Microsoft Sentinel (一)服务概述与数据源配置
Microsoft Sentinel 是可缩放的云原生安全信息与事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。Microsoft Sentinel 是整个企业的鸟瞰视图,可以缓解日益复杂的攻击、不断增加的警报数量以及长时间解决时间帧带来的压力。
· 跨所有用户、设备、应用程序和基础结构(包括本地和多个云)以云规模收集数据。
· 使用 Microsoft 的分析和出色的威胁情报检测以前未检测到的威胁,并最大限度地减少误报。
· 借助人工智能调查威胁,结合 Microsoft 多年以来的网络安全工作经验大规模搜寻可疑活动。
· 通过内置的业务流程和常见任务自动化快速响应事件。
Microsoft Sentinel 基于现有的各种 Azure 服务,原生集成了经过证实的基础服务,例如 Log Analytics 和逻辑应用。 Microsoft Sentinel 可以借助人工智能丰富调查和检测工作,并提供 Microsoft 的威胁智能流,使你能够运用自己的威胁智能。
要让Sentinel 收集到各个系统的日志,首先我们需要连接到数据源。Sentinel 附带了很多开箱即用的连接器进行实时集成,包括Microsoft 365 Denfender、Office 365、Azure AD等微软服务以及其他第三方数据源,如AWS、Checkpoint、Cisco等。
以Azure Active Directory为例,Sentinel的内置连接器可以从Azure AD收集数据,并将数据流式传输到Sentinel。流式传输可以传输如下日志:
· 登录日志,包含用户提供身份验证因子的交互式用户登录信息。
Azure AD 连接器包含以下三个其他类别的登录日志:
o 非交互式用户登录日志,包含了客户端代表用户进行登录的信息,没有来自用户的任何交互或身份验证因素。
o 服务主体登录日志,包含了应用程序和服务主体登录信息,不涉及任何用户。 在此类登录中,应用或服务代表自己提供对资源进行身份验证或访问所需的凭据。
o 托管标识登录日志,包含了 Azure 资源的登录信息,这些资源包含由 azure 管理的机密信息。
· 审核日志,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。
· 预配日志,包含了有关 Azure AD 预配服务预配的用户、组和角色的系统活动信息。
部署先决条件:
1、将登录日志引入 Microsoft Sentinel 需要 Azure Active Directory P1 或 P2 许可证。 任何 Azure AD 许可证(免费/O365/P1/P2)均足以引入其他日志类型。对于日志引入的数据量,会按每 GB 收取额外的费用。
2、必须在工作区中为你的用户分配 Microsoft Sentinel 参与者角色。
3、必须在要从中流式传输日志的租户上为用户分配全局管理员或安全管理员角色。
4、用户必须具有对 Azure AD 诊断设置进行读取和写入的权限,才能查看连接状态。
连接到 Azure Active Directory
1、在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
2、从“数据连接器”库中,选择“Azure Active Directory”,然后选择“打开连接器”页面。
3、勾选要流式传输到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”。
4、成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:
