Az - Defender

Reading time: 8 minutes

Microsoft Sentinel

Microsoft Sentinel je cloud-native SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation, and Response) rešenje na Azure-u​.

Agregira bezbednosne podatke iz cele organizacije (na lokaciji i u oblaku) u jedinstvenu platformu i koristi ugrađene analitike i obaveštajne podatke o pretnjama za identifikaciju potencijalnih pretnji​. Sentinel koristi Azure usluge kao što su Log Analytics (za masovno skladištenje i upit logova) i Logic Apps (za automatizovane radne tokove) – to znači da može da se skalira po potrebi i integriše sa Azure-ovim AI i automatizovanim mogućnostima​.

U suštini, Sentinel prikuplja i analizira logove iz različitih izvora, otkriva anomalije ili zlonamerne aktivnosti, i omogućava bezbednosnim timovima da brzo istraže i reaguju na pretnje, sve kroz Azure portal bez potrebe za lokalnom SIEM infrastrukturom​.

Microsoft Sentinel Konfiguracija

Počinjete tako što omogućavate Sentinel na Azure Log Analytics radnom prostoru (radni prostor je mesto gde će logovi biti skladišteni i analizirani). U nastavku su visoko nivo koraci za početak:

1. Omogućite Microsoft Sentinel na radnom prostoru: U Azure portalu, kreirajte ili koristite postojeći Log Analytics radni prostor i dodajte Microsoft Sentinel. Ovo implementira Sentinel-ove mogućnosti u vaš radni prostor.
2. Povežite izvore podataka (Data Connectors): Kada je Sentinel omogućen, povežite svoje izvore podataka koristeći ugrađene konektore podataka. Bilo da su to Entra ID logovi, Office 365, ili čak logovi vatrozida, Sentinel počinje automatski da unosi logove i upozorenja. Ovo se obično radi kreiranjem dijagnostičkih podešavanja za slanje logova u korišćeni radni prostor.
3. Primena analitičkih pravila i sadržaja: Sa podacima koji pristižu, omogućite ugrađena analitička pravila ili kreirajte prilagođena da otkrijete pretnje. Koristite Content Hub za unapred pripremljene šablone pravila i radne sveske koje ubrzavaju vaše sposobnosti detekcije.
4. (Opcionalno) Konfigurišite automatizaciju: Postavite automatizaciju sa playbook-ovima da automatski reaguju na incidente—kao što su slanje upozorenja ili izolovanje kompromitovanih naloga—poboljšavajući vašu ukupnu reakciju.

Glavne karakteristike

• Logovi: Odeljak Logovi otvara interfejs za upit Log Analytics, gde možete duboko istraživati svoje podatke koristeći Kusto Query Language (KQL). Ova oblast je ključna za rešavanje problema, forenzičku analizu i prilagođeno izveštavanje. Možete pisati i izvršavati upite za filtriranje log događaja, korelaciju podataka iz različitih izvora, pa čak i kreirati prilagođene nadzorne table ili upozorenja na osnovu vaših nalaza. To je centar za istraživanje sirovih podataka Sentinela.
• Pretraga: Alat za pretragu nudi jedinstveni interfejs za brzo lociranje bezbednosnih događaja, incidenata i čak specifičnih log unosa. Umesto da ručno navigirate kroz više odeljaka, možete ukucati ključne reči, IP adrese ili korisnička imena da odmah prikupite sve povezane događaje. Ova funkcija je posebno korisna tokom istrage kada treba brzo povezati različite delove informacija.
• Incidenti: Odeljak Incidenti centralizuje sve grupisane alarme u upravljive slučajeve. Sentinel agregira povezane alarme u jedan incident, pružajući kontekst kao što su ozbiljnost, vremenska linija i pogođeni resursi. Unutar incidenta, možete videti detaljnu grafiku istrage koja mapira odnos između alarma, olakšavajući razumevanje obima i uticaja potencijalne pretnje. Upravljanje incidentima takođe uključuje opcije za dodeljivanje zadataka, ažuriranje statusa i integraciju sa radnim tokovima odgovora.
• Radne sveske: Radne sveske su prilagodljive nadzorne table i izveštaji koji vam pomažu da vizualizujete i analizirate svoje bezbednosne podatke. Kombinuju različite grafikone, tabele i upite kako bi ponudili sveobuhvatan pregled trendova i obrazaca. Na primer, možete koristiti radnu svesku za prikaz vremenske linije aktivnosti prijavljivanja, geografske mape IP adresa ili učestalosti specifičnih upozorenja tokom vremena. Radne sveske su i unapred izgrađene i potpuno prilagodljive kako bi odgovarale specifičnim potrebama praćenja vaše organizacije.
• Lov: Funkcija Lov pruža proaktivan pristup pronalasku pretnji koje možda nisu aktivirale standardna upozorenja. Dolazi sa unapred pripremljenim upitima za lov koji se usklađuju sa okvirima kao što je MITRE ATT&CK, ali takođe vam omogućava da pišete prilagođene upite. Ovaj alat je idealan za napredne analitičare koji žele da otkriju skrivene ili nove pretnje istražujući istorijske i podatke u realnom vremenu, kao što su neobični obrasci mrežnog saobraćaja ili anomalno ponašanje korisnika.
• Sveske: Sa integracijom Svesaka, Sentinel koristi Jupyter Sveske za naprednu analizu podataka i automatizovane istrage. Ova funkcija vam omogućava da direktno izvršavate Python kod protiv vaših Sentinel podataka, omogućavajući vam da vršite analize mašinskog učenja, kreirate prilagođene vizualizacije ili automatizujete složene istražne zadatke. Posebno je korisna za naučnike podataka ili bezbednosne analitičare koji treba da sprovedu dubinske analize izvan standardnih upita.
• Ponašanje entiteta: Stranica Ponašanje entiteta koristi User and Entity Behavior Analytics (UEBA) za uspostavljanje osnovnih linija za normalnu aktivnost u vašem okruženju. Prikazuje detaljne profile za korisnike, uređaje i IP adrese, ističući odstupanja od tipičnog ponašanja. Na primer, ako nalog koji obično ima nisku aktivnost iznenada pokazuje visoke prenose podataka, ovo odstupanje će biti označeno. Ovaj alat je ključan za identifikaciju unutrašnjih pretnji ili kompromitovanih akreditiva na osnovu ponašajnih anomalija.
• Obaveštajni podaci o pretnjama: Odeljak Obaveštajni podaci o pretnjama omogućava vam da upravljate i korelirate spoljne indikatore pretnji—kao što su zlonamerne IP adrese, URL-ovi ili heševi datoteka—sa vašim internim podacima. Integracijom sa spoljnim izvorima obaveštajnih podataka, Sentinel može automatski označiti događaje koji se podudaraju sa poznatim pretnjama. Ovo vam pomaže da brzo otkrijete i reagujete na napade koji su deo šire poznatih kampanja, dodajući još jedan sloj konteksta vašim bezbednosnim upozorenjima.
• MITRE ATT&CK: U odeljku MITRE ATT&CK, Sentinel mapira vaše bezbednosne podatke i pravila detekcije na široko priznati MITRE ATT&CK okvir. Ovaj prikaz vam pomaže da razumete koje taktike i tehnike se posmatraju u vašem okruženju, identifikujete potencijalne praznine u pokrivenosti i uskladite svoju strategiju detekcije sa prepoznatim obrascima napada. Pruža strukturiran način analize kako bi protivnici mogli napadati vaše okruženje i pomaže u prioritetizaciji odbrambenih akcija.
• Content Hub: Content Hub je centralizovani repozitorijum unapred pripremljenih rešenja, uključujući konektore podataka, analitička pravila, radne sveske i playbook-ove. Ova rešenja su dizajnirana da ubrzaju vašu implementaciju i poboljšaju vašu bezbednosnu poziciju pružajući najbolje prakse konfiguracije za uobičajene usluge (kao što su Office 365, Entra ID, itd.). Možete pregledati, instalirati i ažurirati ove sadržajne pakete, olakšavajući integraciju novih tehnologija u Sentinel bez opsežnog ručnog podešavanja.
• Repozitorijumi: Funkcija Repozitorijumi (trenutno u pregledu) omogućava kontrolu verzija za vaš Sentinel sadržaj. Integrira se sa sistemima kontrole verzija kao što su GitHub ili Azure DevOps, omogućavajući vam da upravljate svojim analitičkim pravilima, radnim sveskama, playbook-ovima i drugim konfiguracijama kao kodom. Ovaj pristup ne samo da poboljšava upravljanje promenama i saradnju, već takođe olakšava vraćanje na prethodne verzije ako je to potrebno.
• Upravljanje radnim prostorima: Microsoft Sentinel-ov menadžer radnog prostora omogućava korisnicima da centralno upravljaju više Microsoft Sentinel radnih prostora unutar jednog ili više Azure tenanta. Centralni radni prostor (sa omogućеним menadžerom radnog prostora) može konsolidovati sadržajne stavke koje će biti objavljene na velikoj skali u članovskim radnim prostorima.
• Konektori podataka: Stranica Konektori podataka prikazuje sve dostupne konektore koji unose podatke u Sentinel. Svaki konektor je prekonfiguran za specifične izvore podataka (i Microsoft i treće strane) i prikazuje svoj status veze. Postavljanje konektora podataka obično uključuje nekoliko klikova, nakon čega Sentinel počinje da unosi i analizira logove iz tog izvora. Ova oblast je vitalna jer kvalitet i opseg vašeg bezbednosnog nadzora zavise od opsega i konfiguracije vaših povezanih izvora podataka.
• Analitika: U odeljku Analitika, kreirate i upravljate pravilima detekcije koja pokreću Sentinel-ovo upozoravanje. Ova pravila su u suštini upiti koji se izvršavaju po rasporedu (ili skoro u realnom vremenu) kako bi identifikovali sumnjive obrasce ili prekoračenja praga u vašim log podacima. Možete birati između ugrađenih šablona koje pruža Microsoft ili kreirati svoja prilagođena pravila koristeći KQL. Analitička pravila određuju kako i kada se generišu upozorenja, direktno utičući na to kako se formiraju i prioritetizuju incidenti.
• Watchlist: Microsoft Sentinel watchlist omogućava prikupljanje podataka iz spoljnih izvora podataka za korelaciju sa događajima u vašem Microsoft Sentinel okruženju. Kada se kreira, koristite watchlists u vašoj pretrazi, pravilima detekcije, lovu na pretnje, radnim sveskama i playbook-ovima za odgovor.
• Automatizacija: Pravila automatizacije omogućavaju vam da centralno upravljate svom automatizacijom obrade incidenata. Pravila automatizacije pojednostavljuju korišćenje automatizacije u Microsoft Sentinel-u i omogućavaju vam da pojednostavite složene radne tokove za vaše procese orkestracije incidenata.