Microsoft Sentinel 是可縮放的雲原生安全資訊與事件管理 (SIEM) 和安全業務流程自動響應 (SOAR) 解決方案。 Sentinel 在整個企業範圍内提供智能安全分析和威脅情報,為攻擊檢測、威脅可見性、主動搜尋和威脅響應提供單一解決方案。Microsoft Sentinel 是整個企業的鳥瞰視圖,可以緩解日益複雜的攻擊、不斷增加的警報數量以及長時間解決時間幀帶來的壓力。
· 跨所有使用者、裝置、應用程式和基礎結構(包括本地和多個雲)以雲規模收集資料。
· 使用 Microsoft 的分析和出色的威脅情報檢測以前未檢測到的威脅,并最大限度地減少誤報。
· 借助人工智能調查威脅,結合 Microsoft 多年以來的網絡安全工作經驗大規模搜尋可疑活動。
· 通過内置的業務流程和常見任務自動化快速響應事件。
Microsoft Sentinel 基于現有的各種 Azure 服務,原生內建了經過證明的基礎服務,例如 Log Analytics 和邏輯應用。 Microsoft Sentinel 可以借助人工智能豐富調查和檢測工作,并提供 Microsoft 的威脅智能流,使你能夠運用自己的威脅智能。
要讓Sentinel 收集到各個系統的日志,首先我們需要連接配接到資料源。Sentinel 附帶了很多開箱即用的連接配接器進行實時內建,包括Microsoft 365 Denfender、Office 365、Azure AD等微軟服務以及其他第三方資料源,如AWS、Checkpoint、Cisco等。
以Azure Active Directory為例,Sentinel的内置連接配接器可以從Azure AD收集資料,并将資料流式傳輸到Sentinel。流式傳輸可以傳輸如下日志:
· 登入日志,包含使用者提供身份驗證因子的互動式使用者登入資訊。
Azure AD 連接配接器包含以下三個其他類别的登入日志:
o 非互動式使用者登入日志,包含了用戶端代表使用者進行登入的資訊,沒有來自使用者的任何互動或身份驗證因素。
o 服務主體登入日志,包含了應用程式和服務主體登入資訊,不涉及任何使用者。 在此類登入中,應用或服務代表自己提供對資源進行身份驗證或通路所需的憑據。
o 托管辨別登入日志,包含了 Azure 資源的登入資訊,這些資源包含由 azure 管理的機密資訊。
· 稽核日志,包含了有關使用者群組管理、托管應用程式和目錄活動的系統活動資訊。
· 預配日志,包含了有關 Azure AD 預配服務預配的使用者、組和角色的系統活動資訊。
部署先決條件:
1、将登入日志引入 Microsoft Sentinel 需要 Azure Active Directory P1 或 P2 許可證。 任何 Azure AD 許可證(免費/O365/P1/P2)均足以引入其他日志類型。對于日志引入的資料量,會按每 GB 收取額外的費用。
2、必須在工作區中為你的使用者配置設定 Microsoft Sentinel
參與者角色。
3、必須在要從中流式傳輸日志的租戶上為使用者配置設定全局管理者或安全管理者角色。
4、使用者必須具有對 Azure AD 診斷設定進行讀取和寫入的權限,才能檢視連接配接狀态。
連接配接到
Azure Active Directory
1、在 Microsoft Sentinel 導航菜單中,選擇“資料連接配接器”。
2、從“資料連接配接器”庫中,選擇“Azure Active Directory”,然後選擇“打開連接配接器”頁面。
3、勾選要流式傳輸到 Microsoft Sentinel 的日志類型旁的複選框,然後選擇“連接配接”。