arrow_back返回现场笔记
BLUE TEAM 已发布 10 Jul 2026

学习 Microsoft Sentinel:初学者实用指南

Microsoft Sentinel 动手入门指南,涵盖设置、数据连接器、分析规则和您的第一个调查工作流。

Microsoft Sentinel 是一个建立在 Azure 上的云原生 SIEM 和 SOAR 平台,已迅速成为现代 SOC 的标准工具。如果您是新手,众多的活动部件——工作区、连接器、分析规则、工作簿、playbook——可能会感到不知所措。本指南将其分解为一条实用的路径,您可以跟随它快速熟悉。

Sentinel 的实际作用

Sentinel 的核心是将来自整个环境的日志(Azure 资源、本地服务器、防火墙、端点工具、身份提供者)摄取到 Log Analytics 工作区中,然后让您使用 Kusto Query Language (KQL) 查询该数据、构建检测规则、可视化趋势并自动化响应。可以将其视为四层堆叠在一起:数据收集、检测、调查和响应。

设置您的第一个工作区

您需要 Azure 订阅才能跟随本指南。首先创建 Log Analytics 工作区,然后从 Azure 门户在其上启用 Sentinel。初学者的几个提示:

  • 为您的实验室使用专用资源组,以便以后轻松清理。
  • 选择靠近您其他测试资源的区域以降低延迟和出口成本。
  • Sentinel 计费基于数据摄取量,所以如果您在进行实验,请留意连接的数据源——如果您连接了高噪音日志源,免费试用额度会迅速耗尽。

一旦工作区存在,Sentinel 概览页面就成为您的主基地,显示事件、数据连接器运行状况和最近活动。

连接数据源

数据连接器是 Sentinel 摄取日志的方式。对于初学者实验室,从小处开始:

  1. Azure Activity Log — 免费且内置,显示您订阅中的管理平面事件。
  2. Microsoft Entra ID (Azure AD) 日志 — 登录和审计日志非常适合练习围绕身份验证异常的检测逻辑。
  3. Windows Security Events via AMA (Azure Monitor Agent) — 如果您启动测试 VM,这让您能够练习端点式遥测。

避免连接大型第三方防火墙或代理数据流,直到您了解摄取成本——这些可能会产生巨大的日志量。

学习 KQL 基础

Kusto Query Language 对 Sentinel 工作是必不可少的。从这些模式开始:

SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5

这个简单的查询显示每小时登录失败重复的帐户——一个经典的暴力破解指标。练习 wheresummarizejoinbin,直到它们感觉很自然。Microsoft Learn 的 KQL 模块和分析下的 Sentinel 示例查询是很好的免费参考。

构建您的第一个分析规则

分析规则将 KQL 查询转换为自动化检测,生成事件。要创建一个:

  • 转到 Analytics > Create > Scheduled query rule
  • 粘贴与上面暴力破解示例类似的查询。
  • 设置查询频率和查找周期(例如,每小时运行一次,回溯一小时)。
  • 映射实体(如 UserPrincipalName),以便 Sentinel 可以将此事件与涉及同一帐户的其他事件相关联。
  • 选择警报分组设置以避免事件疲劳。

Microsoft 还附带许多内置分析规则模板——首先浏览这些以了解常见检测模式,然后再从头编写自己的。

调查事件

当规则触发时,它在 Incidents 刀片中创建一个事件。单击进去并使用调查图来查看相关实体——用户、IP、主机——以及它们如何跨其他警报连接。这个图形视图是 Sentinel 最强大的对初学者友好的功能之一,因为它在视觉上映射了

本文由人工智能辅助生成,已发布至 Korra Studio 知识库。

准备好更进一步了吗?

这是来自 Korra Studio 知识库的笔记之一——该平台将每个主题与一对一指导相结合。

免费开始arrow_forward