arrow_back回到田野筆記
BLUE TEAM 已發佈 10 Jul 2026

學習 Microsoft Sentinel:初學者實務指南

實踐型的 Microsoft Sentinel 入門介紹,涵蓋設置、資料連接器、分析規則和首次調查工作流程。

Microsoft Sentinel 是建立在 Azure 上的雲原生 SIEM 和 SOAR 平台,已迅速成為現代 SOC 的必備工具。如果你剛接觸它,眾多的移動部件——工作區、連接器、分析規則、工作簿、劇本——可能會令人感到不知所措。本指南將其分解成一條實務路徑,你可以循著它快速上手。

Sentinel 的實際作用

Sentinel 的核心功能是從你環境中的各處(Azure 資源、內部伺服器、防火牆、端點工具、身分驗證提供者)擷取日誌到 Log Analytics 工作區,然後讓你用 Kusto Query Language (KQL) 查詢該資料、建立檢測規則、視覺化趨勢,以及自動化回應。可以想像成四層堆疊在一起:資料收集、檢測、調查和回應。

設置你的第一個工作區

你需要 Azure 訂閱來跟著操作。首先建立 Log Analytics 工作區,然後從 Azure 入口網站在其上啟用 Sentinel。初學者的幾個提示:

  • 為你的實驗室使用一個專用資源群組,方便日後清理。
  • 選擇接近你其他測試資源的區域,以降低延遲和輸出成本。
  • Sentinel 的計費是根據資料擷取量,所以如果你在實驗,要留意已連接的資料來源——如果連接雜亂的日誌來源,免費試用額度會消失得很快。

一旦工作區存在,Sentinel 概覽頁面就成為你的主要基地,顯示事件、資料連接器健康狀況和最近的活動。

連接資料來源

資料連接器是 Sentinel 擷取日誌的方式。對於初學者實驗室,從小規模開始:

  1. Azure Activity Log ——免費且內建,顯示訂閱中的管理平面事件。
  2. Microsoft Entra ID (Azure AD) 日誌 ——登入和稽核日誌非常適合練習圍繞身分驗證異常的檢測邏輯。
  3. Windows Security Events via AMA (Azure Monitor Agent) ——如果你啟動測試 VM,這讓你可以練習端點式遙測。

在理解擷取成本之前,避免連接大型第三方防火牆或代理摘要——這些可能產生大量的日誌。

學習 KQL 基礎

Kusto Query Language 對 Sentinel 工作是不可或缺的。從這些模式開始:

SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5

這個簡單查詢會發現每小時登入失敗重複的帳戶——這是典型的暴力破解指標。練習使用 wheresummarizejoinbin,直到它們感覺自然為止。Microsoft Learn 的 KQL 模組和 Analytics 下的 Sentinel 範例查詢是不錯的免費參考資源。

建立你的第一個分析規則

分析規則將 KQL 查詢轉化為自動化檢測,生成事件。要建立一個:

  • 前往 Analytics > Create > Scheduled query rule
  • 貼上類似上面暴力破解範例的查詢。
  • 設置查詢頻率和回查期間(例如,每小時執行一次,回查一小時)。
  • 映射實體(如 UserPrincipalName),使 Sentinel 能夠將此事件與涉及同一帳戶的其他事件相關聯。
  • 選擇警報分組設置以避免事件疲勞。

Microsoft 也隨附許多內建分析規則樣板——先瀏覽這些以理解常見檢測模式,然後再從頭開始撰寫你自己的。

調查事件

當規則觸發時,它在 Incidents 刀片中建立事件。點入其中並使用調查圖表來查看相關實體——使用者、IP、主機——以及它們如何跨其他警報連接。這個圖表視圖是 Sentinel 最強大的初學者友善功能之一,因為它以視覺方式映射

本文由 AI 協助生成,已發佈至 Korra Studio 知識庫。

準備好更進一步了嗎?

這是 Korra Studio 知識庫中的一篇筆記——該平台將每個主題與一對一的師資配對。

免費開始arrow_forward