Az - Defender

Reading time: 8 minutes

Microsoft Sentinel

Microsoft Sentinel - це хмарне SIEM (Управління інформацією та подіями безпеки) та SOAR (Оркестрація безпеки, автоматизація та реагування) рішення на Azure​.

Він агрегує дані безпеки з усієї організації (на місці та в хмарі) в єдину платформу та використовує вбудовану аналітику та розвідку загроз для виявлення потенційних загроз​. Sentinel використовує сервіси Azure, такі як Log Analytics (для масового зберігання та запитів журналів) та Logic Apps (для автоматизованих робочих процесів) – це означає, що він може масштабуватися за запитом і інтегруватися з можливостями AI та автоматизації Azure​.

По суті, Sentinel збирає та аналізує журнали з різних джерел, виявляє аномалії або шкідливу діяльність і дозволяє командам безпеки швидко розслідувати та реагувати на загрози, все через портал Azure без необхідності в інфраструктурі SIEM на місці​.

Налаштування Microsoft Sentinel

Ви починаєте з увімкнення Sentinel на робочому просторі Azure Log Analytics (робочий простір - це місце, де будуть зберігатися та аналізуватися журнали). Нижче наведені основні кроки для початку:

1. Увімкніть Microsoft Sentinel на робочому просторі: У порталі Azure створіть або використайте існуючий робочий простір Log Analytics і додайте до нього Microsoft Sentinel. Це розгортає можливості Sentinel у вашому робочому просторі.
2. Підключіть джерела даних (Коннектори даних): Після увімкнення Sentinel підключіть свої джерела даних за допомогою вбудованих конекторів даних. Незалежно від того, чи це журнали Entra ID, Office 365 або навіть журнали брандмауера, Sentinel починає автоматично вбирати журнали та сповіщення. Це зазвичай робиться шляхом створення діагностичних налаштувань для відправки журналів у використовуваний робочий простір журналів.
3. Застосуйте аналітичні правила та контент: Коли дані надходять, увімкніть вбудовані аналітичні правила або створіть власні для виявлення загроз. Використовуйте Content Hub для попередньо упакованих шаблонів правил та робочих книг, які прискорюють ваші можливості виявлення.
4. (Необов'язково) Налаштуйте автоматизацію: Налаштуйте автоматизацію за допомогою плейбуків для автоматичного реагування на інциденти — такі як надсилання сповіщень або ізоляція скомпрометованих облікових записів — покращуючи вашу загальну реакцію.

Основні функції

• Журнали: Розділ Журнали відкриває інтерфейс запитів Log Analytics, де ви можете глибоко зануритися у свої дані, використовуючи Kusto Query Language (KQL). Ця область є критично важливою для усунення неполадок, судово-медичної експертизи та створення звітів. Ви можете писати та виконувати запити для фільтрації подій журналів, корелювати дані з різних джерел і навіть створювати власні інформаційні панелі або сповіщення на основі ваших знахідок. Це центр дослідження сирих даних Sentinel.
• Пошук: Інструмент Пошук пропонує єдиний інтерфейс для швидкого знаходження подій безпеки, інцидентів та навіть конкретних записів журналів. Замість того, щоб вручну переходити через кілька розділів, ви можете ввести ключові слова, IP-адреси або імена користувачів, щоб миттєво отримати всі пов'язані події. Ця функція особливо корисна під час розслідування, коли вам потрібно швидко з'єднати різні частини інформації.
• Інциденти: Розділ Інциденти централізує всі груповані сповіщення в керовані справи. Sentinel агрегує пов'язані сповіщення в один інцидент, надаючи контекст, такий як серйозність, хронологія та постраждалі ресурси. У межах інциденту ви можете переглядати детальну графіку розслідування, яка відображає зв'язок між сповіщеннями, що полегшує розуміння масштабу та впливу потенційної загрози. Управління інцидентами також включає можливості призначення завдань, оновлення статусів та інтеграції з робочими процесами реагування.
• Робочі книги: Робочі книги - це налаштовувані інформаційні панелі та звіти, які допомагають вам візуалізувати та аналізувати свої дані безпеки. Вони поєднують різні графіки, таблиці та запити, щоб запропонувати всебічний огляд тенденцій і патернів. Наприклад, ви можете використовувати робочу книгу для відображення хронології активності входу, географічного відображення IP-адрес або частоти конкретних сповіщень з часом. Робочі книги є як попередньо створеними, так і повністю налаштовуваними, щоб відповідати специфічним потребам моніторингу вашої організації.
• Полювання: Функція Полювання забезпечує проактивний підхід до виявлення загроз, які можуть не спрацювати стандартні сповіщення. Вона постачається з попередньо створеними запитами для полювання, які відповідають таким рамкам, як MITRE ATT&CK, але також дозволяє вам писати власні запити. Цей інструмент ідеально підходить для просунутих аналітиків, які прагнуть виявити приховані або нові загрози, досліджуючи історичні та реальні дані, такі як незвичайні мережеві патерни або аномальна поведінка користувачів.
• Блокноти: Завдяки інтеграції Блокнотів, Sentinel використовує Jupyter Notebooks для розширеної аналітики даних та автоматизованих розслідувань. Ця функція дозволяє вам виконувати код Python безпосередньо проти ваших даних Sentinel, що робить можливим проведення аналізу машинного навчання, створення власних візуалізацій або автоматизацію складних розслідувальних завдань. Це особливо корисно для науковців даних або аналітиків безпеки, які потребують проведення глибокого аналізу за межами стандартних запитів.
• Поведение сутностей: Сторінка Поведение сутностей використовує Аналитику поведінки користувачів та сутностей (UEBA) для встановлення базових нормальної активності у вашому середовищі. Вона відображає детальні профілі для користувачів, пристроїв та IP-адрес, підкреслюючи відхилення від типового поведінки. Наприклад, якщо обліковий запис з низькою активністю раптом демонструє високі обсяги передачі даних, це відхилення буде позначено. Цей інструмент є критично важливим для виявлення внутрішніх загроз або скомпрометованих облікових даних на основі поведінкових аномалій.
• Розвідка загроз: Розділ Розвідка загроз дозволяє вам керувати та корелювати зовнішні індикатори загроз — такі як шкідливі IP-адреси, URL-адреси або хеші файлів — з вашими внутрішніми даними. Інтегруючись із зовнішніми інформаційними потоками, Sentinel може автоматично позначати події, які відповідають відомим загрозам. Це допомагає вам швидко виявляти та реагувати на атаки, які є частиною більш широких, відомих кампаній, додаючи ще один рівень контексту до ваших сповіщень безпеки.
• MITRE ATT&CK: У розділі MITRE ATT&CK Sentinel відображає ваші дані безпеки та правила виявлення на широко визнаній структурі MITRE ATT&CK. Цей вигляд допомагає вам зрозуміти, які тактики та техніки спостерігаються у вашому середовищі, виявити потенційні прогалини в покритті та узгодити вашу стратегію виявлення з визнаними патернами атак. Це забезпечує структурований спосіб аналізу того, як противники можуть атакувати ваше середовище, і допомагає пріоритизувати захисні дії.
• Content Hub: Content Hub - це централізований репозиторій попередньо упакованих рішень, включаючи конектори даних, аналітичні правила, робочі книги та плейбуки. Ці рішення призначені для прискорення вашого розгортання та покращення вашої безпекової позиції, надаючи конфігурації найкращих практик для загальних послуг (таких як Office 365, Entra ID тощо). Ви можете переглядати, встановлювати та оновлювати ці пакети контенту, що полегшує інтеграцію нових технологій у Sentinel без значних ручних налаштувань.
• Репозиторії: Функція Репозиторії (в даний час у попередньому перегляді) дозволяє контролювати версії вашого контенту Sentinel. Вона інтегрується з системами контролю версій, такими як GitHub або Azure DevOps, що дозволяє вам керувати своїми аналітичними правилами, робочими книгами, плейбуками та іншими конфігураціями як кодом. Цей підхід не тільки покращує управління змінами та співпрацю, але й спрощує повернення до попередніх версій, якщо це необхідно.
• Управління робочими просторами: Менеджер робочих просторів Microsoft Sentinel дозволяє користувачам централізовано керувати кількома робочими просторами Microsoft Sentinel в одному або кількох тенантах Azure. Центральний робочий простір (з увімкненим менеджером робочих просторів) може консолідувати елементи контенту для публікації в масштабах на членських робочих просторах.
• Конектори даних: Сторінка Конектори даних перераховує всі доступні конектори, які приносять дані в Sentinel. Кожен конектор попередньо налаштований для конкретних джерел даних (як Microsoft, так і сторонніх) і показує його статус підключення. Налаштування конектора даних зазвичай включає кілька кліків, після чого Sentinel починає вбирати та аналізувати журнали з цього джерела. Ця область є важливою, оскільки якість і широта вашого моніторингу безпеки залежать від діапазону та конфігурації ваших підключених джерел даних.
• Аналітика: У розділі Аналітика ви створюєте та керуєте правилами виявлення, які забезпечують сповіщення Sentinel. Ці правила по суті є запитами, які виконуються за розкладом (або майже в реальному часі), щоб виявити підозрілі патерни або порушення порогів у ваших даних журналів. Ви можете вибрати з вбудованих шаблонів, наданих Microsoft, або створити власні правила за допомогою KQL. Аналітичні правила визначають, як і коли генеруються сповіщення, що безпосередньо впливає на те, як формуються та пріоритизуються інциденти.
• Список спостереження: Список спостереження Microsoft Sentinel дозволяє збирати дані з зовнішніх джерел даних для кореляції з подіями у вашому середовищі Microsoft Sentinel. Після створення використовуйте списки спостереження у своєму пошуку, правилах виявлення, полюванні за загрозами, робочих книгах та плейбуках реагування.
• Автоматизація: Правила автоматизації дозволяють вам централізовано керувати всією автоматизацією обробки інцидентів. Правила автоматизації спрощують використання автоматизації в Microsoft Sentinel і дозволяють вам спростити складні робочі процеси для ваших процесів оркестрації інцидентів.