什么是 Microsoft Sentinel 分析？

Microsoft Sentinel Analytics 可帮助你检测、调查和修正网络安全威胁。 Contoso SOC 团队可以使用 Microsoft Sentinel Analytics 设置分析规则和查询来检测环境中的问题。

什么是 Microsoft Sentinel 分析？

Microsoft Sentinel Analytics 提供了多个功能，可用于实现 Contoso 的数据和资源的安全性。

可以分析从工作站、服务器、网络设备、防火墙、入侵防护、传感器等收集的历史数据。 Microsoft Sentinel Analytics 分析来自各种源的数据，以识别相关性和异常。

通过使用分析规则，可以根据已知恶意参与者使用的攻击技术触发警报。 可以设置这些规则，以帮助确保 SOC 及时向环境中的潜在安全事件发出警报。

为什么对安全作使用分析规则？

尽管 Contoso 实现的一些其他产品可以帮助你识别威胁，Microsoft Sentinel Analytics 通过关联和匹配影响网络安全威胁存在的信号，在全面检测安全威胁方面起着重要作用。 使用适当的分析规则，可以深入了解攻击的来源、哪些资源遭到入侵、可能丢失的数据以及事件的时间线。

常见的安全分析用例包括：

• 标识已泄露的帐户

• 用于检测潜在可疑模式的用户行为分析

• 网络流量分析以查找指示潜在攻击的趋势

• 检测攻击者的数据外泄

• 检测内部威胁

• 事件调查

• 威胁搜寻

你可能无法使用传统防护工具（如防火墙或反恶意软件解决方案）来检测某些威胁。 某些威胁可能数月未检测到。 将多个工具和产品收集的数据与威胁智能的强大功能相结合，有助于检测、分析和缓解内部威胁。

还可以使用分析规则创建自定义警报，这些警报使用攻击指示器。 这些指标可以识别实时进行的潜在攻击。

分析可帮助 Contoso SOC 团队提高复杂调查的效率并更快地检测威胁。

浏览 Analytics 主页

可以从 Analytics 主页创建分析规则。 可以从导航窗格中访问 Microsoft Sentinel 中的 Analytics 页面。

Analytics 主页有三个主要部分：

• 标头栏包含有关当前正在使用的规则数的信息。

• 规则和模板列表包含从 Microsoft Sentinel GitHub 存储库预加载Microsoft的所有规则模板。

• 详细信息窗格包含其他信息，用于说明可在检测中使用的每个模板和规则。

筛选规则模板

目前，Microsoft已从 Microsoft Sentinel GitHub 存储库预加载了 150 多个模板规则。 若要搜索这些模板并访问相应的规则，需要应用筛选器。 例如，你可能只想查看检测严重性较高的威胁的模板规则或来自特定数据源的规则。

若要使用筛选器，请在标题栏中选择要使用的筛选器。

Analytics 主页提供以下筛选器：

• 严重性。 用于按严重性级别筛选规则。

• 规则类型。 目前有七种类型的规则：计划、NRT（近实时）、融合、Microsoft安全性、ML（机器学习）行为分析和威胁智能。

• 策略。 用于根据 ATT&CK 模型中的 14 种特定方法筛选规则。

• 数据源。 用于按生成警报的数据源连接器筛选规则。