קורס Azure – הדף 'אפליקציות Logic App' ב- Microsoft Sentinel

יישומי האוטומציה

ספרי ההדרכה שתיצור/י יופיעו בדף ״ספרי הפעלה״, ותוכל/י להמשיך ולערוך אותם משם.

באפשרותך להפעיל מספר פעולות במדריך מסרגל הכותרת של יישומי האוטומציה:

הפעל טריגר. השתמש כדי להפעיל את יישום האוטומציה כדי לבדוק את המדריך.
רענן. השתמש כדי לרענן את המצב של יישום האוטומציה כדי לאחזר את מצב הפעילות.
עריכה. השתמש כדי להמשיך לערוך את המדריך בדף מעצב יישומי אוטומציה.
מחק. השתמש כדי למחוק את אפליקציית האוטומציה אם אינך זקוק לה.
השבת. השתמש כדי להשבית באופן זמני את אפליקציית האוטומציה כדי למנוע את ביצוע הפעולה גם אם הגורם המפעיל מופעל.
עדכן סכימה. השתמש כדי לעדכן את הסכימה של אפליקציית האוטומציה לאחר שינוי משמעותי באוטומציה.
שיבוט. השתמש כדי ליצור עותק של יישום האוטומציה הקיים ולאחר מכן השתמש בו כבסיס לשינוי נוסף.
ייצוא. השתמש כדי לייצא את יישום האוטומציה ל- Microsoft Power Automate ול- Microsoft Power Apps.

המקטע ביסודות מציג מידע תיאורי אודות יישום האוטומציה. לדוגמה, הגדרת אפליקציית האוטומציה מציגה את מספר הגורמים המפעילים והפעולות שאפליקציית האוטומציה מספקת. באפשרותך להשתמש במקטע סיכום, כדי לסקור מידע מסוכם אודות יישום האוטומציה. ממקטע זה, באפשרותך לבחור את הקישור של יישום האוטומציה כדי לפתוח אותו במעצב יישומי האוטומציה או לסקור את היסטוריית הגורמים המפעילים. המקטע היסטוריית ריצות מציג את הריצות הקודמות של יישום האוטומציה ואם הן הצליחו או נכשלו.

הפוך את התגובה לתקרית ב- Microsoft Sentinel לאוטומטית

כשלב אחרון, עליך לצרף מדריך זה לכללים של הניתוח כדי להפוך את התגובות לאירועים אוטומטיים. באפשרותך להשתמש במקטע תגובה אוטומטית בכלל הניתוח כדי לבחור מדריך שיפעל באופן אוטומטי בעת יצירת ההתראה. לקבלת מידע נוסף אודות אופן היצירה של כלל ניתוח, עיין במודול "זיהוי איומים באמצעות ניתוח Microsoft Sentinel".

תיאור ניהול אירועים

כמו כל עסק, הארגון מתמודדת עם איומים הקשורים לטכנולוגיה על הארגון שלה. Microsoft Sentinel יכולה לעזור לצוות ה- IT של הארגון לארגן, לחקור ולעקוב אחר איומים אלה משלב היצירה ועד לפתרון. האיומים נקראים תקריות.

ניהול תקריות ב- Microsoft Sentinel

ניהול אירועים הוא התהליך המלא של חקירת האירוע, מיצירה לחקירה מעמיקה ולבסוף לפתרון. Microsoft Sentinel מספק סביבת ניהול אירועים מלאה שבה באפשרותך לבצע שלבים אלה. באפשרותך להשתמש ב- Sentinel כדי לסקור מידע מפורט על אירועים, להקצות בעלים של אירוע, להגדיר ולתחזק את חומרת האירוע ולנהל את מצב האירוע.

הבנת ראיות וישויות

Microsoft Sentinel משתמשת במקורות שונים של מידע אבטחה כדי ליצור תקריות. כחלק מצוות אבטחת מידעי בארגון, תצטרך להבין מקורות אלה כדי להשתמש בצורה הטובה ביותר בניהול אירועים ב- Microsoft Sentinel.

ראיות לתקריות

ראיות לתקריות כוללות את המידע על אירוע האבטחה ונכסים קשורים של Microsoft Sentinel המזהים איומים בסביבת Microsoft Sentinel. הראיות מציגות כיצד זוהה האיום ב- Microsoft Sentinel. הוא מקשר אותך בחזרה למשאבים הספציפיים שבהם תוכל להשתמש כדי להגביר את המודעות של הארגון לפרטי האירוע.

אירועים

אירועים מקשרים אותך בחזרה לאירוע ספציפי אחד או יותר מסביבות העבודה של Log Analytics המשויכות ל- Microsoft Sentinel. כשלעצמם, סביבות עבודה אלה מכילות בדרך כלל אלפי אירועים רבים מכדי לנתח אותם באופן ידני. אם השאילתה המצורפת לכללי הניתוח של Microsoft Sentinel מחזירה אירועים, אירועים אלה מצורפים לאירועים שנוצרים לצורך סקירה נוספת אפשרית. באפשרותך להשתמש באירועים אלה כדי להבין את ההיקף והתדירות של האירוע לפני שתמשיך לחקור.

התראות

רוב התקריות נוצרות עקב התראת הכללים הנוצרים כחלק מתבניות כללים מוכנות ומוגדרות על ידי מיקרוסופט או כחלק הגדרות של כללים באופן ידני. דוגמאות להתראות כוללות:

איתור קבצים חשודים
זיהוי פעילויות משתמש חשודות
ניסיון העלאת רמת הרשאות המשתמש (חיפוש משתמש שהוא מנהל המערכת)

כללי ניתוח מפיקים התראות, המבוססות על שאילתות KQL או על חיבור ישיר לפתרונות האבטחה של Microsoft (כגון Microsoft Defender לענן או Microsoft 365 Defender). אם תהפוך את קיבוץ ההתראות לזמין, Microsoft Sentinel יכלול כל ראיה הקשורה לאירוע.

סימניות

בעת חקירת אירוע, ייתכן שתזהה אירועים שברצונך לעקוב אחריהם או לסמן אותם לצורך חקירה מאוחרת יותר. באפשרותך לשמר את השאילתות המופעלות ב- Log Analytics על-ידי בחירת אירוע אחד או יותר וייעודם כסימניות (תייוג). באפשרותך גם להקליט הערות ותגיות כדי ליידע טוב יותר על תהליכי ציד איומים מאוחרים יותר. הסימניות זמינות לך ולחברי הצוות של הארגון.

ישויות כחלק מתקרית

ישות מתייחסת למשאב רשת או משתמש המעורבים באירוע. באפשרותך להשתמש בישויות כנקודות כניסה כדי לחקור את כל ההתראות והמתאמים המשויכים לישות זו.

קשרי הגומלין בין הישויות הינו שימושי בחקירת האירועים. במקום לנתח את התראות הזהויות, התראות הרשת והתראות הגישה לנתונים בנפרד, באפשרותך להשתמש בישויות כדי לצפות בכל ההתראות המשויכות למשתמש, מארח או כתובת מסוימים בסביבה של הארגון.

חלק מסוגי הישויות כוללים:

חשבון
מארח
כתובת IP
כתובת URL
קובץהש

ניהול אירועים

לאחר שתתחיל להשתמש ב- Microsoft Sentinel כדי ליצור תקריות, אתה וצוות ה- IT בארגון תרצו לחקור תקריות אלה. על ידי שימוש בכלי החקירה והניתוח המתקדמים כדי לאסוף מידע ולקבוע שלבי תיקון.

חקירת תקריות

כדי לזהות ולפתור בעיות אבטחה בארגון, תחילה תרצה לחקור תקריות כלשהן. הדף General overview ב- Microsoft Sentinel מספק רשימה של האירועים האחרונים במסך כולל ומרכזי. לקבלת פרטים נוספים וסקירה מלאה של התקריות בארגון, תשתמש בדף 'אירועים', המציג את כל האירועים בסביבת העבודה הנוכחית ופרטים אודות אירועים אלה.

מדף זה, תוכל לנקוט צעדים שונים כדי לחקור אירועים.

סקירת תקריות

הדף 'תקריות' מספק רשימה מלאה של תקריות ב- Microsoft Sentinel. הוא גם מספק מידע בסיסי על אירועים, כולל חומרה, מזהה, תואר, התראות, שמות מוצרים, זמן יצירה, זמן עדכון אחרון, בעלים ומצב. באפשרותך למיין לפי כל עמודת אירוע ולסנן את רשימת האירועים לפי שם, חומרה, מצב, שם מוצר או בעלים.

בחירת אירוע כלשהו תציג מידע נוסף אודות האירוע בעמודה פרטים. מידע זה יכול לעזור לך להבהיר את האופי, ההקשר ודרך הפעולה של אירוע.

בדיקת פרטי האירוע

דף פרטי האירוע מספק תיאור של האירוע ומפרט את הראיות, הישויות והטקטיקות הקשורות לאירוע. הוא מכיל גם קישורים לחוברות עבודה משויכות ולכללים האנליטיים שיצר את האירוע.

אפשר להתייחס לכל הפרטים האלה כדי להבין טוב יותר את ההקשר של האירוע. לדוגמה, באירוע של התקפת brute force, ייתכן שתעבור אל שאילתת יומן הרישום של ניתוח ההתראה כדי לקבוע את מספר ההתקפות שבוצעו.

ניהול הבעלות, המצב והחומרה של האירוע

לכל אירוע שנוצר ב- Microsoft Sentinel מצורפים מטה-נתונים הניתנים לניהול. מידע זה יכול לעזור לך:

הגדרה ומעקב אחר המצב של אירוע משלב היצירה ועד לפתרון
הגדרה וסקירה של חומרת
הקצאה ומעקב אחר בעלות עבור האירוע

בעלות

בסביבה טיפוסית, לכל אירוע יש להקצות בעלים מצוות האבטחה של הארגון. בעל האירוע אחראי על הניהול הכולל של האירוע, כולל חקירה ועדכוני סטטוס. באפשרותך לשנות בעלות בכל עת כדי להקצות את האירוע לחבר צוות אבטחה אחר לצורך חקירה נוספת או הסלמה.

מצב

לכל אירוע חדש שנוצר ב- Microsoft Sentinel מוקצה מצב של אירוע חדש. בסקירה של התקריות בארגון עם אפשרויות תגובה, ישנה אפשרות לשינויי ידני של מצב האירוע כך שישקף את המצב הנוכחי של האירוע. עבור אירועים הנמצאים בחקירה, ההגדרה היא מצב כפעיל. כאשר האירוע נפתר במלואו, ההגדרה היא האירוע סגור.

כאשר מגדירים את האירוע כסגור, נתבקש לבחור אחת מהאפשרויות הבאות מתוך רשימה נפתחת:

חיובי אמיתי: פעילות חשודה
חיובי שפיר: חשוד אך צפוי
תוצאה חיובית שגויה: לוגיקת התראה שגויה
תוצאה חיובית שגויה: נתונים שגויים
לא נקבע

חומרת האירוע

חומרת האירוע נקבעת בהגדרת הכללים או מקור האבטחה של Microsoft שממנו נוצר האירוע. ברוב המקרים, חומרת האירוע נותרת ללא שינוי.

ביצוע ניתוח מעמיק עם גרף חקירה

המשך תחקור האירוע על-ידי בחירה באפשרות חקור בדף פרטי אירוע. פעולה זו פותחת את גרף החקירה, שהוא כלי ויזואלי המסייע לזהות את הגופים המעורבים בתקיפה ואת הקשרים ביניהם. אם האירוע כולל התראות מרובות לאורך ציר הזמן באפשרותנו לסקור את ציר הזמן של ההתראות ואת המתאמים בין ההתראות.

סקירת פרטי הישות

באפשרותך לבחור כל ישות בגרף כדי לצפות במידע נוסף אודות הישות. מידע זה כולל קשרי גומלין עם ישויות אחרות, שימוש בחשבון ומידע על זרימת נתונים. עבור כל אזור מידע, באפשרותך לעבור לאירועים הקשורים ב- Log Analytics ולהוסיף את נתוני ההתראות הקשורים לגרף.

מלאו פרטים ונחזור אליכם בהקדם

שם מלא

שם חברה

תפקיד

אימייל

טלפון

אני מאשר/ת קבלת מדריכים וחומרים פרסומיים מכרמל הדרכה והטמעה

למה לבחור בכרמל הדרכה?

אנחנו מציעים פתרונות איכותיים להדרכות מקצועיות שחוסכות לכם זמן ומשאבים, ומספקים לכם את הכלים לקחת את כישורי האקסל שלכם עוד צעד קדימה!

מרצים מובילים

בעלי ניסיון הדרכתי ומעשי עשיר

מגיעים אליכם

אתם קובעים את מיקום הקורס והמועד

תאוריה ותרגול

חומרי לימוד ומעבדות רשמיות של מיקרוסופט הזמינים בענן

תוכנית מותאמת

התאמה מלאה ואישית לדרישות ולצרכי הארגון

למדו מהמומחים שלנו

קורס Azure Security

בשנים האחרונות אנו חווים שינויים גדולים בניהול משאבי המחשוב בארגונים גדולים כקטנים. בין השינויים הבולטים – המעבר ממערכות המחשוב לסביבת הענן. מיקרוסופט מובילה צעדים אלו בבניית Data Centers ברחבי העולם ומספקת כלים, אפליקציות וסביבות המותאמות לכל ארגון.

קרא עוד »

קורס Azure – מעבר ל-Azure Security

בין השינויים הבולטים שמביאות איתן השנים האחרונות בתחום ניהול משאבי המחשוב בארגונים- הם המעבר ממערכות המחשוב לסביבת הענן.

קרא עוד »

קורס Azure – מה זה Azure Virtual Desktop?

עם Azure Virtual Desktop תוכלו ליהנות מחוויה מאובטחת של שולחן עבודה מרוחק!
מושלם לארגונים שעברו לעבודה היברידית ולא רוצים לוותר על האבטחה שלהם.

קרא עוד »

להישאר בשליטה על מכשירי הארגון שלך עם Microsoft Intune

מה זה Intune?

את שירות Microsoft Intune כבר יצא לכם להכיר?

קרא עוד »

קורס Azure – מה זה Microsoft Sentinel?

Microsoft Sentinel היא מערכת SIEM (מערכת לניהול אירועי אבטחת מידע) שיושבת בענן וצוות תפעול האבטחה (SOC) משתמש בה כדי: לקבל תובנות אבטחה ברחבי הארגון על-ידי

קרא עוד »

קורס Azure – ניהול אירועי אבטחה (SIEM)

מערכת SIEM היא כלי שארגון משתמש בו כדי לאסוף, לנתח ולבצע פעולות אבטחה במערכות המחשוב שלו. מערכות אלה יכולות להיות מכשירי חומרה, יישומים או שניהם.

קרא עוד »

קורס Azure – יצירת סביבת עבודה של Microsoft Sentinel

לאחר עיצוב ארכיטקטורת סביבת העבודה, היכנס לפורטל Azure. בסרגל החיפוש, חפש את סנטינל ולאחר מכן בחר Microsoft Sentinel. סביבות העבודה של Microsoft Sentinel מציגות רשימה של סביבות העבודה הנוכחיות. בחר בלחצן + הוסף כדי להתחיל בתהליך היצירה.

קרא עוד »

קורס Azure – ניהול הגדרות סנטינל של מיקרוסופט

הגדרות סביבת סנטינל של Microsoft מנוהלות בשני תחומים. ב- Microsoft Sentinel ובסביבת העבודה של ניתוח יומן הרישום שבה שוכנת Microsoft Sentinel. ב- Microsoft Sentinel, הניווט השמאלי כולל אפשרות עבור הגדרות.

קרא עוד »

קורס Azure – חיבור מקורות של Microsoft Office 365

קונקטור יומן הפעילויות של Office 365 מספק תובנות לגבי פעילויות המשתמשים. כמו כן נקבל פרטים על פעולות כגון הורדות קבצים, בקשות גישה שנשלחו, שינויים באירועים קבוצתיים, על הגדרות של תיבת הדואר ופרטים על המשתמש שביצע את הפעולות.

קרא עוד »