📜  Microsoft Azure – Azure Sentinel 简介

📅  最后修改于: 2022-05-13 01:57:09.912000             🧑  作者: Mango

Microsoft Azure – Azure Sentinel 简介

在本文中,我们将概述 Microsoft Azure Sentinel 及其功能。 Azure Sentinel 可帮助你快速检测、提醒、调查和解决 Azure 基础结构的安全事件。

让我们来看看它是什么以及如何使用它。在 Azure 门户中,我们可以通过在搜索栏中搜索 Azure Sentinel。

但在我们可以使用它之前,我们需要将它添加到 Azure Log Analytics 工作区。目前,我们还没有一个,如下所示:

要创建工作区,我们首先需要为工作区命名,然后选择现有资源组。我们还将更改工作区的位置。

这将为我们创建一个工作区,现在我们需要添加 Azure Sentinel。

下图显示了 Azure Sentinel 仪表板。它可以从许多来源收集数据,并针对安全事件和威胁进行分析。它提供了调查数据、创建警报缓解安全威胁的工具。

让我们从连接数据源开始。有许多开箱即用的数据源可以连接。 Microsoft 数据源和 Amazon Web Services 等派对数据源。让我们连接我们的Active Directory。

连接它真的很简单,我们只需要点击两个连接按钮就可以了。

因此,现在 Azure Sentinel 可以访问 Azure Active Directory 中的数据。一段时间后,您会看到这里有更多事件,也许还有一些事件,尽管我们当前的订阅还没有任何事件。

我们可以在仪表板中可视化数据。在这里,我们可以从许多预先构建的仪表板中进行选择,例如这个Azure Active Directory 审计日志仪表板。让我们安装它,让我们看看它。

这显示了关于我们的 Azure Active Directory 活动的各种有趣的图表。

您可以使用仪表板等工具来更深入地了解您的安全数据。 Azure Sentinel 提供了更多工具来分析数据和识别安全事件。您可以使用如下所示的查询来寻找它们:

您还可以使用 Azure 笔记本来破坏数据并识别威胁。

您还可以为某些事件和事件设置警报。这有助于您在发生某些事情时迅速采取行动。

您还可以使用剧本自动执行缓解响应。 Playbook 是 Azure 逻辑应用,其中包含基于安全信息执行操作的工作流。当 Azure 安全中心有新建议时,Playbook 具有发送电子邮件等选项。

应用程序和基础架构的安全性对于正确处理非常重要。 Azure Sentinel 提供威胁检测和缓解服务,它可以帮助你在事件和威胁发生时检测它们,并帮助你尽可能有效地解决它们。