Azure Sentinel 入門(mén),microsoft azure文字轉(zhuǎn)語(yǔ)音

Azure Sentinel 入門(mén)

本快速入門(mén)介紹如何使用Azure Sentinel快速查看和監(jiān)視整個(gè)環(huán)境中發(fā)生的情況。將數(shù)據(jù)源連接到Azure Sentinel之后，可以即時(shí)可視化和分析數(shù)據(jù)，以了解所有已連接的數(shù)據(jù)源中發(fā)生的情況。Azure Sentinel提供工作簿，讓你利用Azure中已提供的工具的強(qiáng)大功能，并提供內(nèi)置的表和圖表，用于分析日志與查詢(xún)。可以使用內(nèi)置的工作簿，或者從頭開(kāi)始或基于現(xiàn)有的工作簿輕松創(chuàng)建新的工作簿。

獲取可視化效果

若要可視化和分析環(huán)境中發(fā)生的情況，請(qǐng)先查看概述儀表板，以大致了解組織的安全態(tài)勢(shì)。可以單擊這些磁貼的每個(gè)元素，向下鉆取到創(chuàng)建這些元素時(shí)所依據(jù)的原始數(shù)據(jù)。為了幫助降低干擾并盡量減少需要檢查和調(diào)查的警報(bào)數(shù)目，Azure Sentinel使用一種融合技術(shù)將警報(bào)關(guān)聯(lián)到事件。“事件”是相關(guān)警報(bào)的分組，它們共同創(chuàng)建了可以調(diào)查和解決的可處理事件。

·在Azure門(mén)戶(hù)中選擇“Azure Sentinel”，然后選擇要監(jiān)視的工作區(qū)。

·頂部工具欄會(huì)告知在選定的時(shí)間段發(fā)生了多少個(gè)事件，并將該數(shù)字與過(guò)去24小時(shí)的事件數(shù)進(jìn)行比較。工具欄會(huì)告知，在這些事件中觸發(fā)了哪些警報(bào)（較小的數(shù)字表示與過(guò)去24小時(shí)的變化），然后告知其中哪些事件未予處理、正在處理和已結(jié)案。檢查事件數(shù)是否不存在明顯的增加或減少。如果事件數(shù)減少，可能表示某個(gè)連接已停止向Azure Sentinel報(bào)告。如果事件數(shù)增加，可能表示發(fā)生了可疑的情況。檢查是否有新的警報(bào)。

概述頁(yè)的主體提供工作區(qū)安全狀態(tài)的概覽：

·一段時(shí)間的事件和警報(bào)數(shù)：列出事件數(shù)，以及基于這些事件創(chuàng)建的警報(bào)數(shù)。如果看到了異常的高峰，應(yīng)會(huì)看到相應(yīng)的警報(bào)如果出現(xiàn)事件高峰時(shí)發(fā)生了某種異常，但未看到警報(bào)，則可能需要引以關(guān)注。

·潛在的惡意事件：檢測(cè)到來(lái)自已知惡意的源的流量時(shí)，Azure Sentinel會(huì)在地圖上發(fā)出警報(bào)。橙色表示入站流量：有人正在嘗試從已知惡意的IP地址訪問(wèn)你的組織。如果看到出站（紅色）活動(dòng)，表示網(wǎng)絡(luò)中的數(shù)據(jù)正在從你的組織流向已知惡意的IP地址。

·最新事件：查看最近的事件、其嚴(yán)重性及其關(guān)聯(lián)的警報(bào)數(shù)。如果特定類(lèi)型的警報(bào)出現(xiàn)突發(fā)性的高峰，可能意味著某種攻擊正在活躍地進(jìn)行。例如，如果Microsoft Defender for Identity（之前稱(chēng)為Azure ATP）中突然引發(fā)了多達(dá)20個(gè)傳遞哈希事件，可能意味著某人正在試圖攻擊你。

·數(shù)據(jù)源異常：Microsoft的數(shù)據(jù)分析師創(chuàng)建了模型用于不間斷地搜索數(shù)據(jù)源中數(shù)據(jù)的異常。如果未出現(xiàn)任何異常，則不會(huì)顯示任何信息。如果檢測(cè)到異常，則你應(yīng)該進(jìn)行深入調(diào)查，以確定發(fā)生了什么情況。例如，單擊“Azure活動(dòng)”中的高峰。可以單擊“圖表”了解高峰是何時(shí)發(fā)生的，然后篩選在該時(shí)間段發(fā)生的活動(dòng)，以確定哪些因素造成了高峰。

使用內(nèi)置工作簿

內(nèi)置工作簿提供連接的數(shù)據(jù)源中的集成數(shù)據(jù)，讓你深入調(diào)查這些服務(wù)中生成的事件。內(nèi)置工作簿包括Azure AD、Azure活動(dòng)事件和本地信息，這些數(shù)據(jù)可能來(lái)自服務(wù)器的Windows事件、第一方警報(bào)或任何第三方（包括防火墻流量日志、Office 365和基于Windows事件的不安全協(xié)議）。這些工作簿基于Azure Monitor工作簿，為你提供增強(qiáng)的可定制性和靈活性，方便你設(shè)計(jì)自己的工作簿。有關(guān)詳細(xì)信息，請(qǐng)參閱工作簿。

1.在“設(shè)置”下，選擇“工作簿”。在“已安裝”下，可以看到所有已安裝的工作簿。在“全部”下，可以看到可供安裝的整個(gè)內(nèi)置工作簿庫(kù)。

2.搜索特定的工作簿以查看整個(gè)列表，以及每個(gè)工作簿的功能說(shuō)明。

3.假設(shè)你使用Azure AD，若要正常運(yùn)行Azure Sentinel，我們建議至少安裝以下工作簿：

·Azure AD：使用以下兩項(xiàng)中的一個(gè)或兩個(gè)：

“Azure AD登錄”可分析不同時(shí)間的登錄活動(dòng)，以確定是否存在異常。此工作簿按應(yīng)用程序、設(shè)備和位置列出失敗的登錄，使你能夠即時(shí)注意到有異常情況發(fā)生。請(qǐng)注意是否出現(xiàn)了多個(gè)失敗的登錄活動(dòng)。

“Azure AD審核日志”可分析管理活動(dòng)，例如用戶(hù)更改（添加、刪除等）、組創(chuàng)建和修改。

·添加防火墻工作簿。例如，添加Palo Alto工作簿。工作簿可分析防火墻流量，在防火墻數(shù)據(jù)與威脅事件之間提供關(guān)聯(lián)，并突出顯示各個(gè)實(shí)體的可疑事件。工作簿提供有關(guān)流量趨勢(shì)的信息，并允許向下鉆取和篩選結(jié)果。

可以通過(guò)編輯主要查詢(xún)按鈕來(lái)自定義工作簿。可以單擊按鈕轉(zhuǎn)到Log Analytics以編輯查詢(xún)；可以選擇省略號(hào)(...)并選擇“自定義磁貼數(shù)據(jù)”，以編輯主要時(shí)間篩選器，或者從工作簿中刪除特定的磁貼。

有關(guān)使用查詢(xún)的詳細(xì)信息，請(qǐng)參閱教程：Log Analytics中的視覺(jué)數(shù)據(jù)

添加新磁貼

若要添加新磁貼，可將其添加到現(xiàn)有工作簿你創(chuàng)建的工作簿，或Azure Sentinel的內(nèi)置工作簿。

1.在Log Analytics中，遵照以下教程中的說(shuō)明創(chuàng)建磁貼：教程：Log Analytics中的視覺(jué)數(shù)據(jù)。

2.創(chuàng)建磁貼后，在“固定”下，選擇要在其中顯示該磁貼的工作簿。

創(chuàng)建新工作簿

可以從頭開(kāi)始創(chuàng)建新工作簿，或者基于某個(gè)內(nèi)置工作簿創(chuàng)建新工作簿。

1.若要從頭開(kāi)始創(chuàng)建新工作簿，請(qǐng)選擇“工作簿”，然后選擇“+新建工作簿”。

2.選擇要在其中創(chuàng)建該工作簿的訂閱，并為其指定一個(gè)描述性的名稱(chēng)。與其他任何元素一樣，每個(gè)工作簿都是一個(gè)Azure資源，你可為其分配角色(Azure RBAC)以定義和限制哪些用戶(hù)可以訪問(wèn)它。

3.若要使其顯示在要將可視化效果固定到的工作簿中，必須將其共享。依次單擊“共享”、“管理用戶(hù)”。

4.像設(shè)置其他任何Azure資源一樣，使用“檢查訪問(wèn)權(quán)限”和“角色分配”。有關(guān)詳細(xì)信息，請(qǐng)參閱使用Azure RBAC共享Azure工作簿。

新工作簿示例

使用以下示例查詢(xún)可以比較不同周次的流量趨勢(shì)。可以輕松切換要對(duì)其運(yùn)行查詢(xún)的設(shè)備供應(yīng)商和數(shù)據(jù)源。此示例使用來(lái)自Windows的SecurityEvent。可將其切換為針對(duì)其他任何防火墻中的AzureActivity或CommonSecurityLog運(yùn)行。

控制臺(tái)

//week over week query

SecurityEvent

where TimeGeneratedago(14d)

summarize count()by bin(TimeGenerated,1d)

extend Week=iff(TimeGeneratedago(7d),This Week,Last Week),TimeGenerated=iff(TimeGeneratedago(7d),TimeGenerated,TimeGenerated+7d)

可以創(chuàng)建一個(gè)查詢(xún)用于合并多個(gè)源中的數(shù)據(jù)。可以創(chuàng)建一個(gè)查詢(xún)，用于在Azure Active Directory審核日志中查找剛剛創(chuàng)建的新用戶(hù)，然后檢查Azure日志，以確定該用戶(hù)在創(chuàng)建后的24小時(shí)內(nèi)，是否開(kāi)始進(jìn)行角色分配更改。該可疑活動(dòng)會(huì)顯示在此儀表板上：

控制臺(tái)

AuditLogs

where OperationName==Add user

project AddedTime=TimeGenerated,user=tostring(TargetResources[0].userPrincipalName)

join(AzureActivity

where OperationName==Create role assignment

project OperationName,RoleAssignmentTime=TimeGenerated,user=Caller)on user

projectaway user1

可以基于用戶(hù)的角色創(chuàng)建不同的工作簿，以查看該用戶(hù)的數(shù)據(jù)并了解其正在查找哪些信息。例如，可以針對(duì)網(wǎng)絡(luò)管理員創(chuàng)建包含防火墻數(shù)據(jù)的工作簿。此外，可以根據(jù)數(shù)據(jù)的查找頻率創(chuàng)建工作簿，不管這些數(shù)據(jù)是每日都要查看的數(shù)據(jù)，還是每隔一小時(shí)檢查一次的其他項(xiàng)（例如，你可能想要每隔一小時(shí)查看自己的Azure AD登錄，以搜索異常）。

創(chuàng)建新的檢測(cè)

在連接到Azure Sentinel的數(shù)據(jù)源上生成檢測(cè)，以調(diào)查組織中的威脅。

創(chuàng)建新的檢測(cè)時(shí)，請(qǐng)利用Microsoft安全研究人員為你連接的數(shù)據(jù)源量身定制的內(nèi)置檢測(cè)。

若要查看所有現(xiàn)成的檢測(cè)，請(qǐng)轉(zhuǎn)到Analytics，然后轉(zhuǎn)到“規(guī)則模板”。此選項(xiàng)卡包含所有的Azure Sentinel內(nèi)置規(guī)則。

使用Azure Sentinel通過(guò)內(nèi)置檢測(cè)來(lái)查找威脅

若要詳細(xì)了解如何獲取現(xiàn)成的檢測(cè)，請(qǐng)參閱教程：獲取內(nèi)置分析。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。