Sentinel oraz jak skutecznie przyczyniają się do wykrywania.

Możesz uwzględnić wizualizacje ułatwiające klientom zarządzanie danymi i ich zrozumienie, uwzględniając graficzne widoki tego, jak dobrze przepływają dane do usługi Microsoft Sentinel oraz jak skutecznie przyczyniają się do wykrywania.

Monitorowanie i wykrywanie

Funkcje monitorowania i wykrywania usługi Sentinel umożliwiają automatyczne wykrywanie, które ułatwiają klientom skalowanie wiedzy zespołu SOC.

W poniższych sekcjach opisano elementy monitorowania i wykrywania, które można uwzględnić w rozwiązaniu.

Agenci copilot zabezpieczeń

Agenci rozwiązania Security Copilot automatyzują powtarzające się zadania i zmniejszają obciążenia ręczne. Zwiększają one bezpieczeństwo i operacje IT w chmurze, bezpieczeństwie danych i prywatności, tożsamości i bezpieczeństwie sieci. W przypadku usługi Sentinel agenci mogą wykonywać zapytania dotyczące rozwiązania SIEM lub usługi Data Lake i wywoływać interfejsy API w celu wzbogacania danych usługi Microsoft Sentinel. Mogą wykorzystywać zadania notebooków do intensywnego przetwarzania lub analizy danych i korzystać z dowolnej liczby wtyczek.

Zadania notebooku Jupyter

Zadania w notatnikach Jupyter oferują zaawansowane narzędzia do wykonywania złożonych przekształceń danych i uruchamiania modeli uczenia maszynowego za pomocą zadań Spark w usłudze Sentinel Data Lake. Mogą być one używane przez agentów Security Copilot w celu zapewnienia deterministycznych i wydajnych metod przeprowadzania analizy i podsumowania danych oraz uruchamiania na bieżąco. Notebook jobs mogą zapisywać niestandardowe tabele danych do poziomu analitycznego i usługi Data Lake, które będą wykorzystywane przez niższe komponenty, takie jak agenci, skoroszyty, zapytania wykrywające zagrożenia i inne.

Reguły analizy

Reguły analizy to zaawansowane wykrywania, które mogą tworzyć dokładne, znaczące alerty.

Dodaj reguły analizy do rozwiązania, aby ułatwić klientom korzystanie z danych z systemu w usłudze Microsoft Sentinel. Na przykład reguły analizy mogą pomóc w zapewnieniu wiedzy i wglądu w działania, które można wykryć w danych zapewnianych przez integrację.

Mogą one wysyłać alerty (istotne zdarzenia), incydenty (jednostki badania) lub wyzwalać podręczniki automatyzacji.

Reguły analizy można dodawać, dołączając je do rozwiązania i za pośrednictwem społeczności ThreatHunters usługi Microsoft Sentinel. Współtworzyj za pośrednictwem społeczności, aby zachęcić kreatywność społeczności do danych źródłowych przez partnerów, pomagając klientom w bardziej niezawodnych i skutecznych wykrywaniach.

Zapytania dotyczące wyszukiwania zagrożeń

Zapytania łowieckie umożliwiają analitykom SOC proaktywne wyszukiwanie nowych anomalii, które nie są obecnie wykrywane przez zaplanowane reguły analityczne. Zapytania dotyczące wyszukiwania zagrożeń prowadzą analityków SOC do zadawania właściwych pytań w celu znalezienia problemów z danymi, które są już dostępne w usłudze Microsoft Sentinel, i pomagają im zidentyfikować potencjalne scenariusze zagrożeń. Uwzględniając zapytania dotyczące wyszukiwania zagrożeń, możesz pomóc klientom w znalezieniu nieznanych zagrożeń w danych, które podajesz.

Skoroszyty

Skoroszyty udostępniają interaktywne raporty i pulpity nawigacyjne, które ułatwiają użytkownikom wizualizowanie danych zabezpieczeń i identyfikowanie wzorców w danych. Potrzeba skoroszytów zależy od konkretnego przypadku użycia. Podczas projektowania rozwiązania pomyśl o scenariuszach, które mogą być najlepiej wyjaśnione wizualnie, szczególnie w przypadku scenariuszy śledzenia wydajności.

Badanie

Wykres badania usługi Sentinel udostępnia badaczom odpowiednie dane, gdy ich potrzebują, zapewniając wgląd w zdarzenia zabezpieczeń i alerty za pośrednictwem połączonych jednostek. Śledczy mogą użyć grafu badania, aby znaleźć istotne lub powiązane zdarzenia, przyczyniając się do zagrożenia, które jest badane.

Partnerzy mogą współtworzyć wykres badania, zapewniając:

  • Alerty i zdarzenia usługi Microsoft Sentinel utworzone za pośrednictwem reguł analizy w rozwiązaniach partnerskich.
  • Niestandardowe zapytania eksploracji dla danych dostarczonych przez partnerów. Zapytania niestandardowe eksploracji zapewniają zaawansowaną eksplorację i łączność między danymi i szczegółowymi informacjami dla badaczy zabezpieczeń.

Odpowiedź

Podręczniki obsługują przepływy pracy z zaawansowaną automatyzacją, uruchamiając zadania związane z zabezpieczeniami w środowiskach klientów. Mają one kluczowe znaczenie dla zapewnienia, że analitycy SOC nie są przeciążeni elementami taktycznymi i mogą skupić się na bardziej strategicznej i głębszej głównej przyczynie luk w zabezpieczeniach. Jeśli na przykład zostanie wykryty alert o wysokiej ważności, podręcznik może automatycznie zainicjować serię akcji, takich jak powiadamianie zespołu ds. zabezpieczeń, izolowanie systemów, których dotyczy problem, i zbieranie odpowiednich dzienników w celu dalszej analizy.

Na przykład podręczniki mogą pomóc w dowolny z następujących sposobów i nie tylko:

  • Pomaganie klientom w konfigurowaniu zasad zabezpieczeń w produktach partnerskich
  • Zbieranie dodatkowych danych w celu informowania o decyzjach śledczych
  • Łączenie zdarzeń usługi Microsoft Sentinel z zewnętrznymi systemami zarządzania
  • Integrowanie zarządzania cyklem życia alertów między rozwiązaniami partnerskimi

Podczas projektowania rozwiązania pomyśl o automatycznych akcjach, które można podjąć w celu rozwiązania incydentów utworzonych przez reguły analityczne zdefiniowane w rozwiązaniu.

Przykłady scenariuszy SIEM usługi Sentinel

W poniższych sekcjach opisano typowe scenariusze partnerów i zalecenia dotyczące tego, co należy uwzględnić w rozwiązaniu dla każdego scenariusza.

Produkt generuje dane, które są ważne dla badań zabezpieczeń

Scenariusz: Produkt generuje dane, które mogą informować o badaniach zabezpieczeń.

Przykład: Produkty dostarczające jakąś formę danych dziennika obejmują zapory, brokery zabezpieczeń aplikacji w chmurze, systemy dostępu fizycznego, dane wyjściowe dziennika systemu, komercyjnie dostępne i utworzone w przedsiębiorstwie aplikacje LOB, serwery, metadane sieciowe, wszystko dostarczane za pośrednictwem dziennika systemowego w formacie Syslog lub CEF lub za pośrednictwem interfejsu API REST w formacie JSON.

Jak używać danych w usłudze Microsoft Sentinel: importowanie danych produktu do usługi Microsoft Sentinel za pośrednictwem łącznika danych w celu zapewnienia analiz, wyszukiwania zagrożeń, badań, wizualizacji i nie tylko.

Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:

Typ Elementy do uwzględnienia
Wymagane — Łącznik danych usługi Microsoft Sentinel umożliwiający dostarczanie danych i łączenie innych dostosowań w portalu.

Przykładowe zapytania dotyczące danych
Zalecane -Skoroszytów

— Reguły analizy w celu tworzenia wykryć opartych na danych w usłudze Microsoft Sentinel
Opcjonalne - Zapytania dotyczące wyszukiwania zagrożeń, aby zapewnić myśliwym gotowe zapytania do użycia podczas wyszukiwania zagrożeń

- Notesy, aby dostarczyć w pełni sterowane, powtarzalne środowisko wyszukiwania zagrożeń

Produkt zapewnia wykrywanie

Scenariusz: Produkt zapewnia wykrywanie, które uzupełniają alerty i zdarzenia z innych systemów

Przykłady: rozwiązania chroniące przed złośliwym oprogramowaniem, rozwiązania do wykrywania i reagowania w przedsiębiorstwie, rozwiązania do wykrywania i reagowania na sieci, rozwiązania do zabezpieczeń poczty, takie jak produkty chroniące przed wyłudzaniem informacji, skanowanie luk w zabezpieczeniach, rozwiązania do zarządzania urządzeniami przenośnymi, rozwiązania UEBA, usługi ochrony informacji itd.

Jak używać danych w usłudze Microsoft Sentinel: udostępniaj swoje wykrycia, alerty lub zdarzenia w usłudze Microsoft Sentinel, aby pokazać je w kontekście innych alertów i zdarzeń, które mogą występować w środowiskach klientów. Rozważ również dostarczenie dzienników i metadanych, które napędzają wykrywanie, jako dodatkowy kontekst dla badań.

Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:

Typ Elementy do uwzględnienia
Wymagane Łącznik danych usługi Microsoft Sentinel umożliwiający dostarczanie danych i łączenie innych dostosowań w portalu.
Zalecane Reguły analizy w celu utworzenia zdarzeń usługi Microsoft Sentinel na podstawie wykryć, które są przydatne w badaniach

Produkt dostarcza wskaźniki analizy zagrożeń

Scenariusz: Produkt dostarcza wskaźniki analizy zagrożeń, które mogą zapewnić kontekst zdarzeń zabezpieczeń występujących w środowiskach klientów

Przykłady: platformy TIP, kolekcje STIX/TAXII oraz publiczne lub licencjonowane źródła analizy zagrożeń. Dane referencyjne, takie jak WhoIS, GeoIP lub nowo obserwowane domeny.

Jak używać danych w usłudze Microsoft Sentinel: dostarczanie bieżących wskaźników do usługi Microsoft Sentinel do użycia na różnych platformach wykrywania firmy Microsoft. Używaj dużych lub historycznych zestawów danych na potrzeby scenariuszy wzbogacania za pośrednictwem dostępu zdalnego.

Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:

Typ Elementy do uwzględnienia
Bieżąca analiza zagrożeń Utwórz łącznik danych GSAPI w celu wypychania wskaźników do usługi Microsoft Sentinel.

Podaj serwer STIX 2.0 lub 2.1 TAXII, którego klienci mogą używać z wbudowanym łącznikiem danych TAXII.
Historyczne wskaźniki i/lub zestawy danych referencyjnych Podaj łącznik aplikacji logiki, aby uzyskać dostęp do danych i podręcznika przepływu pracy wzbogacania, który kieruje dane do odpowiednich miejsc.

Produkt zapewnia dodatkowy kontekst dla badań

Scenariusz: Produkt udostępnia dodatkowe, kontekstowe dane na potrzeby badań opartych na usłudze Microsoft Sentinel.

Przykłady: Dodatkowe kontekstowe bazy danych CMDB, bazy danych zasobów o wysokiej wartości, bazy danych adresów VIP, bazy danych zależności aplikacji, systemy zarządzania zdarzeniami, systemy obsługi biletów

Jak używać danych w usłudze Microsoft Sentinel: użyj swoich danych w usłudze Microsoft Sentinel, aby wzbogacić zarówno alerty, jak i zdarzenia.

Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:

  • Łącznik aplikacji logiki
  • Podręcznik przepływu pracy wzbogacania
  • Przepływ pracy zarządzania cyklem życia zdarzeń zewnętrznych (opcjonalnie)

Produkt może implementować zasady zabezpieczeń

Scenariusz: Produkt może implementować zasady zabezpieczeń w usłudze Azure Policy i innych systemach

Przykłady: Zapory, NDR, EDR, MDM, rozwiązania do obsługi tożsamości, rozwiązania dostępu warunkowego, rozwiązania dostępu fizycznego lub inne produkty, które obsługują blokowanie/zezwalanie lub inne zasady zabezpieczeń z możliwością działania

Jak używać danych w usłudze Microsoft Sentinel: akcje i przepływy pracy usługi Microsoft Sentinel umożliwiające korygowanie i reagowanie na zagrożenia

Co należy skompilować: W tym scenariuszu uwzględnij następujące elementy w rozwiązaniu:

  • Łącznik aplikacji logiki
  • Podręcznik przepływu pracy akcji

Dokumentacja dotycząca rozpoczynania pracy

Wszystkie integracje rozwiązania SIEM usługi Microsoft Sentinel zaczynają się od repozytorium GitHub usługi Microsoft Sentinel i wskazówek dotyczących współtworzenia.

Gdy wszystko będzie gotowe do rozpoczęcia pracy nad rozwiązaniem usługi Microsoft Sentinel, znajdź instrukcje dotyczące przesyłania, pakowania i publikowania w przewodniku tworzenia rozwiązań usługi Microsoft Sentinel.

Wprowadzenie na rynek

Firma Microsoft oferuje programy ułatwiające partnerom podejście do klientów firmy Microsoft:

  • Microsoft Partner Network (MPN). Podstawowym programem do współpracy z firmą Microsoft jest Microsoft Partner Network. Członkostwo w programie MPN jest wymagane, aby stać się wydawcą witryny Azure Marketplace, w którym publikowane są wszystkie rozwiązania usługi Microsoft Sentinel.

  • Azure Marketplace. Rozwiązania usługi Microsoft Sentinel są dostarczane za pośrednictwem witryny Azure Marketplace, w której klienci przechodzą do odnajdywania i wdrażania ogólnych integracji platformy Azure firmy Microsoft i partnerów.

    Rozwiązania usługi Microsoft Sentinel to jeden z wielu typów ofert dostępnych w witrynie Marketplace. Oferty rozwiązań osadzonych można również znaleźć w centrum zawartości usługi Microsoft Sentinel

  • Microsoft Intelligent Security Association (MISA). PROGRAM MISA zapewnia partnerom ds. zabezpieczeń firmy Microsoft pomoc w tworzeniu świadomości na temat integracji utworzonych przez partnerów z klientami firmy Microsoft i pomaga w zapewnianiu możliwości odnajdywania integracji produktów Microsoft Security.

    Dołączenie do programu MISA wymaga nominacji od uczestniczącego zespołu ds. zabezpieczeń firmy Microsoft. Utworzenie dowolnej z następujących integracji może kwalifikować partnerów do nominacji:

    • Łącznik danych usługi Microsoft Sentinel i skojarzona zawartość, taka jak skoroszyty, przykładowe zapytania i reguły analizy
    • Opublikowany łącznik usługi Logic Apps i scenariusze usługi Microsoft Sentinel
    • Integracje interfejsów API w zależności od przypadku

    Aby poprosić o przegląd nominacji MISA lub w przypadku pytań, skontaktuj się z .AzureSentinelPartner@microsoft.com

Następne kroki

Aby uzyskać więcej informacji, zobacz:

Zbieranie danych:

Wykrywanie zagrożeń:

Wyszukiwanie zagrożeń i notesy

Wizualizacja: wizualizowanie zebranych danych.

Badanie: badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Odpowiedź:

  • Last updated on