企業通常使用 SIEM 監控內部的 IT 環境,隨著雲端服務的蓬勃發展,各企業逐步將系統上雲已是趨勢,但本地端的 SIEM 並無法有效滿足雲端環境的要求,而透過 Microsoft Sentinel 可快速在雲端啟用並提供混合雲環境的慧型安全性分析和威脅情報。 

 

SIEM 的功能及使用場景

SIEM 的核心目標為日誌管理事件關聯與分析事件監控告警與回應。典型的 SIEM 可收集來自各地的日誌,如端點、網路設備、作業系統、防火墻、應用程式、資料庫、用戶端等,並在單一平台上進行跨時間的事件關聯分析,即時反應及事故處理追蹤。 

如內部人員收到釣魚電郵並點開可疑的網址,資安人員在收到告警通知後,可透過 SIEM 進行下列的處理流程:

SIEM 調查機制 

SIEM 回應機制 

自動化處置 

誰點了連結 

發生什麼事 

在哪時候發生的 

使用哪個設備開啟的 

處置方法 

影響範圍 

是否通報 

整合自動化 

加快事件回應程序 

 

Microsoft Sentinel 提供四大面向的功能 

  • 收集資料:包含本地端和多雲環境的所有使用者、裝置、應用程式和基礎結構的資料。 
  • 偵測先前未偵測到的威脅:使用 Microsoft 的分析和威脅情報,且大幅度減少誤報。 
  • 使用人工智慧調查威脅:根據 Microsoft 多年來的網路安全性工作,大規模搜捕可疑的活動。 
  • 快速回應事件:使用 playbooks 和 Azure Logic App 將流程自動化。 

 

 

Microsoft Sentinel 支援來自 60 個以上的供應商包含多達 126 種資料收集器 (Data Connectors)圖一,內建活頁簿 (Workbooks)圖二 範本可在連接資料後,快速取得資料洞察。加上超過 100 種開箱即用的分析 (Analytics)圖三 檢測威脅規則,讓 SOC 工程師可在事件 (Incidents)圖四 頁面中有效率的調查可能存在的威脅。並對事件建立工作自動化 (Automation)圖五,利用內建的劇本 (playbook),自動執行單一且重複的工作,包括資料擷取、擴充、調查和補救等措施。 

對預先防護威脅方面,Sentinel 也提供了內建查詢搜捕 (Hunting)圖六 功能,讓在警示觸發之前,搜捕安全性威脅。或使用筆記本 (Notebooks)圖七,透過 Azure ML 達成更進階的分析、資料視覺效果等功能。 

 

圖一:資料收集器 (Data Connectors)

 

圖二:活頁簿 (Workbooks) 

 

圖三:分析 (Analytics) 

 

 

圖四:事件 (Incidents) 

 

圖五:自動化 (Automation) 

 

圖六:搜捕 (Hunting) 

 

圖七:筆記本 (Notebooks) 


 

參考資料: 

Microsoft Sentinel - 雲端原生解決方案

Microsoft 安全性分析師會持續更新活頁簿、劇本、搜捕查詢等資源至GitHub上