1. 啥是SIEM
SIEM 解决方案可存储和分析其他系统生成的日志、事件和警报,用户可以配置这些解决方案以触发其警报。 简单点就是SIEM 解决方案可存储和分析从外部来源引入的日志数据。
2. 啥是Azure Sentinel
Azure Sentinel 提供有助于分析和可视化这些事件的默认仪表板。 仪表板显示与已接收事件数、根据该数据生成的警报数,以及根据这些警报创建的任意事件的状态相关的数据。Azure Sentinel是Azure的云原生SIEM解决方案
3. Azure Sentinel具体干了啥?
- 收集数据:在云规模上跨所有用户、设备、应用程序和基础结构(在本地和多个云中)收集数据,日志信息
- 检测:利用 Microsoft 的分析和威胁情报来检测以前发现的威胁
- 调查:借助AI调查威胁并大规模主动搜索可疑的活动
- 响应:通过内置编排来自动化响应事件
4. log Analytics
Azure Sentinel实在Azure 数据,从monitor log analytics平台基础上构建的,log analytics是个分析平台,存储和分析大量的数据,使用kusto查询语句,用户可以拼接聚合数据,进而来进行分析
5 连接数据:
Sentinel支持和多个行业解决方案连接器。例如防火墙,终端安全。。。就是说接入三方的收集数据。通过data connectors 数据连接器 ,来连接数据源
6 检测威胁
连接数据后的下一步是识别可疑活动和威胁,可使用内置的模板,这个是微软的安全团队设计的,用户也可以自定义模板,搜出自己感兴趣的活动
7. 调查事件
事件是根据analytics页面定义的警报创建的,用户可以调查检测到的威胁和整个事件,查看状态,整个的管理。
8. 响应威胁
playbooks 是响应的一组过程,可以是手动或者自动的。例如:可以设置一个警报,用于搜索访问你的网络的恶意 IP 地址,并触发行动手册以实时停止攻击。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
