Hotinformation för Azure Arc-aktiverade servrar med Microsoft Sentinel

  • 7 minuter

Tailwind Traders SOC-analytiker (Security Operations Center) kämpar för att utvärdera sin miljö med sina olika SIEM- och SOAR-lösningar. I den här enheten får du lära dig hur Azure Arc-aktiverade servrar fungerar tillsammans med Microsoft Sentinel, en SIEM- och SOAR-lösning som håller jämna steg med hybrid- och multimolnmiljöer.

Översikt över Microsoft Sentinel

Microsoft Sentinel är en skalbar, molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Microsoft Sentinel levererar hotinformation i hela företaget och tillhandahåller en enda lösning för attackidentifiering, proaktiv jakt och hotsvar.

Microsoft Sentinel är ditt fågelperspektiv i hela organisationen för att lindra stressen från allt mer avancerade attacker, ökande volymer av aviseringar och långa tidsramar för lösning.

  • Samla in data i molnskala för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln.
  • Identifiera tidigare oupptäckta hot och minimera falska positiva identifieringar med hjälp av Microsofts analys och oöverträffad hotinformation.
  • Undersök hot med artificiell intelligens och jaga misstänkta aktiviteter i stor skala och utnyttja år av cybersäkerhetsarbete på Microsoft.
  • Svara snabbt på incidenter med inbyggd orkestrering och automatisering av vanliga uppgifter.

Ansluta data

Om du vill registrera Microsoft Sentinel måste du först ansluta till dina säkerhetskällor.

Microsoft Sentinel levereras med flera kontakter för Microsoft-lösningar som är tillgängliga direkt ur lådan och som tillhandahåller integration i realtid. Microsoft Sentinels inbyggda anslutningar omfattar Microsoft 365-källor, Microsoft Entra ID, Microsoft Defender för identitet och Microsoft Defender för molnappar. Dessutom finns det inbyggda kopplingar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft.

Relevanta dataanslutningar för Azure Arc-aktiverade servrar kan innehålla säkerhetshändelser via äldre agent, Windows-säkerhetshändelser via AMA eller Syslog.

Arbetsböcker och analys

När du har anslutit dina datakällor till Microsoft Sentinel kan du övervaka data med hjälp av Microsoft Sentinel-integreringen med Azure Monitor-arbetsböcker, vilket ger flexibilitet när du skapar anpassade arbetsböcker. Microsoft Sentinel levereras också med inbyggda arbetsboksmallar så att du snabbt kan få insikter i dina data så snart du ansluter till en datakälla.

För att hjälpa dig att minimera antalet aviseringar som du måste undersöka använder Microsoft Sentinel analys för att korrelera aviseringar till incidenter. Incidenter är grupper med relaterade aviseringar som tillsammans skapar ett möjligt hot som du kan undersöka och lösa. Använd de inbyggda korrelationsreglerna as-iseller använd dem som utgångspunkt för att skapa egna. Microsoft Sentinel tillhandahåller även maskininlärningsregler för att mappa ditt nätverksbeteende och leta efter avvikelser mellan dina resurser.

Säkerhetsautomatisering och orkestrering

Du kan automatisera vanliga uppgifter och förenkla säkerhetsorkestreringen med spelböcker som integreras med Azure-tjänster och dina befintliga verktyg.

Med Hjälp av Azure Logic Apps är Microsoft Sentinels automatiserings- och orkestreringslösning utökningsbar, skalbar och moderniserad. Om du vill skapa spelböcker med Azure Logic Apps kan du välja från ett växande galleri med inbyggda spelböcker. Dessa omfattar över 200 anslutningar för tjänster som Azure Functions. Med anslutningar kan du tillämpa valfri anpassad logik i kod, ServiceNow, Jira, Zendesk, HTTP-begäranden, Microsoft Teams, Slack, Windows Defender ATP och Defender for Cloud Apps.

Jakt och anteckningsböcker

Använd Microsoft Sentinels kraftfulla sök- och frågeverktyg för jakt, baserat på MITRE-ramverket, för att proaktivt jaga efter säkerhetshot i organisationens datakällor innan en avisering utlöses. När du har upptäckt vilken sökfråga som ger värdefulla insikter om attacker kan du också skapa anpassade detekteringsregler baserat på din fråga och visa dessa insikter som larm till dina säkerhetsincidenthanterare. När du jagar kan du skapa bokmärken för intressanta händelser, som gör att du kan återvända till dem senare, dela dem med andra och gruppera dem med andra korrelerande händelser för att skapa en övertygande incident för undersökning.

Microsoft Sentinel stöder Jupyter-notebook-filer på Azure Machine Learning-arbetsytor, inklusive fullständiga bibliotek för maskininlärning, visualisering och dataanalys. Du kan använda notebook-filer i Microsoft Sentinel för att utöka omfattningen för vad du kan göra med Microsoft Sentinel-data. Du kan till exempel utföra analyser som inte är inbyggda i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner. skapa datavisualiseringar som inte är inbyggda i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd. eller integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.