Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives de forskellige komponenter i en Microsoft Sentinel løsning, og hvordan de kan arbejde sammen om vigtige kundescenarier.
Den Sentinel platform omfatter en datasø, en graf, en Jupyter-notesbog, en MCP-server (Model Context Protocol) og data fra mere end 300 Sentinel connectors for at hjælpe kunderne med at centralisere og analysere deres sikkerhedsdata på en omkostningseffektiv måde. Disse funktioner samt Microsoft Security Copilot gør det muligt for kunder og partnere at oprette effektfulde løsninger, som kan publiceres via Microsoft Security Store.
Sentinel SIEM bruges af SOC-teams (Security Operations) til at generere registreringer, undersøge skadelig funktionsmåde og afhjælpe trusler. Ved at oprette Sentinel connectors til at hente nye data og ved at oprette indhold, f.eks. analyseregler, playbooks, jagtforespørgsler, fortolkere og projektmapper, kan partnere hjælpe SOC-teams med at få oplysninger, de har brug for til at identificere trusler og reagere korrekt. Sentinel SIEM-løsninger publiceres via Sentinel Content Hub.
Dataindsamling
Uanset om du bygger en løsning, der bruger platformkomponenter eller er målrettet til en Sentinel SIEM-integration, er det vigtigt at have de rigtige data til dit scenarie.
Sentinel Connectors henter data til Sentinel, som derefter kan analyseres i søen ved hjælp af Jupyter-notesbøger og -job eller håndteres med Sentinel SIEM-indhold, f.eks. analyseregler og jagtforespørgsler.
Disse data kan indeholde følgende typer:
| Type | Beskrivelse |
|---|---|
| Ikke-behandlede data | Understøtter opdagelser og jagtprocesser. Analysér rå driftsdata, hvor der kan være tegn på skadelig aktivitet. Medbring ubehandlede data til Microsoft Sentinel til at bruge Microsoft Sentinel indbyggede jagt- og registreringsfunktioner til at identificere nye trusler og meget mere. Eksempler: Syslog-data, CEF-data via Syslog, program, firewall, godkendelse eller adgangslogge med mere. |
| Sikkerhedskonlusioner | Opretter synlighed af beskeder og salgsmuligheder for korrelation. Beskeder og registreringer er konklusioner, der allerede er foretaget om trusler. Hvis registreringer sættes i kontekst med alle aktiviteter og andre registreringer synlige i Microsoft Sentinel undersøgelser, sparer det tid for analytikere og opretter et mere komplet billede af en hændelse, hvilket resulterer i bedre prioritering og bedre beslutninger. Eksempler: antimalwarebeskeder, mistænkelige processer, kommunikation med kendte dårlige værter, netværkstrafik, der blev blokeret, og hvorfor, mistænkelige logon, registrerede adgangskodesprayangreb, identificerede phishing-angreb, dataeksfiltrationshændelser og meget mere. |
| Referencedata | Opretter kontekst med refererede miljøer, hvilket sparer undersøgelsesindsatsen og øger effektiviteten. Eksempler: CMDB'er, ressourcedatabaser med høj værdi, programafhængighedsdatabaser, IP-tildelingslogge, samlinger af trusselsintelligens til berigelse m.m. |
| Trusselsintelligens | Driver trusselsregistrering ved at bidrage med indikatorer for kendte trusler. Trusselsintelligens kan omfatte aktuelle indikatorer, der repræsenterer øjeblikkelige trusler eller historiske indikatorer, der bevares med henblik på fremtidig forebyggelse. Historiske datasæt er ofte store og kan bedst refereres til ad hoc i stedet for at importere dem direkte til Microsoft Sentinel. |
Parsere
Fortolkninger er KQL-funktioner, der transformerer brugerdefinerede data fra tredjepartsprodukter til et normaliseret ASIM-skema. Normalisering sikrer, at SOC-analytikere ikke behøver at få mere at vide om nye skemaer og i stedet oprette analyseregler og jagtforespørgsler på det normaliserede skema, som de allerede kender. Gennemse de tilgængelige ASIM-skemaer fra Microsoft Sentinel for at identificere relevante ASIM-skemaer (et eller flere) for dine data for at sikre nemmere onboarding for SOC-analytikere og for at sikre, at det eksisterende sikkerhedsindhold, der er skrevet til ASIM-skemaet, er gældende klar til brug for dine produktdata. Du kan få flere oplysninger om de tilgængelige ASIM-skemaer under ASIM-skemaer (Advanced Security Information Model).
Visualisering
Du kan inkludere visualiseringer for at hjælpe kunder med at administrere og forstå dine data ved at inkludere grafiske visninger af, hvor godt data strømmer ind i Microsoft Sentinel, og hvor effektivt de bidrager til registreringer.
Du kan inkludere visualiseringer for at hjælpe kunder med at administrere og forstå dine data ved at inkludere grafiske visninger af, hvor godt data strømmer ind i Microsoft Sentinel, og hvor effektivt de bidrager til registreringer.
Overvågning og registrering
Sentinel's overvågnings- og registreringsfunktioner opretter automatiserede registreringer for at hjælpe kunderne med at skalere deres SOC-teams ekspertise.
I følgende afsnit beskrives de overvågnings- og registreringselementer, du kan inkludere i din løsning.
Security Copilot agenter
Security Copilot agenter automatiserer gentagne opgaver og reducerer manuelle arbejdsbelastninger. De forbedrer sikkerheden og it-handlingerne på tværs af cloud, datasikkerhed og beskyttelse af personlige oplysninger, identitet og netværkssikkerhed. For Sentinel kan agenter forespørge SIEM eller datasøen og kalde API'er for at forbedre Microsoft Sentinel data. De kan bruge notesbogjob til intensiv databehandling eller analyse og bruge et vilkårligt antal plug-ins.
Jupyter-notesbogjob
Jupyter-notesbogjob indeholder effektive værktøjer til at udføre komplekse datatransformationer og køre modeller til maskinel indlæring ved hjælp af Spark-job i Sentinel Data Lake. De kan bruges af Security Copilot agenter til at levere en deterministisk og effektiv metode til at udføre dataanalyse og opsummering og køre løbende. Notesbogjob kan skrive brugerdefinerede datatabeller til analyseniveauet og datasøen, der skal bruges af downstream-komponenter, f.eks. agenter, projektmapper, jagtforespørgsler og andre.
Analyseregler
Analyseregler er avancerede registreringer, der kan oprette nøjagtige, meningsfulde beskeder.
Føj analyseregler til din løsning for at hjælpe dine kunder med at drage fordel af data fra dit system i Microsoft Sentinel. Analyseregler kan f.eks. hjælpe med at levere ekspertise og indsigt i de aktiviteter, der kan registreres i de data, som din integration leverer.
De kan sende beskeder (bemærkelsesværdige hændelser), hændelser (undersøgelsesenheder) eller udløse automatiske playbooks.
Du kan tilføje analyseregler ved at inkludere dem i en løsning og via Microsoft Sentinel ThreatHunters-community'et. Bidrag via community'et for at tilskynde til kreativitet i forhold til partnerbaserede data, hvilket hjælper kunder med mere pålidelige og effektive registreringer.
Jagtforespørgsler
Jagtforespørgsler gør det muligt for SOC-analytikere proaktivt at søge efter nye uregelmæssigheder, der ikke registreres af de aktuelt planlagte analyseregler. Jagtforespørgsler hjælper SOC-analytikere med at stille de rigtige spørgsmål for at finde problemer ud fra de data, der allerede er tilgængelige i Microsoft Sentinel, og hjælper dem med at identificere potentielle trusselsscenarier. Ved at inkludere jagtforespørgsler kan du hjælpe kunderne med at finde ukendte trusler i de data, du angiver.
Projektmapper
Projektmapper indeholder interaktive rapporter og dashboards, der hjælper brugerne med at visualisere sikkerhedsdata og identificere mønstre i data. Behovet for projektmapper afhænger af den specifikke use case. Når du designer din løsning, kan du tænke på scenarier, der bedst kan forklares visuelt, især i forbindelse med scenarier, hvor du kan spore ydeevnen.
Undersøgelse
Grafen Sentinel undersøgelse giver efterforskerne relevante data, når de har brug for dem, og giver synlighed om sikkerhedshændelser og beskeder via forbundne enheder. Efterforskere kan bruge undersøgelsesgrafen til at finde relevante eller relaterede, bidragende hændelser til den trussel, der undersøges.
Partnere kan bidrage til undersøgelsesgrafen ved at angive:
- Microsoft Sentinel beskeder og hændelser, der oprettes via analyseregler i partnerløsninger.
- Brugerdefinerede udforskningsforespørgsler for partnerleverede data. Brugerdefinerede udforskningsforespørgsler giver omfattende udforskning og forbindelse mellem data og indsigt for sikkerhedsforskere.
Svar
Playbooks understøtter arbejdsprocesser med omfattende automatisering og kører sikkerhedsrelaterede opgaver på tværs af kundemiljøer. De er afgørende for at sikre, at SOC-analytikerne ikke overbelastes af taktiske elementer og kan fokusere på den mere strategiske og dybere rodårsag til sikkerhedsrisiciene. Hvis der f.eks. registreres en besked med høj alvorsgrad, kan en playbook automatisk starte en række handlinger, f.eks. at give sikkerhedsteamet besked, isolere berørte systemer og indsamle relevante logge til yderligere analyse.
Playbooks kan f.eks. hjælpe på en af følgende måder og meget mere:
- Hjælp til kunder med at konfigurere sikkerhedspolitikker i partnerprodukter
- Indsamling af ekstra data for at informere undersøgelsesbeslutninger
- Sammenkædning Microsoft Sentinel hændelser med eksterne administrationssystemer
- Integration af administration af beskedlivscyklus på tværs af partnerløsninger
Når du designer din løsning, kan du tænke på de automatiserede handlinger, der kan udføres for at løse hændelser, der er oprettet af de analyseregler, der er defineret i din løsning.
eksempler på Sentinel SIEM-scenarier
I følgende afsnit beskrives almindelige partnerscenarier og anbefalinger til, hvad der skal inkluderes i en løsning for hvert scenarie.
Dit produkt genererer data, der er vigtige for sikkerhedsundersøgelser
Scenarie: Dit produkt genererer data, der kan informere sikkerhedsundersøgelser.
Eksempel: Produkter, der leverer en form for logdata, omfatter firewalls, cloudprogramsikkerhedsmæglere, fysiske adgangssystemer, Syslog-output, kommercielt tilgængelige og virksomhedsbyggede LOB-programmer, servere, netværksmetadata, alt, der kan leveres via Syslog i Syslog- eller CEF-format eller over REST API i JSON-format.
Sådan bruger du dine data i Microsoft Sentinel: Importér dit produkts data til Microsoft Sentinel via en dataconnector for at levere analyser, jagt, undersøgelser, visualiseringer med mere.
Hvad skal du bygge: I dette scenarie skal du inkludere følgende elementer i din løsning:
| Type | Elementer, der skal medtages |
|---|---|
| Påkrævet | – En Microsoft Sentinel dataconnector til at levere dataene og linke andre tilpasninger på portalen. Eksempeldataforespørgsler |
| Anbefalede | -Projektmapper – Analyseregler til oprettelse af registreringer baseret på dine data i Microsoft Sentinel |
| Valgfrit | - Jagtforespørgsler for at give jægere køreklare forespørgsler, der skal bruges, når de jagter - Notesbøger, for at levere en fuldt guidet, gentagelig jagtoplevelse |
Dit produkt leverer registreringer
Scenarie: Dit produkt leverer registreringer, der supplerer beskeder og hændelser fra andre systemer
Eksempler: Antimalware, løsninger til registrering og svar til virksomheder, løsninger til netværksregistrering og -svar, mailsikkerhedsløsninger som f.eks. anti-phishing-produkter, scanning af sårbarheder, løsninger til administration af mobilenheder, UEBA-løsninger, information protection services osv.
Sådan bruger du dine data i Microsoft Sentinel: Gør dine registreringer, beskeder eller hændelser tilgængelige i Microsoft Sentinel for at få dem vist i kontekst med andre beskeder og hændelser, der kan forekomme i dine kunders miljøer. Overvej også at levere de logge og metadata, der styrer dine registreringer, som ekstra kontekst for undersøgelser.
Hvad skal du bygge: I dette scenarie skal du inkludere følgende elementer i din løsning:
| Type | Elementer, der skal medtages |
|---|---|
| Påkrævet | En Microsoft Sentinel dataconnector til at levere dataene og linke andre tilpasninger på portalen. |
| Anbefalede | Analyseregler for at oprette Microsoft Sentinel hændelser fra dine registreringer, der er nyttige i undersøgelser |
Dit produkt leverer trusselsintelligensindikatorer
Scenarie: Dit produkt leverer threat intelligence-indikatorer, der kan levere kontekst for sikkerhedshændelser, der opstår i kundernes miljøer
Eksempler: TIP-platforme, STIX/TAXII-samlinger og offentlige eller licenserede trusselsintelligenskilder. Referencedata, f.eks. WhoIS, GeoIP eller nyligt observerede domæner.
Sådan bruger du dine data i Microsoft Sentinel: Levér aktuelle indikatorer for at Microsoft Sentinel til brug på tværs af Microsoft-registreringsplatforme. Brug store eller historiske datasæt til berigelsesscenarier via fjernadgang.
Hvad skal du bygge: I dette scenarie skal du inkludere følgende elementer i din løsning:
| Type | Elementer, der skal medtages |
|---|---|
| Aktuel trusselsintelligens | Opret en GSAPI-dataconnector til pushindikatorer for at Microsoft Sentinel. Angiv en STIX 2.0- eller 2.1 TAXII-server, som kunderne kan bruge sammen med den køreklarE TAXII-dataconnector. |
| Historiske indikatorer og/eller referencedatasæt | Angiv en logikapp-connector for at få adgang til dataene og en arbejdsproceslegebog til forbedring, der dirigerer dataene til de korrekte steder. |
Dit produkt giver ekstra kontekst for undersøgelser
Scenarie: Dit produkt leverer ekstra kontekstafhængige data til undersøgelser, der er baseret på Microsoft Sentinel.
Eksempler: Ekstra kontekst-CMDB'er, ressourcedatabaser med høj værdi, VIP-databaser, programafhængighedsdatabaser, systemer til administration af hændelser, billetsystemer
Sådan bruger du dine data i Microsoft Sentinel: Brug dine data i Microsoft Sentinel til at forbedre både beskeder og hændelser.
Hvad skal du bygge: I dette scenarie skal du inkludere følgende elementer i din løsning:
- En Logic App-connector
- En strategibog for en arbejdsproces til forbedring
- En ekstern arbejdsproces til administration af hændelseslivscyklus (valgfrit)
Dit produkt kan implementere sikkerhedspolitikker
Scenarie: Dit produkt kan implementere sikkerhedspolitikker i Azure politik og andre systemer
Eksempler: Firewalls, NDR, EDR, MDM, Identity solutions, Conditional Access solutions, physical access solutions eller andre produkter, der understøtter blok/tillad eller andre handlingsbaserede sikkerhedspolitikker
Sådan bruger du dine data i Microsoft Sentinel: Microsoft Sentinel handlinger og arbejdsprocesser, der gør det muligt at afhjælpe og reagere på trusler
Hvad skal du bygge: I dette scenarie skal du inkludere følgende elementer i din løsning:
- En Logic App-connector
- En playbook for en handlingsarbejdsproces
Referencer til introduktion
Alle Microsoft Sentinel SIEM-integrationer starter med Microsoft Sentinel GitHub Repository and Contribution Guidance.
Når du er klar til at begynde at arbejde på din Microsoft Sentinel løsning, kan du finde instruktioner til indsendelse, pakning og publicering i Vejledning til oprettelse Microsoft Sentinel løsninger.
Introduktion til markedet
Microsoft tilbyder programmerne for at hjælpe partnere med at nærme sig Microsoft-kunder:
Microsoft Partner Network (MPN). Det primære program til partnering med Microsoft er Microsoft Partner Network. Medlemskab af MPN er påkrævet for at blive Azure Marketplace-udgiver, hvor alle Microsoft Sentinel løsninger publiceres.
Azure Marketplace. Microsoft Sentinel løsninger leveres via Azure Marketplace, som er stedet, hvor kunderne kan finde og udrulle både generelle Azure integrationer fra Microsoft og partnere.
Microsoft Sentinel løsninger er en af mange typer af tilbud, der findes på Marketplace. Du kan også finde de løsningstilbud, der er integreret i Microsoft Sentinel indholdshubben
Microsoft Intelligent Security Association (MISA). MISA giver Microsoft-sikkerhedspartnere hjælp til at skabe opmærksomhed om partneroprettede integrationer med Microsoft-kunder og hjælper med at gøre microsoft Security-produktintegrationer nemmere at finde.
Tilmelding til MISA-programmet kræver en nominering fra et deltagende Microsoft Security Product Team. Oprettelse af en af følgende integrationer kan kvalificere partnere til nominering:
- En Microsoft Sentinel dataconnector og tilknyttet indhold, f.eks. projektmapper, eksempelforespørgsler og analyseregler
- Publiceret Logic Apps-connector og Microsoft Sentinel playbooks
- API-integrationer fra sag til sag
Hvis du vil anmode om en gennemgang af MISA-nominering eller for spørgsmål, skal du kontakte AzureSentinelPartner@microsoft.com.
Næste trin
Du kan finde flere oplysninger under:
Dataindsamling:
- Bedste praksis for dataindsamling
- Microsoft Sentinel dataconnectors
- Find din Microsoft Sentinel dataconnector
- Forstå trusselsintelligens i Microsoft Sentinel
Trusselsregistrering:
- Automatiser håndtering af hændelser i Microsoft Sentinel med automatiseringsregler
- Undersøg hændelser med Microsoft Sentinel
- Automatiser trusselssvar med playbooks i Microsoft Sentinel
Jagt og notesbøger:
- Jagt efter trusler med Microsoft Sentinel
- Administrer jagtforespørgsler i Microsoft Sentinel ved hjælp af REST API
- Brug Jupyter-notesbøger til at søge efter sikkerhedstrusler
Visualisering: Visualiser indsamlede data.
Undersøgelse: Undersøg hændelser med Microsoft Sentinel.
Svar: