Nauka Microsoft Sentinel: Praktyczny Poradnik dla Początkujących
Praktyczne wprowadzenie do Microsoft Sentinel obejmujące konfigurację, złącza danych, reguły analityki i Twój pierwszy przepływ pracy badania.
Microsoft Sentinel to natywna dla chmury platforma SIEM i SOAR zbudowana na Azure, która szybko stała się standardowym narzędziem w nowoczesnych SOC-ach. Jeśli jesteś nowy w tej platformie, sama liczba ruchomych części—workspaces, connectors, analytics rules, workbooks, playbooks—może być przytłaczająca. Ten poradnik rozbija to na praktyczną ścieżkę, którą możesz śledzić, aby szybko się zaznajomić.
Co Sentinel Naprawdę Robi
W swej istocie Sentinel pozyskuje logi z całego Twojego środowiska (zasoby Azure, serwery on-prem, firewalle, narzędzia endpoint, dostawcy tożsamości) do workspace'u Log Analytics, a następnie pozwala Ci na zapytania tych danych za pomocą Kusto Query Language (KQL), budowanie reguł detekcji, wizualizację trendów i automatyzację odpowiedzi. Pomyśl o tym jako czterech warstwach ułożonych razem: zbieranie danych, detekcja, badanie i odpowiedź.
Konfiguracja Twojego Pierwszego Workspace'u
Będziesz potrzebować subskrypcji Azure, aby iść dalej. Zacznij od utworzenia workspace'u Log Analytics, a następnie włącz Sentinel na jego szczycie z portalu Azure. Kilka porad dla początkujących:
- Użyj dedykowanej grupy zasobów dla swojego laboratorium, aby czyszczenie było łatwe później.
- Wybierz region blisko Twoich innych zasobów testowych, aby zmniejszyć opóźnienie i koszty wychodzącego transferu danych.
- Rozliczanie Sentinel opiera się na wolumenie pozyskiwanych danych, więc jeśli eksperymentujesz, uważaj na podłączone źródła danych—darmowe kredyty próbne szybko znikają, jeśli połączysz hałaśliwe źródła logów.
Kiedy workspace istnieje, strona przeglądu Sentinel staje się Twoją bazą operacyjną, pokazując incydenty, kondycję złącz danych i ostatnią aktywność.
Łączenie Źródeł Danych
Gołącza danych to sposób, w jaki Sentinel pozyskuje logi. Dla laboratorium dla początkujących zacznij małymi krokami:
- Azure Activity Log — bezpłatny i wbudowany, pokazuje zdarzenia management-plane w całej Twojej subskrypcji.
- Logi Microsoft Entra ID (Azure AD) — logi logowania i inspekcji są doskonałe do praktykowania logiki detekcji wokół anomalii autentykacji.
- Zdarzenia bezpieczeństwa Windows via AMA (Azure Monitor Agent) — jeśli uruchomisz testową maszynę wirtualną, to pozwala Ci praktykować z telemetrią w stylu endpoint.
Unikaj łączenia dużych źródeł logów firewall'a lub proxy stron trzecich, dopóki nie zrozumiesz kosztów pozyskiwania—mogą one generować ogromne wolumeny logów.
Poznawanie Podstaw KQL
Kusto Query Language jest niezbędny do pracy z Sentinel. Zacznij od tych wzorów:
SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5
To proste zapytanie ujawnia konta z powtarzającymi się nieudanymi logowaniami na godzinę—klasyczny wskaźnik ataku brute-force. Praktykuj z where, summarize, join i bin, dopóki nie będą się czuć naturalnie. Moduły KQL z Microsoft Learn i przykładowe zapytania Sentinel w sekcji Analytics to dobre bezpłatne materiały referencyjne.
Budowanie Twojej Pierwszej Reguły Analityki
Reguły analityki zamieniają zapytania KQL w zautomatyzowane detekcje, które generują incydenty. Aby je stworzyć:
- Przejdź do Analytics > Create > Scheduled query rule.
- Wklej zapytanie podobne do przykładu brute-force powyżej.
- Ustaw częstotliwość zapytań i okres wstecz (np. uruchomić co godzinę, przejrzeć jedną godzinę wstecz).
- Zmapuj jednostki (takie jak
UserPrincipalName), aby Sentinel mógł skorelować ten incydent z innymi obejmującymi to samo konto. - Wybierz ustawienia grupowania alertów, aby uniknąć zmęczenia incydentami.
Microsoft dostarcza również wiele wbudowanych szablonów reguł analityki—przejrzyj je najpierw, aby zrozumieć typowe wzorce detekcji, zanim napiszesz swoje od zera.
Badanie Incydentów
Kiedy reguła się wywoła, tworzy incydent w bloku Incidents. Kliknij na jeden i użyj grafu badania, aby zobaczyć powiązane jednostki—użytkowników, IP-adresy, hosty—i jak się łączą w innych alertach. Ten widok grafu jest jedną z najbardziej przyjaznych dla początkujących funkcji Sentinel, ponieważ wizualnie mapuje
Ten artykuł powstał z pomocą AI i został opublikowany w bazie wiedzy Korra Studio.
To jedna notatka z bazy wiedzy Korra Studio — platforma łączy każdy temat z mentoringiem 1 na 1.
Zacznij za darmoarrow_forward