Microsoft Sentinel簡介
Microsoft Sentinel就是微軟的SIEM/SOAR系統。傳統的SIEM系統通常需要很長時間來設定和配置。它們在設計時也不一定會考慮到雲端工作負載。 Microsoft Sentinel 讓您能夠快速從雲端和地端資料中取得寶貴的安全性見解。
甚麼是Microsoft Sentinel?
讓我們從一些定義開始,看SIEM系統和 Microsoft Sentinel。
SIEM 系統是組織用來在其電腦系統上收集、分析和執行安全操作的工具。這些系統可以是硬體設備、應用程式或兩者兼而有之。
SIEM 系統以其最簡單的形式讓我們能夠:
- 收集並查詢日誌。
- 進行某種形式的關聯或異常偵測。
- 根據我們的發現建立告警和事故(Incident)。
SIEM 系統可能提供以下功能:
- 日誌管理:從環境中的資源”收集、儲存和查詢”日誌資料的能力。
- 告警:主動查看日誌資料中是否有潛在的安全事故和異常情況。
- 視覺化:提供日誌資料視覺化洞察的圖表和儀表板。
- 事故管理:建立、更新、指派和調查已識別事故的能力。
- 查詢資料:一種查詢語言,類似於日誌管理的查詢語言,可以使用它來查詢和理解資料。
Microsoft Sentinel 是一個雲端原生 SIEM 系統,安全維運團隊可以使用它來:
- 透過從一大堆來源收集資料來獲取整個企業的安全見解。
- 使用內建機器學習和 Microsoft 威脅情資(TI)快速偵測和調查威脅。
- 透過使用Playbooks和整合 Azure Logic Apps來自動執行威脅回應。
與傳統 SIEM 解決方案不同, Microsoft Sentinel是一個SaaS服務。 Microsoft Sentinel 是在 Azure 中部署的服務。Microsoft Sentinel 還可以與其他雲端服務整合。
Microsoft Sentinel 可協助我們啟用端對端安全性操作,包括收集、偵測、調查和回應:
作業方式
Microsoft Sentinel 可實現端對端安全性操作。它從日誌攝取開始,一直到對安全告警的自動回應。
以下是 Microsoft Sentinel 的主要功能和元件。
Data connectors
要做的第一件事是將資料串流進 Microsoft Sentinel。資料連接器可以做到這一點。可以透過先安裝Content hub solutions來連接資料連接器。安裝後,只需選擇一個按鈕即可新增一些服務,例如 Azure activity logs。其他的,例如syslog,需要更多配置。有涵蓋所有場景和來源的資料連接器,包括但不限於:
- syslog
- Common Event Format (CEF)
- Trusted Automated eXchange of Indicator Information (TAXII) (for threat intelligence)
- Azure Activity
- Microsoft Defender services
- AWS and GCP
Log retention
將資料引入 Microsoft Sentinel 後,資料將儲存在 Log Analytics workspace中。使用 Log Analytics 的好處包括能夠使用 KQL(Kusto Query Language)查詢資料。 KQL 是一種查詢語言,可讓我們深入研究我們的資料並從中獲得見解。
Workbooks
我們可以使用workbooks在 Microsoft Sentinel 中視覺化資料。將workbooks視為儀表板。儀表板中的每個元件都是透過使用資料的基礎 KQL 查詢來建立的。我們可以使用 Microsoft Sentinel 中的內建workbooks並對其進行編輯以滿足自己的需求,或從頭開始建立自己的workbooks。如果我們使用過 Azure Monitor workbooks,那麼您會熟悉此功能,因為它是 Sentinel 對 Monitor workbooks的實作。
Analytics alerts
到目前為止,我們已經有了日誌和一些資料視覺化。現在,最好對資料進行一些主動分析,這樣當出現可疑情況時就會收到通知。可以在 Sentinel workspace中啟用內建分析告警。告警有多種類型,可以根據自己的需求編輯其中一些。其他告警是基於 Microsoft 專有的機器學習模型建構的。但也可以從頭開始建立自訂的預定告警。
Threat hunting
許多Content hub solutions都提供了可供他們使用的內建搜尋查詢。資安人員還可以建立自己的查詢。 Sentinel 也與 Azure Notebooks 整合。它為想要利用程式語言的全部功能來搜尋資料的資深資安人員提供了example notebooks。
Incidents and investigations
觸發告警時就會建立事故(Incident)。在 Microsoft Sentinel 中,可以執行標準事故管理任務,例如變更狀態或將事故指派給個人進行調查。 Microsoft Sentinel 還具有調查功能,因此可以透過沿著時間軸映射日誌資料中的實體來直觀地調查事件。
Automation playbooks
憑藉自動回應事件的能力,我們可以自動化一些安全操作並提高 SOC 的生產力。 Microsoft Sentinel 可建立自動化工作流程或playbooks來回應事故。此功能可用於事故管理、調查或補救。這些功能通常稱為SOAR(security orchestration, automation, and response)。
Microsoft Sentinel 可以實現目標如:
- 從雲端和地端環境提取資料。
- 對這些數據進行分析。
- 管理和調查發生的任何事故。
- 使用playbooks自動回應。
何時使用?
如果想要執行以下操作,可以使用 Microsoft Sentinel:
- 從各種來源收集事件資料。
- 對該資料執行安全操作以識別可疑活動。
安全操作可包括:
- 日誌資料視覺化
- 異常偵測
- Threat hunting
- 安全事故調查
- 自動回響告警和事故
Microsoft Sentinel 提供其他功能:
- 雲端原生 SIEM:無需配置伺服器,輕鬆擴展
- 與 Azure Logic Apps service及其數百個連接器整合
- Microsoft research和機器學習的效益
- 免費提供關鍵日誌來源
- 支援混合雲和地端環境
- SIEM 和資料湖合而為一
當我們開始研究 Microsoft Sentinel 時,組織會有一些明確的要求:
- 支援來自多個雲端環境的數據
- SOC 所需的功能,無需太多administrative overhead
Microsoft Sentinel 為系統日誌、AWS和其他來源提供資料連接器,並且能夠在不配置伺服器的情況下輕鬆擴展。在分析過程中,大部分的人也意識到組織應該將自動化作為其 SOC 策略的關鍵部分。組織以前沒有考慮過自動化,但現在應考慮使用automation playbooks。
如果我們正在收集基礎架構或應用程式日誌以進行效能監視,也可以考慮使用 Azure Monitor 和 Log Analytics 來實現此目的。
也許想了解環境的安全狀況,確保符合政策,並檢查安全配置是否錯誤。如果是這樣,也可以考慮使用 Microsoft Defender for Cloud。可以提取 Defender for Cloud 告警作為 Microsoft Sentinel 的資料連接器。
