Az - Defender

Reading time: 9 minutes

Microsoft Sentinel

Microsoft Sentinel ni SIEM (Usimamizi wa Taarifa za Usalama na Matukio) na SOAR (Usimamizi wa Usalama, Utaftaji, na Majibu) suluhisho la wingu kwenye Azure​.

Inakusanya data za usalama kutoka sehemu mbalimbali za shirika (za ndani na wingu) kwenye jukwaa moja na inatumia uchambuzi wa ndani na akili ya vitisho kubaini vitisho vinavyoweza kutokea​. Sentinel inatumia huduma za Azure kama Log Analytics (kwa uhifadhi mkubwa wa kumbukumbu na uchunguzi) na Logic Apps (kwa michakato ya kiotomatiki) – hii inamaanisha inaweza kupanuka kwa mahitaji na kuunganishwa na uwezo wa AI na kiotomatiki wa Azure​.

Kwa kifupi, Sentinel inakusanya na kuchambua kumbukumbu kutoka vyanzo mbalimbali, inakagua tofauti au shughuli mbaya, na inaruhusu timu za usalama kuchunguza na kujibu vitisho haraka, yote kupitia lango la Azure bila kuhitaji miundombinu ya SIEM ya ndani​.

Microsoft Sentinel Configuration

Unaanza kwa kuwezesha Sentinel kwenye eneo la kazi la Azure Log Analytics (eneo la kazi ndilo ambapo kumbukumbu zitahifadhiwa na kuchambuliwa). Hapa chini kuna hatua za juu za kuanza:

1. Wezesha Microsoft Sentinel kwenye Eneo la Kazi: Katika lango la Azure, tengeneza au tumia eneo la kazi la Log Analytics lililopo na ongeza Microsoft Sentinel ndani yake. Hii inapeleka uwezo wa Sentinel kwenye eneo lako la kazi.
2. Unganisha Vyanzo vya Data (Wakandarasi wa Data): Mara tu Sentinel inapoweza, ungana na vyanzo vyako vya data kwa kutumia wakandarasi wa data wa ndani. Iwe ni kumbukumbu za Entra ID, Ofisi 365, au hata kumbukumbu za moto, Sentinel inaanza kuingiza kumbukumbu na arifa kiotomatiki. Hii kawaida hufanywa kwa kuunda mipangilio ya uchunguzi ili kutuma kumbukumbu kwenye eneo la kazi la kumbukumbu linalotumika.
3. Tumia Kanuni za Uchambuzi na Maudhui: Pamoja na data ikitiririka, wezesha kanuni za uchambuzi za ndani au tengeneza za kawaida kubaini vitisho. Tumia Kituo cha Maudhui kwa templates za kanuni zilizopangwa tayari na vitabu vya kazi vinavyoweza kuanzisha uwezo wako wa kugundua.
4. (Hiari) Sanidi Kiotomatiki: Weka kiotomatiki na vitabu vya mchezo kujibu kiotomatiki kwa matukio—kama vile kutuma arifa au kutenga akaunti zilizoathirika—kuimarisha majibu yako kwa ujumla.

Main Features

• Logs: Kichupo cha Logs kinafungua kiolesura cha uchunguzi wa Log Analytics, ambapo unaweza kuingia kwa undani katika data yako kwa kutumia Kusto Query Language (KQL). Eneo hili ni muhimu kwa kutatua matatizo, uchambuzi wa forensics, na ripoti za kawaida. Unaweza kuandika na kutekeleza maswali ili kuchuja matukio ya kumbukumbu, kuhusisha data kutoka vyanzo tofauti, na hata kuunda dashibodi au arifa za kawaida kulingana na matokeo yako. Ni kituo cha uchunguzi wa data mbichi cha Sentinel.
• Search: Zana ya Search inatoa kiolesura kilichounganishwa ili kuyatafuta matukio ya usalama, matukio, na hata kumbukumbu maalum kwa haraka. Badala ya kuzunguka kwa mikono kupitia kichupo kadhaa, unaweza kuandika maneno muhimu, anwani za IP, au majina ya watumiaji ili mara moja kuleta matukio yote yanayohusiana. Kipengele hiki ni muhimu hasa wakati wa uchunguzi unapohitaji kuunganisha vipande tofauti vya habari haraka.
• Incidents: Sehemu ya Incidents inakusanya arifa zote zilizopangwa katika kesi zinazoweza kudhibitiwa. Sentinel inakusanya arifa zinazohusiana katika tukio moja, ikitoa muktadha kama vile ukali, muda, na rasilimali zilizoathirika. Ndani ya tukio, unaweza kuona grafu ya uchunguzi wa kina inayochora uhusiano kati ya arifa, na kufanya iwe rahisi kuelewa upeo na athari za vitisho vinavyoweza kutokea. Usimamizi wa matukio pia unajumuisha chaguzi za kugawa kazi, kuboresha hali, na kuunganishwa na michakato ya majibu.
• Workbooks: Vitabu vya kazi ni dashibodi na ripoti zinazoweza kubadilishwa zinazokusaidia kuonyesha na kuchambua data yako ya usalama. Vinachanganya grafu mbalimbali, meza, na maswali kutoa mtazamo wa kina wa mwenendo na mifumo. Kwa mfano, unaweza kutumia kitabu cha kazi kuonyesha muda wa shughuli za kuingia, ramani ya kijiografia ya anwani za IP, au mara kwa mara ya arifa maalum kwa muda. Vitabu vya kazi ni vya awali na vinaweza kubadilishwa kikamilifu ili kukidhi mahitaji maalum ya ufuatiliaji wa shirika lako.
• Hunting: Kipengele cha Hunting kinatoa njia ya proaktiki ya kutafuta vitisho ambavyo huenda havijazindua arifa za kawaida. Kinakuja na maswali ya uwindaji yaliyopangwa tayari yanayolingana na mifumo kama MITRE ATT&CK lakini pia inaruhusu kuandika maswali ya kawaida. Zana hii ni bora kwa wachambuzi wa juu wanaotafuta kufichua vitisho vya siri au vinavyotokea kwa kuchunguza data za kihistoria na za wakati halisi, kama vile mifumo isiyo ya kawaida ya mtandao au tabia isiyo ya kawaida ya mtumiaji.
• Notebooks: Pamoja na uunganisho wa Notebooks, Sentinel inatumia Jupyter Notebooks kwa uchambuzi wa data wa juu na uchunguzi wa kiotomatiki. Kipengele hiki kinakuwezesha kuendesha msimbo wa Python moja kwa moja dhidi ya data yako ya Sentinel, na kufanya iwezekane kufanya uchambuzi wa kujifunza mashine, kujenga picha za kawaida, au kuendesha kazi ngumu za uchunguzi. Ni muhimu hasa kwa wanasayansi wa data au wachambuzi wa usalama wanaohitaji kufanya uchambuzi wa kina zaidi ya maswali ya kawaida.
• Entity Behavior: Ukurasa wa Tabia ya Kitu unatumia User and Entity Behavior Analytics (UEBA) kuanzisha viwango vya shughuli za kawaida katika mazingira yako. Inaonyesha wasifu wa kina wa watumiaji, vifaa, na anwani za IP, ikiangazia tofauti kutoka kwa tabia ya kawaida. Kwa mfano, ikiwa akaunti ambayo kawaida ina shughuli chache ghafla inaonyesha uhamishaji wa data wa kiwango cha juu, tofauti hii itatambuliwa. Zana hii ni muhimu kwa kutambua vitisho vya ndani au akidi zilizoathirika kulingana na tofauti za tabia.
• Threat Intelligence: Sehemu ya Uelewa wa Vitisho inakuruhusu kusimamia na kuhusisha viashiria vya vitisho vya nje—kama vile anwani za IP mbaya, URLs, au hash za faili—na data yako ya ndani. Kwa kuunganishwa na vyanzo vya uelewa wa nje, Sentinel inaweza kiotomatiki kutambua matukio yanayolingana na vitisho vilivyofahamika. Hii inakusaidia kugundua na kujibu haraka kwa mashambulizi ambayo ni sehemu ya kampeni kubwa, ikiongeza tabaka lingine la muktadha kwa arifa zako za usalama.
• MITRE ATT&CK: Katika kichupo cha MITRE ATT&CK, Sentinel inaweka data yako ya usalama na kanuni za kugundua kwenye mfumo wa MITRE ATT&CK unaotambulika. Mtazamo huu unakusaidia kuelewa ni mbinu na mbinu zipi zinazoshuhudiwa katika mazingira yako, kubaini mapengo yanayoweza kuwepo, na kuoanisha mkakati wako wa kugundua na mifumo ya mashambulizi inayotambulika. Inatoa njia iliyopangwa ya kuchambua jinsi maadui wanavyoweza kushambulia mazingira yako na kusaidia katika kuipa kipaumbele hatua za kujihami.
• Content Hub: Kituo cha Maudhui ni hazina ya kati ya suluhisho zilizopangwa tayari, ikiwa ni pamoja na wakandarasi wa data, kanuni za uchambuzi, vitabu vya kazi, na vitabu vya mchezo. Suluhisho hizi zimeundwa ili kuharakisha uwekaji wako na kuboresha hali yako ya usalama kwa kutoa mipangilio bora ya mazoea kwa huduma za kawaida (kama Ofisi 365, Entra ID, nk). Unaweza kuvinjari, kufunga, na kuboresha hizi pakiti za maudhui, na kufanya iwe rahisi kuunganisha teknolojia mpya ndani ya Sentinel bila mipangilio mingi ya mikono.
• Repositories: Kipengele cha Repositories (kwa sasa katika mapitio) kinaruhusu udhibiti wa toleo kwa maudhui yako ya Sentinel. Kinajumuisha na mifumo ya udhibiti wa chanzo kama GitHub au Azure DevOps, na kukuruhusu kusimamia kanuni zako za uchambuzi, vitabu vya kazi, vitabu vya mchezo, na mipangilio mingine kama msimbo. Njia hii si tu inaboresha usimamizi wa mabadiliko na ushirikiano bali pia inafanya iwe rahisi kurudi kwenye toleo la awali ikiwa inahitajika.
• Workspace Management: Meneja wa Eneo la Kazi wa Microsoft Sentinel unawawezesha watumiaji kusimamia kwa kati maeneo mengi ya kazi ya Microsoft Sentinel ndani ya wakala mmoja au zaidi wa Azure. Eneo kuu la kazi (ikiwa meneja wa eneo la kazi umewezeshwa) linaweza kuunganisha vitu vya maudhui ili kuchapishwa kwa kiwango kwa maeneo ya kazi ya Wanachama.
• Data Connectors: Ukurasa wa Wakandarasi wa Data unataja wakandarasi wote wanaopatikana wanaoleta data ndani ya Sentinel. Kila wakandarasi ni imepangwa tayari kwa vyanzo maalum vya data (zaidi ya Microsoft na wahusika wengine) na inaonyesha hali yake ya uhusiano. Kuweka wakandarasi wa data kawaida kunahusisha bonyeza chache, baada ya hapo Sentinel inaanza kuingiza na kuchambua kumbukumbu kutoka kwa chanzo hicho. Eneo hili ni muhimu kwa sababu ubora na upana wa ufuatiliaji wako wa usalama unategemea anuwai na mipangilio ya vyanzo vyako vya data vilivyounganishwa.
• Analytics: Katika kichupo cha Analytics, unaunda na kusimamia kanuni za kugundua zinazopatia nguvu arifa za Sentinel. Kanuni hizi kimsingi ni maswali yanayofanyika kwa ratiba (au karibu wakati halisi) kubaini mifumo ya kushangaza au uvunjaji wa viwango katika data yako ya kumbukumbu. Unaweza kuchagua kutoka kwa templates za ndani zinazotolewa na Microsoft au kuunda kanuni zako za kawaida kwa kutumia KQL. Kanuni za uchambuzi zinatambua jinsi na lini arifa zinaundwa, zikihusiana moja kwa moja na jinsi matukio yanavyoundwa na kupewa kipaumbele.
• Watchlist: Orodha ya kuangalia ya Microsoft Sentinel inaruhusu kukusanya data kutoka vyanzo vya data vya nje kwa kuhusisha dhidi ya matukio katika mazingira yako ya Microsoft Sentinel. Mara tu ikishaundwa, tumia orodha za kuangalia katika utafutaji wako, kanuni za kugundua, uwindaji wa vitisho, vitabu vya kazi na vitabu vya majibu.
• Automation: Kanuni za kiotomatiki zinakuruhusu kusimamia kwa kati kiotomatiki yote ya usimamizi wa matukio. Kanuni za kiotomatiki zinaimarisha matumizi ya kiotomatiki katika Microsoft Sentinel na kukuwezesha kurahisisha michakato ngumu ya kazi za usimamizi wa matukio yako.