Intelligence sulle minacce per i server abilitati per Azure Arc con Microsoft Sentinel
Gli analisti del SOC (Security Operations Center) di Tailwind Traders hanno difficoltà a valutare il proprio ambiente con le varie soluzioni SIEM e SOAR. In questa unità si apprenderà come i server abilitati per Azure Arc, assieme a Microsoft Sentinel, rappresentino una soluzione SIEM e SOAR che mantiene l'ambiente ibrido e multicloud.
Panoramica di Microsoft Sentinel
Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel fornisce funzionalità di intelligence sulle minacce per l'azienda, offrendo un'unica soluzione per il rilevamento degli attacchi, la ricerca proattiva e la risposta alle minacce.
Microsoft Sentinel offre una panoramica immediata per tutta l'azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.
- Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.
- Rilevare le minacce precedentemente non individuate e ridurre al minimo i falsi positivi grazie alle funzionalità di analisi e alla straordinaria intelligence sulle minacce di Microsoft.
- Analizzare le minacce tramite intelligenza artificiale e rilevare le attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.
- Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.
Connettere i dati
Per eseguire l'onboarding di Microsoft Sentinel, è necessario prima connettersi alle origini di sicurezza.
Microsoft Sentinel è dotato di diversi connettori per le soluzioni Microsoft, che sono disponibili per impostazione predefinita e consentono l'integrazione in tempo reale. I connettori predefiniti di Microsoft Sentinel includono origini Microsoft 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender for Cloud Apps. Inoltre, sono disponibili connettori predefiniti a soluzioni non Microsoft, per l'ecosistema di sicurezza allargato.
I connettori dati pertinenti per i server abilitati per Azure Arc possono includere eventi di sicurezza tramite agente legacy, Eventi di Sicurezza di Windows tramite AMA o Syslog.
Cartelle di lavoro e analisi
Dopo aver connesso le origini dati a Microsoft Sentinel, è possibile monitorare i dati usando l'integrazione di Microsoft Sentinel con Cartelle di lavoro di Monitoraggio di Azure, che consente di creare cartelle di lavoro personalizzate in modo versatile. Microsoft Sentinel include anche modelli di cartella di lavoro predefiniti per ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati.
Per minimizzare il numero di avvisi da esaminare e su cui condurre indagini, Microsoft Sentinel usa l'analisi per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi di avvisi correlati che insieme creano una possibile minaccia su cui è possibile intervenire per indagini e risoluzione. È possibile usare le regole di correlazione predefinite così come sono o come punto di partenza per crearne di personalizzate. Microsoft Sentinel fornisce anche regole di Machine Learning per mappare il comportamento di rete e quindi cercare le anomalie in tutte le risorse.
Automazione e orchestrazione della sicurezza
È possibile automatizzare le attività comuni e semplificare l'orchestrazione della sicurezza con playbook che si integrano con i servizi di Azure e con gli strumenti esistenti.
Usando App per la logica di Azure, la soluzione di automazione e orchestrazione di Microsoft Sentinel è estendibile, scalabile e modernizzata. Per creare playbook con App per la logica di Azure, è possibile scegliere tra una raccolta in continua crescita di playbook predefiniti, che include più di 200 connettori per servizi come le funzioni di Azure. I connettori consentono di applicare qualsiasi logica personalizzata nel codice, in ServiceNow, in Jira, in Zendesk, nelle richieste HTTP, in Microsoft Teams, in Slack, in Windows Defender ATP e in Defender for Cloud Apps.
Ricerca e notebook
Usando i potenti strumenti di ricerca e query di Microsoft Sentinel, basati sul framework MITRE, è possibile rilevare in modo proattivo le minacce alla sicurezza tra le origini dati dell'organizzazione prima che venga attivato un avviso. Dopo aver individuato la query di ricerca che fornisce informazioni dettagliate preziose sugli attacchi, è anche possibile creare regole di rilevamento personalizzate basate sulla query e presentare queste informazioni sotto forma di avvisi al personale addetto a rispondere agli eventi imprevisti di sicurezza. Durante la ricerca si possono creare segnalibri per gli eventi interessanti, per potervi tornare in seguito, condividerli con altri utenti e raggrupparli con altri eventi correlati per creare un evento imprevisto interessante da sottoporre a indagine.
Microsoft Sentinel supporta i notebook Jupyter nelle aree di lavoro Azure Machine Learning, incluse librerie complete per Machine Learning, visualizzazione e analisi dei dati. È possibile usare i notebook in Microsoft Sentinel per estendere l'ambito di ciò che è possibile fare con i dati di Microsoft Sentinel. Ad esempio, è possibile eseguire analisi che non sono incorporate in Microsoft Sentinel, quali alcune funzionalità di apprendimento automatico di Python, creare visualizzazioni di dati non incorporate in Microsoft Sentinel, quali sequenze temporali personalizzate e alberi di elaborazione o integrare origini dati esterne a Microsoft Sentinel, quali set di dati locali.