什么是 Microsoft Sentinel?

  • 项目

Microsoft Sentinel 是一种可缩放的云原生解决方案,它提供:

  • 安全信息和事件管理 (SIEM)
  • 安全业务流程、自动化和响应 (SOAR)

Microsoft Sentinel 跨企业提供智能安全分析和威胁情报。 借助 Microsoft Sentinel,可以获取攻击检测、威胁可见性、主动搜寻和威胁响应的单一解决方案。

Microsoft Sentinel 是整个企业的鸟瞰视图,可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。

  • 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据

  • 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大限度地减少误报

  • 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。

  • 通过内置的业务流程和常见任务自动化快速响应事件

Microsoft Sentinel 原生集成了成熟的 Azure 服务,例如 Log Analytics 和逻辑应用。 Microsoft Sentinel 可以借助 AI 丰富调查和检测工作。 它提供 Microsoft 的威胁智能流,使你能够运用自己的威胁智能。

注意

此服务支持 Azure Lighthouse;通过它,服务提供商可登录自己的租户来管理客户委托的订阅和资源组。

使用数据连接器收集数据

若要载入 Microsoft Sentinel,首先需要连接到数据源

Microsoft Sentinel 附带许多适用于 Microsoft 解决方案的连接器,这些连接器立即可用并且可实现实时集成。 其中一些连接器包括:

  • Microsoft Defender for Cloud、Office 365 等。

  • Microsoft Entra ID、Azure 活动、Azure 存储、Azure Key Vault、Azure Kubernetes 服务等 Azure 服务源。

Microsoft Sentinel 具有内置的连接器,可以拓宽非 Microsoft 解决方案的安全和应用程序生态系统。 你也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Microsoft Sentinel 相连接。

有关详细信息,请参阅查找数据连接器

Screenshot of the data connectors page in Microsoft Sentinel that shows a list of available connectors.

使用工作簿创建交互式报表

载入 Microsoft Sentinel 后,利用与 Azure Monitor 工作簿的集成来监视数据。

工作簿在 Microsoft Sentinel 中的显示方式与在 Azure Monitor 中不同。 但可能有助于你了解如何在 Azure Monitor 中创建工作簿。 Microsoft Sentinel 允许跨数据创建自定义工作簿。 Microsoft Sentinel 还附带内置的工作簿模板,支持在连接到数据源后快速了解数据。

Screenshot of workbooks page in Microsoft Sentinel with a list of available workbooks.

工作簿适用于所有层级的 SOC 工程师和分析师,可直观显示数据。

工作簿最适用于 Microsoft Sentinel 数据的概览视图,并且不需要任何编码知识。 但不能将工作簿与外部数据集成。

使用分析规则将警报关联到事件

为了帮助降低干扰并尽量减少需要检查和调查的警报数目,Microsoft Sentinel 使用分析将警报关联到事件。 事件是相关警报的分组,它们共同指示可以调查和解决的、可处理的可能威胁。 可以按原样使用内置的关联规则,也可以使用它们作为起点来生成自己的关联规则。 Microsoft Sentinel 还提供机器学习规则用于映射网络行为,然后查找不同资源中的异常。 这些分析通过将有关不同实体的低保真度警报合并成潜在的高保真度安全事件,来关联问题点。

Screenshot of the incidents page in Microsoft Sentinel with a list of open incidents.

使用 playbook 自动执行和协调常见任务

将常见任务自动化,并使用可与 Azure 服务和现有工具集成的 Playbook 来简化安全业务流程

Microsoft Sentinel 的自动化和业务流程解决方案提供了高度可扩展的体系结构,当新的技术和威胁出现时,它可以实现可缩放的自动化。 若要使用 Azure 逻辑应用生成 playbook,可以从不断扩展的库中选择,其中包含数百个适用于各种服务和系统的连接器。 这些连接器允许你在工作流中应用任何自定义逻辑,例如:

  • ServiceNow
  • HTTP 请求
  • Microsoft Entra ID

例如,如果使用 ServiceNow 票证系统,请使用 Azure 逻辑应用自动执行工作流,并在每次生成特定的警报或事件时在 ServiceNow 中开具票证。

Screenshot of example automated workflow in Azure Logic Apps where an incident can trigger different actions.

Playbook 适用于所有层级的 SOC 工程师和分析师,可自动化和简化任务,包括数据引入、扩充、调查和修正。

playbook 最适合单个、可重复的任务,无需任何编码知识。 playbook 不适合临时或复杂的任务链,也不适合记录和共享证据。

调查安全威胁的范围和根本原因

Microsoft Sentinel 深入调查工具可帮助你了解潜在安全威胁的范围并找到根本原因。 可在交互式图形中选择一个实体以提出有关特定实体的问题,然后向下钻取到该实体及其连接,以获取威胁的根本原因。

Screenshot of an incident investigation that shows an entity and connected entities in an interactive graph.

使用内置查询搜寻安全威胁

根据 MITRE 框架使用 Microsoft Sentinel 的强大搜寻式搜索和查询工具,可以在触发警报之前,主动搜寻组织的不同数据源中的安全威胁。 根据搜寻查询创建自定义检测规则。 然后,将这些见解作为警报呈现给安全事件响应者。

搜寻时,创建书签以便以后可以再次找到相关事件。 使用书签将事件与他人共享。 或者,将事件与其他相关事件分组到一起,创建一个令人信服的事件以方便调查。

Screenshot of the hunting page in Microsoft Sentinel that shows a list of available queries.

使用笔记本增强威胁搜寻

Microsoft Sentinel 支持 Azure 机器学习工作区中的 Jupyter 笔记本,包括用于机器学习、可视化和数据分析的完整库。

使用 Microsoft Sentinel 中的笔记本来扩展可对 Microsoft Sentinel 数据执行的操作的范围。 例如:

  • 执行非内置于 Microsoft Sentinel 的分析(例如,一些 Python 机器学习功能)。
  • 创建非内置于 Microsoft Sentinel 的数据可视化效果(例如,自定义时间线和进程树)。
  • 集成 Microsoft Sentinel 外部的数据源(例如,本地数据集)。

Screenshot of a Sentinel notebook in an Azure Machine Learning workspace.

笔记本适用于威胁搜寻者或 2-3 级分析师、事件调查员、数据科学家和安全研究人员。 他们需要更高的学习曲线和更多编码知识。 他们具有有限的自动化支持。

Microsoft Sentinel 中的笔记本提供:

  • 对 Microsoft Sentinel 和外部数据的查询
  • 用于数据扩充、调查、可视化、搜寻、机器学习和大数据分析的功能

笔记本最适合:

  • 更复杂的可重复任务链
  • 临时的过程控制
  • 机器学习和自定义分析

笔记本支持丰富的 Python 库,适用于数据操作和可视化。 它们有助于记录和共享分析证据。

从社区下载安全内容

Microsoft Sentinel 社区提供有关威胁检测和自动化的强有力资源。 Microsoft 安全分析师创建和添加新的工作簿、playbook、搜寻查询等。 他们将这些内容项发布到社区,供你在环境中使用。 从个人社区 GitHub 存储库下载示例内容,以创建适用于 Microsoft Sentinel 的自定义工作簿、搜寻查询、笔记本和 playbook。

Screenshot of the GitHub repository for Microsoft Sentinel with downloadable content like hunting queries, parsers, and playbooks.

后续步骤