你是否想要提高你的企业IT安全运营效率和效果,快速检测、调查和解决安全威胁?你是否想要利用微软的人工智能和机器学习技术,收集、分析和响应来自不同来源的安全数据?如果是的话,那么Microsoft Sentinel是你的最佳选择。
Microsoft Sentinel是一种云原生的安全信息和事件管理(SIEM)解决方案,它可以帮助你打造一个智能的云原生安全运营中心。它可以让你轻松地连接到不同类型的数据源,配置基于最佳实践和行业标准的分析规则,查看和处理生成的安全警报,管理和跟踪创建的安全事件,执行自定义的狩猎查询和自动化播放等。
在本文中,我将向你展示如何在几分钟内启用Microsoft Sentinel,以及如何利用它的一些核心功能。让我们开始吧!
要启用Microsoft Sentinel,你需要满足以下先决条件:
-
一个有效的Azure订阅。如果你还没有一个,可以在开始前创建一个免费帐户。
-
一个Log Analytics工作区。这是一个用于存储和分析日志数据的容器。你可以创建一个新的工作区,或者使用一个现有的工作区。
-
一些权限。要启用Microsoft Sentinel,你需要对Microsoft Sentinel工作区所在的订阅有参与者权限。要使用Microsoft Sentinel,你需要对工作区所属的资源组有参与者或读取者权限。你可能还需要其他权限才能连接特定的数据源。
-
一些费用。Microsoft Sentinel是一个付费服务,它根据你收集和保留的数据量以及你使用的分析规则数量来收费。
步骤一:创建Microsoft Sentinel工作区
要启用Microsoft Sentinel,你首先需要创建一个Microsoft Sentinel工作区,这是一个用于存储和管理安全数据的逻辑容器。你可以在Azure门户中创建一个新的工作区,或者使用一个已有的工作区。为了创建一个新的工作区,你需要执行以下步骤:
-
登录到Azure门户,并搜索Microsoft Sentinel。
-
在Microsoft Sentinel页面上,单击”创建”按钮。
-
在”添加Microsoft Sentinel”页面上,选择一个订阅、资源组和区域。
-
输入一个工作区名称,例如”365vCloudSentinel”。
-
单击”查看+创建”按钮,然后单击”创建”按钮。将 Microsoft Sentinel 添加到工作区
创建工作区后,你就可以在Azure门户中看到它,并开始连接数据源。
步骤二:连接数据源
要让Microsoft Sentinel能够分析和响应安全事件,你需要将它连接到不同类型的数据源,例如Azure服务、Microsoft 365服务、第三方解决方案或者自定义日志等。Microsoft Sentinel提供了多种数据连接器,让你可以轻松地收集和整合来自不同来源的安全数据。为了连接数据源,你需要执行以下步骤:
-
在Azure门户中,打开你的Microsoft Sentinel工作区,并单击”数据连接器”选项卡。
-
在”数据连接器”页面上,你可以看到不同类别的数据连接器,例如”Azure服务”、”微软365″、”网络设备”等。你可以根据你的需要选择一个或多个数据连接器,并单击”打开连接器页面”按钮。
-
在每个数据连接器的页面上,你可以看到连接器的简介、先决条件和配置步骤。你需要按照指示完成配置,并单击”保存”按钮。本文以Azure Active Directory为例
下面的操作使用我已经在用的环境
-
连接数据源后,你可以在”数据连接器”页面上看到连接器的状态为”已连接”,并且可以查看收集到的数据量。
连接数据源后,你就可以开始使用Microsoft Sentinel的其他功能了。
步骤三:配置分析规则
要让Microsoft Sentinel能够检测潜在的安全威胁,你需要配置分析规则,这是一种用于定义威胁检测逻辑和响应动作的配置项。Microsoft Sentinel提供了多种分析规则模板,让你可以快速地部署基于最佳实践和行业标准的威胁检测方案。为了配置分析规则,你需要执行以下步骤:
-
在Azure门户中,打开你的Microsoft Sentinel工作区,并单击”分析”选项卡。
-
在”分析”页面上,单击”规则模板”选项卡。
-
在”规则模板”页面上,你可以看到不同类别的分析规则模板,例如”安全警报”、”异常行为”、”网络威胁”等。你可以根据你的需要选择一个或多个规则模板,并单击”创建规则”按钮。
-
在每个规则模板的页面上,你可以看到规则的详细信息,例如名称、描述、严重性、查询、触发器、响应等。你可以根据你的需要修改规则的参数,并单击”创建”按钮。
创建分析规则后,Microsoft Sentinel就会根据规则的逻辑定期运行查询,并生成安全警报。
步骤四:查看和处理安全警报
当Microsoft Sentinel检测到潜在的安全威胁时,它会生成一个安全警报,这是一种用于描述威胁细节和上下文的实体。你可以在Azure门户中查看和处理安全警报,以及将它们转换为安全事件。为了查看和处理安全警报,你需要执行以下步骤:
-
在Azure门户中,打开你的Microsoft Sentinel工作区,并单击”分析”选项卡。
-
在”分析”页面上,你可以看到所有生成的安全警报,以及它们的状态、严重性、提供者、实体等。你可以根据你的需要筛选和排序安全警报,并单击一个警报来查看更多细节。
-
在每个警报的页面上,你可以看到警报的详细信息,例如时间线、事件、相关实体、威胁指标等。你可以根据这些信息进行调查和响应,并单击”将警报转换为事件”按钮来创建一个安全事件。本文中以”Microsoft Defender for Cloud“信息为载体创建规则,并在“按严重性筛选“字段中选择“高“,则只有严重性高的安全警报才会自动在 Microsoft Sentinel 中创建事件。
创建安全事件后,你就可以在Microsoft Sentinel中管理和跟踪事件的生命周期了。
步骤五:管理和跟踪安全事件
当你将一个安全警报转换为一个安全事件时,Microsoft Sentinel会为该事件创建一个工作项,这是一种用于记录事件的详细信息和处理过程的实体。你可以在Azure门户中管理和跟踪安全事件,以及使用工作簿来可视化和分析事件数据。为了管理和跟踪安全事件,你需要执行以下步骤:
-
在Azure门户中,打开你的Microsoft Sentinel工作区,并单击”事件”选项卡。
-
在”事件”页面上,你可以看到所有创建的安全事件,以及它们的状态、严重性、所有者、标签等。你可以根据你的需要筛选和排序安全事件,并单击一个事件来查看更多细节。
-
在每个事件的页面上,你可以看到事件的详细信息,例如描述、注释、附件、历史记录等。你可以根据这些信息进行管理和跟踪,并修改事件的状态或其他属性。
-
在”事件”页面上,单击”工作簿”选项卡。
-
在”工作簿”页面上,你可以看到不同类别的工作簿模板,例如”概览”、”活动监控”、”威胁情报”等。你可以根据你的需要选择一个或多个工作簿模板,并单击”添加”按钮。
-
在每个工作簿的页面上,你可以看到工作簿的可视化图表和表格,以及一些交互式的控件和过滤器。你可以根据这些信息进行可视化和分析,并修改工作簿的布局或设置。
使用工作簿后,你就可以更好地理解和改进你的安全状况了。
步骤六:执行搜寻查询和自动化
除了使用Microsoft Sentinel提供的分析规则和工作簿外,你还可以使用搜寻查询和自动化播放来进一步增强你的安全能力。搜寻查询是一种用于在安全数据中搜索潜在威胁的自定义查询,而自动化播放是一种用于在触发条件下执行预定义动作的自动化流程。为了执行搜寻查询和自动化播放,你需要执行以下步骤:
-
在Azure门户中,打开你的Microsoft Sentinel工作区,并单击”搜寻”选项卡。
-
在”搜寻”页面上,单击”查询”选项卡。
-
在”查询”页面上,你可以看到不同类别的搜寻查询模板,例如”网络威胁”、”恶意软件”、”身份威胁”等。你可以根据你的需要选择一个或多个查询模板,并单击”运行查询”按钮。
-
在每个查询的页面上,你可以看到查询的结果,以及相关实体、威胁指标等。你可以根据这些信息进行调查和响应,并单击”将结果转换为事件”按钮来创建一个安全事件。
-
在”自动化”页面上,你可以看到不同类别的自动化播放模板,例如”响应警报”、”响应事件”、”响应实体”等。你可以根据你的需要选择一个或多个自动化模板,并单击”打开逻辑应用设计器”按钮。
-
在每个自动化的页面上,你可以看到自动化的逻辑流程,以及触发条件、操作、设置等。你可以根据你的需要修改自动化的参数,并单击”保存”按钮。
-
创建自动化后,Microsoft Sentinel就会根据触发条件执行预定义动作,例如发送电子邮件、创建工单、运行脚本等。
步骤七:使用工作簿获取见解
工作簿是一种可视化和交互式的报告,它可以帮助你理解和分析你的数据。Microsoft Sentinel提供了一些内置的工作簿,它们基于你连接的数据源来展示相关的见解。你可以按原样使用它们,也可以根据你的需要进行自定义或创建新的工作簿。
要使用工作簿,你只需要在主菜单中选择”工作簿”,然后从工作簿库中选择一个工作簿,并查看它。你可以使用工具栏上的按钮来编辑、保存、共享或导出工作簿。只需要执行以下步骤:
-
在主菜单上,选择”工作簿”。
-
随即打开工作簿库。
-
选择一个工作簿,然后选择”查看工作簿”按钮。
-
工作簿将显示在一个新的选项卡中,你可以在其中查看和探索你的数据。
-
你可以使用工具栏上的按钮来编辑、保存、共享或导出工作簿。
在本文中,我向你介绍了如何启用Microsoft Sentinel,并设置数据连接器和工作簿,以便将你的数据源连接到Microsoft Sentinel,并从中获取有价值的见解。这只是Microsoft Sentinel功能的一部分,你还可以使用它来创建分析规则、调查威胁、响应事件、自动化操作等。在后续的章节中,将分开做详细的介绍,配置与使用。
如果你喜欢这篇博客,请给我一个赞👍,并分享给你的朋友和同事。如果你有任何问题或建议,请在下方留言,我会尽快回复你。谢谢你的阅读和支持!