使用 Microsoft Sentinel 为已启用 Azure Arc 的服务器提供威胁情报

  • 7 分钟

Tailwind Traders 的 SOC(安全运营中心)分析师正努力使用其各种 SIEM 和 SOAR 解决方案来评估其环境。 在本单元中,你将了解已启用 Azure Arc 的服务器如何与 Microsoft Sentinel(SIEM 和 SOAR 解决方案)协同工作,该解决方案可与混合和多云环境保持一致。

Microsoft Sentinel 概述

Microsoft Sentinel 是一种可缩放的、云原生的安全信息和事件管理(SIEM)和安全业务流程、自动化和响应(SOAR)解决方案。 Microsoft Sentinel 在整个企业中提供威胁情报,为攻击检测、主动搜寻和威胁响应提供单个解决方案。

Microsoft Sentinel 为企业提供全局视角,以减轻因日益复杂的攻击、警报数量增加以及较长的解决时间而带来的压力。

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据
  • 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大程度减少误报
  • 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动
  • 通过内置的业务流程和常见任务自动化快速响应事件

连接数据

若要载入 Microsoft Sentinel,首先需要连接到安全源。

Microsoft Sentinel 附带几个适用于 Microsoft 解决方案的连接器,这些连接器立即可用并且可实现实时集成。 Microsoft Sentinel 的现成可用连接器包括 Microsoft 365 源、Microsoft Entra ID、Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps。 此外,内置的连接器可以拓宽非 Microsoft 解决方案的安全生态系统。

启用 Azure Arc 的服务器的相关数据连接器可能包括安全事件(通过旧版代理程序)、Windows 安全事件(通过 AMA )或系统日志。

工作簿和分析

将数据源连接到 Microsoft Sentinel 后,可以使用 Microsoft Sentinel 与 Azure Monitor 工作簿集成来监视数据,从而在创建自定义工作簿时提供多功能性。 Microsoft Sentinel 还附带了内置工作簿模板,使你能够在连接到数据源后立即快速获取数据见解。

为了帮助你最大程度地减少必须调查的警报数量,Microsoft Sentinel 使用分析将警报关联到事件中。 事件是由相关警报组成的组,这些警报共同创建一个可调查和解决的可行潜在威胁。 照原样使用内置的关联规则,或者以它们为基础构建自己的关联规则。 Microsoft Sentinel 还提供机器学习规则来映射网络行为,然后在整个资源中查找异常。

安全自动化和业务流程

可以使用与 Azure 服务和现有工具集成的 playbook 自动执行常见任务并简化安全业务流程。

使用 Azure 逻辑应用,Microsoft Sentinel 的自动化和业务流程解决方案可扩展、可缩放且现代化。 要使用 Azure 逻辑应用生成 Playbook,你可以从不断增长的内置 Playbook 库中进行选择。 其中包括适用于 Azure Functions 等服务的 200 多个连接器。 连接器允许在代码、ServiceNow、Jira、Zendesk、HTTP 请求、Microsoft Teams、Slack、Windows Defender ATP 和 Defender for Cloud Apps 中应用任何自定义逻辑。

搜寻和笔记本

使用基于 MITRE 框架的Microsoft Sentinel 强大的搜寻搜索和查询工具,在触发警报之前主动搜寻组织数据源中的安全威胁。 发现哪个搜寻查询为攻击提供了高价值见解后,还可以基于查询创建自定义检测规则,并将这些见解作为警报呈现给安全事件响应者。 在搜寻时,可以为有趣的事件创建书签,以便稍后返回这些事件,与他人共享它们,并与其他关联事件分组,以创建一个引人入胜的调查事件。

Microsoft Sentinel 支持 Azure 机器学习工作区中的 Jupyter 笔记本,包括用于机器学习、可视化和数据分析的完整库。 可以使用 Microsoft Sentinel 中的笔记本来扩展可对 Microsoft Sentinel 数据执行的操作的范围。 例如,可以执行未内置于 Microsoft Sentinel 中的分析,例如某些 Python 机器学习功能;创建未内置于 Microsoft Sentinel 中的数据可视化效果,例如自定义时间线和进程树;或集成Microsoft Sentinel 之外的数据源,例如本地数据集。