Az - Defender

Reading time: 10 minutes

Microsoft Sentinel

Microsoft Sentinel एक क्लाउड-नेटिव SIEM (सुरक्षा सूचना और घटना प्रबंधन) और SOAR (सुरक्षा ऑर्केस्ट्रेशन, स्वचालन, और प्रतिक्रिया) समाधान है जो Azure पर है।

यह एक संगठन (ऑन-प्रिमाइसेस और क्लाउड) से सुरक्षा डेटा को एकल प्लेटफॉर्म में एकत्र करता है और संभावित खतरों की पहचान करने के लिए बिल्ट-इन एनालिटिक्स और थ्रेट इंटेलिजेंस का उपयोग करता है।
Sentinel Azure सेवाओं जैसे Log Analytics (विशाल लॉग स्टोरेज और क्वेरी के लिए) और Logic Apps (स्वचालित वर्कफ़्लो के लिए) का लाभ उठाता है - इसका मतलब है कि यह मांग पर स्केल कर सकता है और Azure की AI और स्वचालन क्षमताओं के साथ एकीकृत हो सकता है।

संक्षेप में, Sentinel विभिन्न स्रोतों से लॉग एकत्र करता है और उनका विश्लेषण करता है, अनियमितताओं या दुर्भावनापूर्ण गतिविधियों का पता लगाता है, और सुरक्षा टीमों को तेजी से खतरों की जांच और प्रतिक्रिया करने की अनुमति देता है, सभी Azure पोर्टल के माध्यम से बिना ऑन-प्रिमाइसेस SIEM अवसंरचना की आवश्यकता के।

Microsoft Sentinel Configuration

आप Azure Log Analytics कार्यक्षेत्र पर Sentinel को सक्षम करके शुरू करते हैं (कार्यक्षेत्र वह स्थान है जहाँ लॉग संग्रहीत और विश्लेषित किए जाएंगे)। शुरू करने के लिए उच्च-स्तरीय चरण नीचे दिए गए हैं:

1. Workspace पर Microsoft Sentinel सक्षम करें: Azure पोर्टल में, एक नया या मौजूदा Log Analytics कार्यक्षेत्र बनाएं और उसमें Microsoft Sentinel जोड़ें। यह आपके कार्यक्षेत्र में Sentinel की क्षमताओं को तैनात करता है।
2. डेटा स्रोतों (डेटा कनेक्टर्स) को कनेक्ट करें: एक बार Sentinel सक्षम होने के बाद, अपने डेटा स्रोतों को बिल्ट-इन डेटा कनेक्टर्स का उपयोग करके कनेक्ट करें। चाहे वह Entra ID लॉग हो, Office 365, या यहां तक कि फ़ायरवॉल लॉग, Sentinel स्वचालित रूप से लॉग और अलर्ट को ग्रहण करना शुरू कर देता है। यह आमतौर पर लॉग को उस लॉग कार्यक्षेत्र में भेजने के लिए डायग्नोस्टिक सेटिंग्स बनाने के द्वारा किया जाता है जिसका उपयोग किया जा रहा है।
3. एनालिटिक्स नियम और सामग्री लागू करें: डेटा प्रवाहित होने के साथ, खतरों का पता लगाने के लिए बिल्ट-इन एनालिटिक्स नियम सक्षम करें या कस्टम बनाएं। पूर्व-निर्मित नियम टेम्पलेट्स और कार्यपुस्तिकाओं के लिए सामग्री हब का उपयोग करें जो आपकी पहचान क्षमताओं को प्रारंभ करने में मदद करते हैं।
4. (वैकल्पिक) स्वचालन कॉन्फ़िगर करें: घटनाओं पर स्वचालित रूप से प्रतिक्रिया देने के लिए प्लेबुक के साथ स्वचालन सेट करें - जैसे अलर्ट भेजना या समझौता किए गए खातों को अलग करना - आपकी समग्र प्रतिक्रिया को बढ़ाना।

Main Features

• Logs: लॉग्स ब्लेड Log Analytics क्वेरी इंटरफ़ेस खोलता है, जहाँ आप Kusto Query Language (KQL) का उपयोग करके अपने डेटा में गहराई से जा सकते हैं। यह क्षेत्र समस्या निवारण, फोरेंसिक विश्लेषण, और कस्टम रिपोर्टिंग के लिए महत्वपूर्ण है। आप लॉग घटनाओं को फ़िल्टर करने, विभिन्न स्रोतों के बीच डेटा को सहसंबंधित करने, और यहां तक कि अपने निष्कर्षों के आधार पर कस्टम डैशबोर्ड या अलर्ट बनाने के लिए क्वेरी लिख और निष्पादित कर सकते हैं। यह Sentinel का कच्चा डेटा अन्वेषण केंद्र है।
• Search: सर्च टूल एक एकीकृत इंटरफ़ेस प्रदान करता है ताकि आप सुरक्षा घटनाओं, घटनाओं, और यहां तक कि विशिष्ट लॉग प्रविष्टियों को जल्दी से खोज सकें। कई ब्लेड के माध्यम से मैन्युअल रूप से नेविगेट करने के बजाय, आप कीवर्ड, IP पते, या उपयोगकर्ता नाम टाइप कर सकते हैं ताकि तुरंत सभी संबंधित घटनाओं को खींच सकें। यह विशेष रूप से जांच के दौरान उपयोगी है जब आपको विभिन्न जानकारी के टुकड़ों को जल्दी से जोड़ने की आवश्यकता होती है।
• Incidents: घटनाएँ अनुभाग सभी समूहित अलर्ट को प्रबंधनीय मामलों में केंद्रीकृत करता है। Sentinel संबंधित अलर्ट को एकल घटना में एकत्र करता है, संदर्भ प्रदान करता है जैसे गंभीरता, समयरेखा, और प्रभावित संसाधन। एक घटना के भीतर, आप एक विस्तृत जांच ग्राफ़ देख सकते हैं जो अलर्ट के बीच संबंध को मानचित्रित करता है, जिससे संभावित खतरे के दायरे और प्रभाव को समझना आसान हो जाता है। घटना प्रबंधन में कार्य सौंपने, स्थिति अपडेट करने, और प्रतिक्रिया वर्कफ़्लो के साथ एकीकृत करने के विकल्प भी शामिल हैं।
• Workbooks: कार्यपुस्तिकाएँ अनुकूलन योग्य डैशबोर्ड और रिपोर्ट हैं जो आपको अपने सुरक्षा डेटा को दृश्य और विश्लेषण करने में मदद करती हैं। वे विभिन्न चार्ट, तालिकाओं, और क्वेरी को संयोजित करती हैं ताकि रुझानों और पैटर्न का एक व्यापक दृश्य प्रदान किया जा सके। उदाहरण के लिए, आप एक कार्यपुस्तिका का उपयोग साइन-इन गतिविधियों की समयरेखा, IP पते का भौगोलिक मानचित्रण, या समय के साथ विशिष्ट अलर्ट की आवृत्ति प्रदर्शित करने के लिए कर सकते हैं। कार्यपुस्तिकाएँ पूर्व-निर्मित और पूरी तरह से अनुकूलन योग्य होती हैं ताकि आपकी संगठन की विशिष्ट निगरानी आवश्यकताओं के अनुसार हो सकें।
• Hunting: हंटिंग फीचर एक सक्रिय दृष्टिकोण प्रदान करता है खतरों को खोजने के लिए जो मानक अलर्ट को ट्रिगर नहीं कर सकते। इसमें पूर्व-निर्मित हंटिंग क्वेरी शामिल हैं जो MITRE ATT&CK जैसे ढांचों के साथ मेल खाती हैं लेकिन आपको कस्टम क्वेरी लिखने की भी अनुमति देती हैं। यह उपकरण उन्नत विश्लेषकों के लिए आदर्श है जो छिपे हुए या उभरते खतरों को उजागर करने के लिए ऐतिहासिक और वास्तविक समय के डेटा का अन्वेषण करते हैं, जैसे असामान्य नेटवर्क पैटर्न या असामान्य उपयोगकर्ता व्यवहार।
• Notebooks: नोटबुक्स एकीकरण के साथ, Sentinel Jupyter Notebooks का उपयोग करता है ताकि उन्नत डेटा एनालिटिक्स और स्वचालित जांच की जा सके। यह सुविधा आपको अपने Sentinel डेटा के खिलाफ सीधे Python कोड चलाने की अनुमति देती है, जिससे मशीन लर्निंग विश्लेषण करना, कस्टम दृश्य बनाना, या जटिल जांच कार्यों को स्वचालित करना संभव हो जाता है। यह डेटा वैज्ञानिकों या सुरक्षा विश्लेषकों के लिए विशेष रूप से उपयोगी है जिन्हें मानक क्वेरी से परे गहराई से विश्लेषण करने की आवश्यकता होती है।
• Entity Behavior: एंटिटी बिहेवियर पृष्ठ यूजर और एंटिटी बिहेवियर एनालिटिक्स (UEBA) का उपयोग करके आपके वातावरण में सामान्य गतिविधि के लिए बुनियादी मान स्थापित करता है। यह उपयोगकर्ताओं, उपकरणों, और IP पतों के लिए विस्तृत प्रोफाइल प्रदर्शित करता है, सामान्य व्यवहार से विचलनों को उजागर करता है। उदाहरण के लिए, यदि एक सामान्यतः कम गतिविधि वाला खाता अचानक उच्च मात्रा में डेटा ट्रांसफर करता है, तो इस विचलन को चिह्नित किया जाएगा। यह उपकरण आंतरिक खतरों या व्यवहार संबंधी असामान्यताओं के आधार पर समझौता किए गए क्रेडेंशियल्स की पहचान करने के लिए महत्वपूर्ण है।
• Threat Intelligence: थ्रेट इंटेलिजेंस अनुभाग आपको बाहरी खतरे के संकेतकों का प्रबंधन और सहसंबंधित करने की अनुमति देता है - जैसे दुर्भावनापूर्ण IP पते, URLs, या फ़ाइल हैश - आपके आंतरिक डेटा के साथ। बाहरी इंटेलिजेंस फ़ीड के साथ एकीकृत करके, Sentinel स्वचालित रूप से उन घटनाओं को चिह्नित कर सकता है जो ज्ञात खतरों से मेल खाती हैं। यह आपको तेजी से उन हमलों का पता लगाने और प्रतिक्रिया करने में मदद करता है जो व्यापक, ज्ञात अभियानों का हिस्सा हैं, आपके सुरक्षा अलर्ट में संदर्भ की एक और परत जोड़ता है।
• MITRE ATT&CK: MITRE ATT&CK ब्लेड में, Sentinel आपके सुरक्षा डेटा और पहचान नियमों को व्यापक रूप से मान्यता प्राप्त MITRE ATT&CK ढांचे से मानचित्रित करता है। यह दृश्य आपको यह समझने में मदद करता है कि आपके वातावरण में कौन सी रणनीतियाँ और तकनीकें देखी जा रही हैं, कवरेज में संभावित अंतर की पहचान करें, और आपकी पहचान रणनीति को मान्यता प्राप्त हमले के पैटर्न के साथ संरेखित करें। यह इस बात का संरचित तरीका प्रदान करता है कि शत्रु आपके वातावरण पर कैसे हमला कर सकते हैं और रक्षा कार्यों को प्राथमिकता देने में मदद करता है।
• Content Hub: सामग्री हब पूर्व-निर्मित समाधानों का एक केंद्रीकृत भंडार है, जिसमें डेटा कनेक्टर्स, एनालिटिक्स नियम, कार्यपुस्तिकाएँ, और प्लेबुक शामिल हैं। ये समाधान आपकी तैनाती को तेज करने और आपकी सुरक्षा स्थिति में सुधार करने के लिए डिज़ाइन किए गए हैं, सामान्य सेवाओं (जैसे Office 365, Entra ID, आदि) के लिए सर्वोत्तम प्रथाओं के कॉन्फ़िगरेशन प्रदान करते हैं। आप इन सामग्री पैक्स को ब्राउज़, इंस्टॉल, और अपडेट कर सकते हैं, जिससे नई तकनीकों को Sentinel में एकीकृत करना आसान हो जाता है बिना व्यापक मैनुअल सेटअप के।
• Repositories: रिपॉजिटरी फीचर (वर्तमान में पूर्वावलोकन में) आपके Sentinel सामग्री के लिए संस्करण नियंत्रण सक्षम करता है। यह स्रोत नियंत्रण प्रणालियों जैसे GitHub या Azure DevOps के साथ एकीकृत होता है, जिससे आप अपने एनालिटिक्स नियम, कार्यपुस्तिकाएँ, प्लेबुक, और अन्य कॉन्फ़िगरेशन को कोड के रूप में प्रबंधित कर सकते हैं। यह दृष्टिकोण न केवल परिवर्तन प्रबंधन और सहयोग में सुधार करता है बल्कि आवश्यक होने पर पिछले संस्करणों पर वापस लौटना भी आसान बनाता है।
• Workspace Management: Microsoft Sentinel का कार्यक्षेत्र प्रबंधक उपयोगकर्ताओं को एक या अधिक Azure टेनेन्ट के भीतर कई Microsoft Sentinel कार्यक्षेत्रों का केंद्रीकृत प्रबंधन करने में सक्षम बनाता है। केंद्रीय कार्यक्षेत्र (जिसमें कार्यक्षेत्र प्रबंधक सक्षम है) सामग्री आइटम को सदस्य कार्यक्षेत्रों में बड़े पैमाने पर प्रकाशित करने के लिए समेकित कर सकता है।
• Data Connectors: डेटा कनेक्टर्स पृष्ठ सभी उपलब्ध कनेक्टर्स की सूची देता है जो डेटा को Sentinel में लाते हैं। प्रत्येक कनेक्टर विशिष्ट डेटा स्रोतों के लिए पूर्व-कॉन्फ़िगर किया गया है (Microsoft और तीसरे पक्ष दोनों) और इसका कनेक्शन स्थिति दिखाता है। डेटा कनेक्टर सेट करना आमतौर पर कुछ क्लिक में होता है, जिसके बाद Sentinel उस स्रोत से लॉग को ग्रहण और विश्लेषित करना शुरू कर देता है। यह क्षेत्र महत्वपूर्ण है क्योंकि आपकी सुरक्षा निगरानी की गुणवत्ता और चौड़ाई आपके जुड़े डेटा स्रोतों की रेंज और कॉन्फ़िगरेशन पर निर्भर करती है।
• Analytics: एनालिटिक्स ब्लेड में, आप उन पहचान नियमों को बनाते और प्रबंधित करते हैं जो Sentinel के अलर्टिंग को शक्ति प्रदान करते हैं। ये नियम मूल रूप से क्वेरी हैं जो एक शेड्यूल (या लगभग वास्तविक समय) पर चलती हैं ताकि आपके लॉग डेटा में संदिग्ध पैटर्न या थ्रेशोल्ड उल्लंघनों की पहचान की जा सके। आप Microsoft द्वारा प्रदान किए गए पूर्व-निर्मित टेम्पलेट्स में से चुन सकते हैं या KQL का उपयोग करके अपने कस्टम नियम बना सकते हैं। एनालिटिक्स नियम यह निर्धारित करते हैं कि अलर्ट कैसे और कब उत्पन्न होते हैं, सीधे यह प्रभावित करते हैं कि घटनाएँ कैसे बनती हैं और प्राथमिकता दी जाती है।
• Watchlist: Microsoft Sentinel वॉचलिस्ट बाहरी डेटा स्रोतों से डेटा संग्रह की अनुमति देती है ताकि आपके Microsoft Sentinel वातावरण में घटनाओं के खिलाफ सहसंबंधित किया जा सके। एक बार बनाई जाने के बाद, अपने खोज, पहचान नियम, थ्रेट हंटिंग, कार्यपुस्तिकाएँ और प्रतिक्रिया प्लेबुक में वॉचलिस्ट का लाभ उठाएं।
• Automation: स्वचालन नियम आपको घटना हैंडलिंग के सभी स्वचालन का केंद्रीकृत प्रबंधन करने की अनुमति देते हैं। स्वचालन नियम Microsoft Sentinel में स्वचालन के उपयोग को सरल बनाते हैं और आपके घटना ऑर्केस्ट्रेशन प्रक्रियाओं के लिए जटिल वर्कफ़्लो को सरल बनाने में सक्षम बनाते हैं।