Azure Sentinel 入門,microsoft azure文字轉(zhuǎn)語音-ESG跨境

Azure Sentinel 入門,microsoft azure文字轉(zhuǎn)語音

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-07-05
點贊icon 0
查看icon 733

Azure Sentinel 入門,microsoft azure文字轉(zhuǎn)語音Azure Sentinel 入門本快速入門介紹如何使用Azure Sentinel快速查看和監(jiān)視整個環(huán)境中發(fā)生的情況。將數(shù)據(jù)源連接到Azure Sentinel之后,可以即時可視化和分析數(shù)據(jù),以了解所有已連接的數(shù)據(jù)源中發(fā)生的情況。Azure ......

Azure Sentinel 入門,microsoft azure文字轉(zhuǎn)語音





Azure Sentinel 入門

本快速入門介紹如何使用Azure Sentinel快速查看和監(jiān)視整個環(huán)境中發(fā)生的情況。將數(shù)據(jù)源連接到Azure Sentinel之后,可以即時可視化和分析數(shù)據(jù),以了解所有已連接的數(shù)據(jù)源中發(fā)生的情況。Azure Sentinel提供工作簿,讓你利用Azure中已提供的工具的強大功能,并提供內(nèi)置的表和圖表,用于分析日志與查詢??梢允褂脙?nèi)置的工作簿,或者從頭開始或基于現(xiàn)有的工作簿輕松創(chuàng)建新的工作簿。

獲取可視化效果

若要可視化和分析環(huán)境中發(fā)生的情況,請先查看概述儀表板,以大致了解組織的安全態(tài)勢??梢詥螕暨@些磁貼的每個元素,向下鉆取到創(chuàng)建這些元素時所依據(jù)的原始數(shù)據(jù)。為了幫助降低干擾并盡量減少需要檢查和調(diào)查的警報數(shù)目,Azure Sentinel使用一種融合技術(shù)將警報關(guān)聯(lián)到事件?!笆录笔窍嚓P(guān)警報的分組,它們共同創(chuàng)建了可以調(diào)查和解決的可處理事件。

·在Azure門戶中選擇“Azure Sentinel”,然后選擇要監(jiān)視的工作區(qū)。

·頂部工具欄會告知在選定的時間段發(fā)生了多少個事件,并將該數(shù)字與過去24小時的事件數(shù)進行比較。工具欄會告知,在這些事件中觸發(fā)了哪些警報(較小的數(shù)字表示與過去24小時的變化),然后告知其中哪些事件未予處理、正在處理和已結(jié)案。檢查事件數(shù)是否不存在明顯的增加或減少。如果事件數(shù)減少,可能表示某個連接已停止向Azure Sentinel報告。如果事件數(shù)增加,可能表示發(fā)生了可疑的情況。檢查是否有新的警報。

概述頁的主體提供工作區(qū)安全狀態(tài)的概覽:

·一段時間的事件和警報數(shù):列出事件數(shù),以及基于這些事件創(chuàng)建的警報數(shù)。如果看到了異常的高峰,應(yīng)會看到相應(yīng)的警報如果出現(xiàn)事件高峰時發(fā)生了某種異常,但未看到警報,則可能需要引以關(guān)注。

·潛在的惡意事件:檢測到來自已知惡意的源的流量時,Azure Sentinel會在地圖上發(fā)出警報。橙色表示入站流量:有人正在嘗試從已知惡意的IP地址訪問你的組織。如果看到出站(紅色)活動,表示網(wǎng)絡(luò)中的數(shù)據(jù)正在從你的組織流向已知惡意的IP地址。

·最新事件:查看最近的事件、其嚴重性及其關(guān)聯(lián)的警報數(shù)。如果特定類型的警報出現(xiàn)突發(fā)性的高峰,可能意味著某種攻擊正在活躍地進行。例如,如果Microsoft Defender for Identity(之前稱為Azure ATP)中突然引發(fā)了多達20個傳遞哈希事件,可能意味著某人正在試圖攻擊你。

·數(shù)據(jù)源異常:Microsoft的數(shù)據(jù)分析師創(chuàng)建了模型用于不間斷地搜索數(shù)據(jù)源中數(shù)據(jù)的異常。如果未出現(xiàn)任何異常,則不會顯示任何信息。如果檢測到異常,則你應(yīng)該進行深入調(diào)查,以確定發(fā)生了什么情況。例如,單擊“Azure活動”中的高峰。可以單擊“圖表”了解高峰是何時發(fā)生的,然后篩選在該時間段發(fā)生的活動,以確定哪些因素造成了高峰。

使用內(nèi)置工作簿

內(nèi)置工作簿提供連接的數(shù)據(jù)源中的集成數(shù)據(jù),讓你深入調(diào)查這些服務(wù)中生成的事件。內(nèi)置工作簿包括Azure AD、Azure活動事件和本地信息,這些數(shù)據(jù)可能來自服務(wù)器的Windows事件、第一方警報或任何第三方(包括防火墻流量日志、Office 365和基于Windows事件的不安全協(xié)議)。這些工作簿基于Azure Monitor工作簿,為你提供增強的可定制性和靈活性,方便你設(shè)計自己的工作簿。有關(guān)詳細信息,請參閱工作簿。

1.在“設(shè)置”下,選擇“工作簿”。在“已安裝”下,可以看到所有已安裝的工作簿。在“全部”下,可以看到可供安裝的整個內(nèi)置工作簿庫。

2.搜索特定的工作簿以查看整個列表,以及每個工作簿的功能說明。

3.假設(shè)你使用Azure AD,若要正常運行Azure Sentinel,我們建議至少安裝以下工作簿:

·Azure AD:使用以下兩項中的一個或兩個:

“Azure AD登錄”可分析不同時間的登錄活動,以確定是否存在異常。此工作簿按應(yīng)用程序、設(shè)備和位置列出失敗的登錄,使你能夠即時注意到有異常情況發(fā)生。請注意是否出現(xiàn)了多個失敗的登錄活動。

“Azure AD審核日志”可分析管理活動,例如用戶更改(添加、刪除等)、組創(chuàng)建和修改。

·添加防火墻工作簿。例如,添加Palo Alto工作簿。工作簿可分析防火墻流量,在防火墻數(shù)據(jù)與威脅事件之間提供關(guān)聯(lián),并突出顯示各個實體的可疑事件。工作簿提供有關(guān)流量趨勢的信息,并允許向下鉆取和篩選結(jié)果。

可以通過編輯主要查詢按鈕來自定義工作簿??梢詥螕舭粹o轉(zhuǎn)到Log Analytics以編輯查詢;可以選擇省略號(...)并選擇“自定義磁貼數(shù)據(jù)”,以編輯主要時間篩選器,或者從工作簿中刪除特定的磁貼。

有關(guān)使用查詢的詳細信息,請參閱教程:Log Analytics中的視覺數(shù)據(jù)

添加新磁貼

若要添加新磁貼,可將其添加到現(xiàn)有工作簿你創(chuàng)建的工作簿,或Azure Sentinel的內(nèi)置工作簿。

1.在Log Analytics中,遵照以下教程中的說明創(chuàng)建磁貼:教程:Log Analytics中的視覺數(shù)據(jù)。

2.創(chuàng)建磁貼后,在“固定”下,選擇要在其中顯示該磁貼的工作簿。

創(chuàng)建新工作簿

可以從頭開始創(chuàng)建新工作簿,或者基于某個內(nèi)置工作簿創(chuàng)建新工作簿。

1.若要從頭開始創(chuàng)建新工作簿,請選擇“工作簿”,然后選擇“+新建工作簿”。

2.選擇要在其中創(chuàng)建該工作簿的訂閱,并為其指定一個描述性的名稱。與其他任何元素一樣,每個工作簿都是一個Azure資源,你可為其分配角色(Azure RBAC)以定義和限制哪些用戶可以訪問它。

3.若要使其顯示在要將可視化效果固定到的工作簿中,必須將其共享。依次單擊“共享”、“管理用戶”。

4.像設(shè)置其他任何Azure資源一樣,使用“檢查訪問權(quán)限”和“角色分配”。有關(guān)詳細信息,請參閱使用Azure RBAC共享Azure工作簿。

新工作簿示例

使用以下示例查詢可以比較不同周次的流量趨勢。可以輕松切換要對其運行查詢的設(shè)備供應(yīng)商和數(shù)據(jù)源。此示例使用來自Windows的SecurityEvent。可將其切換為針對其他任何防火墻中的AzureActivity或CommonSecurityLog運行。

控制臺

//week over week query

SecurityEvent

where TimeGeneratedago(14d)

summarize count()by bin(TimeGenerated,1d)

extend Week=iff(TimeGeneratedago(7d),This Week,Last Week),TimeGenerated=iff(TimeGeneratedago(7d),TimeGenerated,TimeGenerated+7d)

可以創(chuàng)建一個查詢用于合并多個源中的數(shù)據(jù)。可以創(chuàng)建一個查詢,用于在Azure Active Directory審核日志中查找剛剛創(chuàng)建的新用戶,然后檢查Azure日志,以確定該用戶在創(chuàng)建后的24小時內(nèi),是否開始進行角色分配更改。該可疑活動會顯示在此儀表板上:

控制臺

AuditLogs

where OperationName==Add user

project AddedTime=TimeGenerated,user=tostring(TargetResources[0].userPrincipalName)

join(AzureActivity

where OperationName==Create role assignment

project OperationName,RoleAssignmentTime=TimeGenerated,user=Caller)on user

projectaway user1

可以基于用戶的角色創(chuàng)建不同的工作簿,以查看該用戶的數(shù)據(jù)并了解其正在查找哪些信息。例如,可以針對網(wǎng)絡(luò)管理員創(chuàng)建包含防火墻數(shù)據(jù)的工作簿。此外,可以根據(jù)數(shù)據(jù)的查找頻率創(chuàng)建工作簿,不管這些數(shù)據(jù)是每日都要查看的數(shù)據(jù),還是每隔一小時檢查一次的其他項(例如,你可能想要每隔一小時查看自己的Azure AD登錄,以搜索異常)。

創(chuàng)建新的檢測

在連接到Azure Sentinel的數(shù)據(jù)源上生成檢測,以調(diào)查組織中的威脅。

創(chuàng)建新的檢測時,請利用Microsoft安全研究人員為你連接的數(shù)據(jù)源量身定制的內(nèi)置檢測。

若要查看所有現(xiàn)成的檢測,請轉(zhuǎn)到Analytics,然后轉(zhuǎn)到“規(guī)則模板”。此選項卡包含所有的Azure Sentinel內(nèi)置規(guī)則。

使用Azure Sentinel通過內(nèi)置檢測來查找威脅

若要詳細了解如何獲取現(xiàn)成的檢測,請參閱教程:獲取內(nèi)置分析。


文章推薦
App Annie Ascend助力Tripledot Studios實現(xiàn)收入大幅攀升,would like to do和would like doing
GMC被封了,gmc被封了怎么解封
Google的營銷技巧,google營銷服務(wù)是啥
AppGallery Connect分析服務(wù)助力《全民象棋》運營效率提升60%


特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進群
美國賣家交流群
加入
美國賣家交流群
掃碼進群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進群
拉美電商交流群
加入
拉美電商交流群
掃碼進群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進群
拉美電商交流群
加入
拉美電商交流群
掃碼進群
ESG獨家招商-PHH GROUP賣家交流群
加入
ESG獨家招商-PHH GROUP賣家交流群
掃碼進群
2025跨境電商營銷日歷
《2024年全球消費趨勢白皮書——美國篇》
《2024TikTok出海達人營銷白皮書》
《Coupang自注冊指南》
《eMAG知識百科》
《TikTok官方運營干貨合集》
《韓國節(jié)日營銷指南》
《開店大全-全球合集》
《TikTok綜合運營手冊》
《TikTok短視頻運營手冊》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運營實操指導(dǎo)
運營提效資源福利
平臺官方專屬優(yōu)惠

立即登記,定期獲得更多資訊

訂閱
聯(lián)系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機入駐更便捷

icon icon

返回頂部