Einführung

Abgeschlossen

Microsoft Sentinel-Inhalte sind SIEM-Inhalte (Security Information & Event Management), die es Kunden ermöglichen, Daten zu erfassen, zu überwachen, zu warnen, zu suchen, zu untersuchen, zu reagieren und sich mit verschiedenen Produkten, Plattformen und Diensten in Microsoft Sentinel zu verbinden.

Inhalte in Microsoft Sentinel schließen die folgenden Typen ein:

  • Datenconnectors ermöglichen die Protokollerfassung aus verschiedenen Quellen in Microsoft Sentinel
  • Parser bieten Protokollformatierung/-transformation in ASIM-Formate und unterstützen die Verwendung über Microsoft Sentinel-Inhaltstypen und -Szenarien hinweg
  • Arbeitsmappen bieten Überwachung, Visualisierung und Interaktivität mit Daten in Microsoft Sentinel, um aussagekräftige Erkenntnisse für Benutzer hervorzuheben
  • Analyseregeln stellen Warnungen zur Verfügung, die auf relevante SOC-Aktionen über Vorfälle verweisen.
  • Hunting-Abfragen werden von SOC-Teams verwendet, um proaktiv nach Bedrohungen in Microsoft Sentinel zu suchen
  • Notebooks unterstützt SOC-Teams bei der Verwendung erweiterter Hunting-Features in Jupyter und Azure Notebooks
  • Watchlists unterstützen die Erfassung bestimmter Daten für eine verbesserte Bedrohungserkennung und geringere Warnungsermüdung
  • Playbooks und benutzerdefinierte Azure Logic Apps-Connectors bieten Features für automatisierte Untersuchungen, Korrekturen und Reaktionsszenarios in Microsoft Sentinel.

Verwenden Sie folgende Ressourcen, um Inhalt für die Verwendung von Microsoft Sentinel zu verwalten:

  • Inhaltshub: Microsoft Sentinel-Lösungen sind Pakete mit Microsoft Sentinel-Inhalten oder Microsoft Sentinel-API-Integrationen, die ein End-to-End-Produkt-, Domänen- oder vertikales Branchenszenario in Microsoft Sentinel erfüllen.
  • Repositorys: Diese unterstützen Sie bei der Automatisierung der Bereitstellung und Verwaltung Ihrer Microsoft Sentinel-Inhalte über zentrale Repositorys.
  • Community: Integrieren Sie Communityinhalte bedarfsgesteuert, um Ihre Szenarios zu aktivieren. Das GitHub-Repository auf https://github.com/Azure/Azure-Sentinel enthält Inhalte von Microsoft und der Community, die getestet wurden und für die Implementierung in Ihren Sentinel-Arbeitsbereich verfügbar sind.

Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie müssen Connectors und analytische Regeln von einem Anbieter installieren. Sie haben auch eine Bibliothek mit Suchabfragen erstellt, die in mehreren Umgebungen verwaltet werden müssen.

Am Ende des Moduls können Sie Inhalte in Microsoft Sentinel verwalten.

Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:

  • Installieren einer Inhaltshublösung in Microsoft Sentinel
  • Verbinden eines GitHub-Repositorys mit Microsoft Sentinel