Ролик: Microsoft Sentinel

Эта демонстрация выполняется на основе следующего содержимого Learn:

  • Схема обучения. Описание возможностей решений Майкрософт по обеспечению безопасности
  • Модуль. Описание возможностей обеспечения безопасности Microsoft Sentinel
  • Урок. Описание принципов обнаружения угроз и минимизации их последствий в Microsoft Sentinel

Демонстрационный сценарий

В этом ролике вы узнаете о некоторых вариантах, доступных в Microsoft Sentinel, включая использование центра содержимого для поиска упакованных решений, которые можно развернуть. Но сначала вы узнаете, как настроить разрешения управления доступом на основе ролей для пользователей, которым потребуется получить доступ к ресурсам Microsoft Sentinel.

Демонстрация, часть 1.

Экземпляр Microsoft Sentinel уже должен быть создан в рамках настройки перед демонстрацией. Убедитесь, что он создан.

  1. Откройте вкладку браузера Home-Microsoft Azure. Если вы ранее закрыли вкладку, откройте страницу браузера и в адресной строке введите https://portal.azure.com. Войдите с помощью учетных данных Azure, предоставленных полномочным поставщиком услуг размещения заданий (ALH). Это позволит вам открыть домашнюю страницу служб Azure.

  2. В поле поиска, которое расположено на синей верхней панели рядом с надписью Microsoft Azure, введите Microsoft Sentinel, а затем выберите Microsoft Sentinel в результатах поиска.

  3. На странице Microsoft Sentinel вы должны увидеть свой экземпляр Sentinel в списке и выбрать его. Если его нет в списке, создайте его сейчас.

    1. На странице Microsoft Sentinel выберите Создать Microsoft Sentinel.

    2. На странице “Добавить Microsoft Sentinel в рабочую область” выберите элемент Создать рабочую область. На вкладке основных сведений рабочей области «Создать аналитику журналов» введите следующее:

      1. Подписка: оставьте значение по умолчанию.
      2. Группа ресурсов: выберите Создать, а затем введите имя SC900-Sentinel-RG и нажмите ОК.
      3. Имя: SC900-LogAnalytics-workspace.
      4. Регион: Восточная часть США (другой регион по умолчанию можно выбрать в зависимости от вашего расположения)
      5. Выберите Проверка и создание (теги не будут настроены).
      6. Убедитесь, что введены правильные сведения, а затем выберите Создать.
      7. Новая рабочая область отобразится через 1-2 минуты. Если вы по-прежнему не видите ее, нажмите Обновить, а затем Добавить.
      8. После добавления новой рабочей области отобразится страница “Microsoft Sentinel  Новости и руководства”, на которой указано, что активирована бесплатная пробная версия Microsoft Sentinel. Нажмите ОК.
  4. Не закрывайте эту страницу, так как она будет использоваться в последующей задаче.

Демонстрация, часть 2.

Как и в случае со всеми ресурсами Azure, необходимо убедиться, что пользователи имеют соответствующие разрешения на доступ к ресурсам Microsoft Sentinel. Здесь показаны шаги по назначению роли и доступные роли для использования с Microsoft Sentinel.

  1. В поле поиска, которое расположено на синей верхней панели рядом с надписью Microsoft Azure, введите группы ресурсов, а затем выберите Группы ресурсов в результатах поиска. Назначение роли на уровне группы ресурсов обеспечит применение этой роли ко всем ресурсам, развернутым для поддержки Microsoft Sentinel.

  2. На странице групп ресурсов выберите группу ресурсов, созданную с помощью Microsoft Sentinel, с именем SC900-Sentinel-RG.

  3. На странице SC900-Sentinel-RG на панели навигации слева выберите Управление доступом (IAM).

  4. На странице управления доступом выберите Просмотреть мой доступ. Скорее всего, вы увидите настраиваемое назначение ролей, уже настроенное для этой подписки, и оно предоставит вам необходимые разрешения. Эта настраиваемая роль была создана авторизованным хостером лаборатории (ALH), предоставляющим среду лаборатории. Однако для демонстрационных целей хорошо показать специальные роли Sentinel. Закройте окно назначений, щелкнув значок X в его правом верхнем углу.

    1. На странице “Управление доступом” нажмите + Добавить и выберите Добавить назначение роли.

    2. Откроется окно “Добавление назначения роли”. В поле поиска роли введите Microsoft Sentinel для просмотра ролей, связанных с Microsoft Sentinel.

    3. Для любой из указанных ролей выберите Просмотреть, чтобы просмотреть сведения о ней. Рекомендуется назначать минимальный объем привилегий, необходимых для роли.

    4. Закройте это окно, щелкнув значок X в правом верхнем углу экрана.

  5. На странице управления доступом закройте это окно, щелкнув значок X в правом верхнем углу окна.

Демонстрация, часть 3.

В этой части демонстрации вы покажете шаги по подключению к источнику данных. Многие соединители данных разворачиваются как часть решения Microsoft Sentinel вместе со связанным содержимым, таким как правила аналитики, книги и сборники схем. Центр содержимого Microsoft Sentinel — это централизованное расположение для обнаружения и установки готового (встроенного) содержимого. На этом шаге вы будете использовать центр содержимого для развертывания решения Microsoft Defender для облака в Microsoft Sentinel. Это решение позволяет получать оповещения системы безопасности, передаваемые в Microsoft Defender для облака.

  1. Откройте вкладку браузера для Microsoft Sentinel.

  2. На панели навигации слева выберите Центр содержимого.

  3. Прокрутите страницу вниз, чтобы просмотреть список доступных решений и параметры его фильтрации. Для выполнения этого задания вам нужно найти Microsoft Defender для облака. и выберите ее в списке. В открывшемся сбоку окне прочитайте описание и нажмите кнопку Установить. После завершения установки столбец состояния в главном окне будет отображать значение “Установлено”.

  4. В правой части страницы Microsoft Defender для облака находятся описание и примечания, связанные с решением из Центра содержимого, а также указаны составные компоненты этого решения. В главном окне находятся компоненты решения. В этом случае существуют два соединителя данных и одно правило данных. Оранжевый треугольник указывает, что необходима некоторая настройка. Установите флажок рядом с надписью Microsoft Defender для облака на основе подписки (устаревшая версия). В правой части страницы откроется окно. Выберите Открыть страницу соединителя.

  5. Обратите внимание на инструкции по конфигурации. Выберите ячейку рядом с названием подписки, а затем выберите Подключиться. Состояние измениться на «Подключено». Теперь соединитель включен, хотя для его отображения на странице соединителей данных может потребоваться некоторое время.

  6. Теперь просмотрите сведения о правиле аналитики. В верхней части страницы (в навигационной цепочке) выберите Microsoft Defender для облака. Снимите выбор с ячейки рядом с пунктом Microsoft Defender для облака, так как вы уже настроили соединитель (может потребоваться некоторое время, чтобы значок предупреждения исчез). Выберите ячейку рядом с пунктом «Обнаружение действия удаления CoreBackUp из связанных оповещений системы безопасности». Откроется страница правил аналитики. Снова выберите правило Обнаруживать удаление CoreBackUp из связанных оповещений системы безопасности. Справа откроется окно, содержащее информацию о правиле и его функциях. Выберите Создать правило.
    1. Хотя подробности логики правил выходят за рамки основ, пройдитесь по каждой вкладке при создании правила, чтобы просмотреть тип информации, которую можно настроить
    2. На вкладке “Проверить и создать“ выберите Сохранить.
  7. Вернитесь на страницу Sentinel, выбрав **Microsoft Sentinel Центр содержимого** из breadcrump в верхней части страницы, над надписью Правила аналитики.

  8. Обратите внимание, что с помощью центра содержимого можно легко и быстро развернуть решение.

  9. Оставьте эту страницу открытой, так как она будет использоваться в следующей задаче.

Демонстрация, часть 4.

В этой части демонстрации вы покажете некоторые параметры, доступные в Sentinel.

  1. На панели навигации слева выберите Охота. В верхней части страницы выберите вкладку Запросы. Ознакомьтесь с описанием запроса на охоту. Запросы подстройки можно добавлять через центр содержимого. Все ранее установленные запросы будут перечислены здесь. Выберите Перейти к центру содержимого. В центре содержимого указано содержимое, включающее запросы, которые являются либо частью решения, либо автономным запросом. Прокрутите вниз, чтобы просмотреть доступные параметры.

  2. На панели навигации слева выберите MITRE ATT&CK. MITRE ATT&CK — это общедоступная база знаний тактик и методов, которые часто используются злоумышленниками. С помощью Microsoft Sentinel вы можете просматривать обнаружения, которые уже активны в рабочей области и доступны для настройки, чтобы лучше понимать обеспечение безопасности в вашей организации на основе тактик и методов платформы MITRE ATT&CK®. Выделите любую ячейку таблицы и запишите сведения, доступные в правой части экрана.

  3. В области навигации слева выберите Сообщество. Страница сообщества содержит аналитику и обновления по кибербезопасности из Microsoft Research, ссылку на список блогов Microsoft Sentinel, ссылку на форумы Microsoft Sentinel, ссылки на последние выпуски с Microsoft Sentinel Hub и многое другое. Исследуйте ее по своему усмотрению.

  4. На панели навигации слева выберите Аналитика. У вас должно быть два активных правила: одно правило, доступное по умолчанию, и второе — созданное в предыдущей задаче. Выберите правило по умолчанию Расширенное многоэтапное обнаружение атаки. Запишите подробные сведения. Microsoft Sentinel использует Fusion (подсистему корреляции на основе масштабируемых алгоритмов машинного обучения) для автоматического обнаружения многоступенчатых атак (также называются постоянными серьезными угрозами), определяя сочетания аномальных и подозрительных действий на различных этапах атаки. На основе этих наблюдений в Microsoft Sentinel создаются инциденты, которые трудно выявить иным образом.

  5. На панели навигации слева выберите Автоматизация. Здесь можно создавать простые правила автоматизации, осуществлять интеграцию с существующими сборниками схем или создавать новые. Выберите + Создать и Правило автоматизации. Обратите внимание на окно, которое открылось в правой части экрана, и доступные варианты для создания условий и действий. Выберите Отмена в нижней части экрана.

  6. На панели навигации слева выберите Книги. Ознакомьтесь с описанием книги Microsoft Sentinel. Рабочие книги можно добавить через Центр содержимого. Все ранее установленные рабочие книги будут перечислены здесь. Выберите Перейти к центру содержимого. Центр содержимого перечисляет содержимое, включающее книги либо как часть решения, либо как автономную книгу. Прокрутите вниз, чтобы просмотреть доступные параметры.

  7. Закройте это окно, щелкнув значок X в правом верхнем углу экрана.

  8. В левом верхнем углу окна под синей панелью выберите Главная, чтобы вернуться на домашнюю страницу портала Azure.

Отзыв

В этой демонстрации вы выполнили инструкции по подключению Microsoft Sentinel к источникам данных и настройке книги, а также изучили несколько параметров, доступных в Microsoft Sentinel.