你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营中心 (SOC) 是组织中集成人员、流程和技术的集中功能。 SOC 实现组织的整体网络安全框架。 SOC 与组织协作,监视、警报、预防、检测、分析和响应网络安全事件。 由 SOC 经理领导的 SOC 团队可能包括事件响应者、级别 1、2 和 3 的 SOC 分析师、威胁搜寻者和事件响应经理。
SOC 团队使用来自整个组织的 IT 基础结构的遥测数据,包括网络、设备、应用程序、行为、设备和信息存储。 然后,团队共同关联和分析数据,以确定如何管理数据以及要执行的操作。
若要成功迁移到Microsoft Sentinel,不仅需要更新 SOC 使用的技术,还需要更新 SOC 任务和流程。 本文介绍如何在迁移到 Microsoft Sentinel 过程中更新 SOC 和分析过程。
更新分析师工作流
Microsoft Sentinel提供了一系列映射到典型分析工作流的工具,从事件分配到关闭。 分析人员可以灵活使用部分或全部可用工具对事件进行会审和调查。 随着组织迁移到Microsoft Sentinel,分析师需要适应这些新的工具集、功能和工作流。
Microsoft Sentinel中的事件
在Microsoft Sentinel中,事件是Microsoft Sentinel确定具有足够保真度来触发事件的警报的集合。 因此,使用Microsoft Sentinel,分析师首先在“事件”页中会审事件,然后继续分析警报(如果需要更深入的探讨)。 将 SIEM 的事件术语和管理领域与Microsoft Sentinel进行比较。
分析工作流阶段
下表介绍了分析工作流的关键阶段,并突出显示了与工作流中每个活动相关的特定工具。
| Assign | 分流 | 调查 | 响应 |
|---|---|---|---|
|
分配事件: • 在 “事件 ”页中手动 • 自动使用 playbook 或自动化规则 |
使用对事件进行会审 : • 事件页中的 事件 详细信息 • “事件 ”页的“实体”选项卡下的 实体 信息 • Jupyter Notebook |
使用调查事件 : • 调查图 • Microsoft Sentinel工作簿 • Log Analytics 查询窗口 |
使用响应事件: • Playbook 和自动化规则 • Microsoft团队作战室 |
下一部分将术语和分析工作流映射到特定的Microsoft Sentinel功能。
Assign
使用“Microsoft Sentinel事件”页分配事件。 “ 事件 ”页包括事件预览和单个事件的详细视图。
分配事件:
- 手动。 将 “所有者” 字段设置为相关的用户名。
- 自动。 使用基于Microsoft Teams 和逻辑应用或自动化规则的自定义解决方案。
分流
若要在Microsoft Sentinel进行会审练习,可以从各种Microsoft Sentinel功能开始,具体取决于你的专业知识水平和正在调查的事件的性质。 作为典型的起点,请在“事件”页中选择“查看完整详细信息”。 现在可以检查构成事件的警报、查看书签、选择实体以进一步钻取到特定实体或添加注释。
下面是继续事件评审的建议操作:
- 选择“ 调查 ”,以直观表示事件与相关实体之间的关系。
- 使用 Jupyter 笔记本 对特定实体执行深入会审练习。 可以将 事件会审 笔记本用于本练习。
加快会审
使用以下特性和功能加快会审:
- 若要快速筛选,请在 “事件 ”页中 搜索 与特定实体关联的事件。 “ 事件 ”页中的“按实体筛选”比按旧版 SIEM 事件队列中的实体列筛选要快。
- 若要加快会审速度,请使用 “警报详细信息 ”屏幕在事件名称和说明中包含关键事件信息,例如相关用户名、IP 地址或主机。 例如,可以将事件动态重命名为
Ransomware activity detected in DC01,其中DC01是关键资产,通过可自定义的警报属性动态标识。 - 若要进行更深入的分析,请在“事件”页中选择一个事件,然后选择“证据”下的“事件”,以查看触发该事件的特定事件。 事件数据显示为与分析规则关联的查询的输出,而不是原始事件。 规则迁移工程师可以使用此输出来确保分析师获取正确的数据。
- 有关详细的实体信息,请在“事件”页中选择一个事件并在“实体”下选择实体名称,以查看实体的目录信息、时间线和见解。 了解如何 映射实体。
- 若要链接到相关工作簿,请选择“ 事件预览”。 可以自定义工作簿以显示有关事件或关联的实体和自定义字段的其他信息。
调查
使用调查图深入调查事件。 从 “事件 ”页中选择一个事件,然后选择“ 调查 ”以查看 调查图。
使用调查图,可以:
- 通过将相关数据与任何涉及的实体相关联,了解范围并确定潜在安全威胁的根本原因。
- 深入了解实体,并在不同的扩展选项之间进行选择。
- 通过查看从原始数据自动提取的关系,轻松查看不同数据源之间的连接。
- 使用内置浏览查询扩展调查范围,以发现威胁的全部范围。
- 使用预定义的浏览选项来帮助你在调查威胁时提出正确的问题。
在调查图中,还可以打开工作簿以进一步支持调查工作。 Microsoft Sentinel包括多个工作簿模板,你可以根据自己的特定用例进行自定义。
响应
使用Microsoft Sentinel自动响应功能来响应复杂威胁并减少警报疲劳。 Microsoft Sentinel使用逻辑应用 playbook 和自动化规则提供自动响应。
使用以下选项之一访问 playbook:
- “ 自动化 > Playbook 模板”选项卡
- Microsoft Sentinel内容中心
- Microsoft Sentinel GitHub 存储库
这些源包括一系列面向安全的 playbook,涵盖了不同复杂性的很大一部分用例。 若要简化 playbook 的工作,请使用 自动化 > Playbook 模板下的模板。 使用模板可以轻松地将 playbook 部署到 Microsoft Sentinel 实例,然后修改 playbook 以满足组织的需求。
请参阅 SOC 流程框架,将 SOC 进程映射到Microsoft Sentinel功能。
比较 SIEM 概念
使用此表将旧版 SIEM 的主要概念与Microsoft Sentinel概念进行比较。
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| 事件 | 事件 | 事件 | 事件 |
| 相关事件 | 相关事件 | 值得注意的事件 | 通知 |
| 事件 | 进攻 | 值得注意的事件 | 事件 |
| 进攻列表 | 标记 | “事件”页 | |
| 标签 | SOAR 中的自定义字段 | 标记 | 标记 |
| Jupyter Notebooks | Jupyter Notebooks | Microsoft Sentinel笔记本 | |
| 仪表板 | 仪表板 | 仪表板 | 工作簿 |
| 相关规则 | 构建基块 | 相关规则 | 分析规则 |
| 事件队列 | “进攻”选项卡 | 事件评审 | 事件 页 |
后续步骤
迁移后,浏览Microsoft的Microsoft Sentinel资源,以扩展技能并充分利用Microsoft Sentinel。
此外,请考虑使用 Microsoft Sentinel 以及 Microsoft Defender XDR 和 Microsoft Defender for Cloud 来增强威胁防护,以集成威胁防护。 受益于Microsoft Sentinel提供的广度可见性,同时深入了解详细的威胁分析。
有关更多信息,请参阅: