האפשרויות של מערכת SIEM
בצורתה הפשוטה ביותר, מערכת SIEM מאפשרת לך:
- לאסוף יומני רישום ולבצע שאילתות.
- לבצע קורלציות בין יומני רישום וזיהוי אנומליות.
- לייצור התראות ותקריות בהתבסס על הממצאים של הארגון.
מערכת SIEM מכילה את פונקציונליות הבאות:
- ניהול יומן רישום: היכולת לאסוף, לאחסן ולבצע שאילתה על נתוני יומן הרישום ממשאבים בסביבה של הארגון.
- התראות: מבט יזום בתוך נתוני יומן הרישום לאיתור אירועי אבטחה פוטנציאליים וחריגות.
- תצוגה חזותית: גרפים ולוחות מחוונים המספקים תובנות חזותיות לגבי נתוני יומן הרישום של הארגון.
- ניהול אירועים: היכולת ליצור, לעדכן, להקצות ולחקור תקריות שזוהו.
- ביצוע שאילתות על נתונים: שפת שאילתות עשירה, בדומה לשפת ניהול יומן רישום, שבה באפשרותך להשתמש כדי לבצע שאילתות ולהבין את הנתונים של הארגון.
Microsoft Sentinel עוזרת לך להפעיל פעולות אבטחה מקצה לקצה, כולל איסוף, זיהוי, חקירה ותגובה:
תהליך הזיהוי של מערכת הסנטינל מכיל מספר שלבים:
- אגירת יומני רישום מכל מקורות מעגלי האבטחת המידע בארגון, הן בענן של מיקרוסופט, בתוך הארגון וגם ממערכות ענן אחרות כגון AWS ו GCP.
- גילוי התראות אבטחה בארגון על ידי יצירת חוקים וביצוע קורולציות בין יומני הרישום של כל מרכיבי אבטחת המידע בארגון.
- יצירת מנגנוני התראות אבטחה.
- ביצוע אוטומציות ותגובות אוטומטיות להתראות אבטחה.
כיצד פועלת מערכת מיקרוסופט סנטינל
Microsoft Sentinel עוזר לך להפוך פעולות אבטחה מקצה לקצה לזמינות. זה מתחיל בקליטת יומן וממשיך לתגובה אוטומטית להתראות אבטחה.
התכונות והרכיבים העיקריים של Microsoft Sentinel.
קולטי נתונים
הדבר הראשון שעליך לעשות הוא להכיל את הנתונים של הארגון לתוך Microsoft Sentinel. קולטי הנתונים מאפשרים על ידי מספר פעולות פשוטות לקבל את יומני הפעילות כגון יומני פעילות של Azure באופן פשוט על-ידי מספר לחיצות פשוטות.
ישנם מקורות של יומני פעילות המצריכים יותר עבודה אבל כחלק ממסמכי ההגדרות יש למיקרוסופט מדריכים פשוטים שמסבירים צעד אחרי צעד איך לקבל יומני פעילות ממקורות חיצוניים. ישנם קונקטורי נתונים המכסים את כל התרחישים והמקורות, כולל אך לא מוגבל ל:
- Syslog (יומני פעילות תחת מערכות הפעלה של לינוקס בעיקר)
- תבנית אירועים כללית (CEF), מאפשרת העברת יומני פעילות של מערכות אבטחת מידע שונים בארגון
- Azure
- שירותי AWS ו- GCP
שמירת יומן פעילות
לאחר אגירתם של יומני הפעילות ב- Microsoft Sentinel, הנתונים של הארגון מאוחסנים במאגר שבאמצעותו ניתן לבצע שאילתות ולייצר חוקים המבוססים על ידי תבניות מוכנות ומוגדרות של ידי מיקרוסופט או הגדרות ידניות של חוקים. אגירת היומנים במאגר כללי מאפשרת לנו כמשתמשי המערכת לייצר שאילות וחוקים שנכתבת בשפת השאילתות של Kusto (KQL) . KQL היא שפת שאילתות עשירה המעניקה לך את הכוח לצלול לתוך הנתונים שלנו ולקבל מהם תובנות בצורה ויזואלית או לקבל התראות על בסיס השאילתות המבוצעות.
חוברות עבודה (WORK BOOK)
השימוש בחוברות עבודה מאפשר לנו להציג את הנתונים באופן חזותי בתוך Microsoft Sentinel. חוברות העבודה מציגים התראות כלוחות מחוונים. כל רכיב בלוח המחוונים נבנה באמצעות שאילתת KQL. השימוש בחוברות העבודה המוכללות בתוך Microsoft Sentinel, לערוך אותן בהתאם לצרכים של הארגון או ליצור חוברות עבודה משל הארגון מאפס.
התראות ניתוח
עד כה, יש לך יומני רישום ותצוגה חזותית מסוימת של נתונים. עכשיו זה יהיה נהדר לקבל ניתוח יזום על פני הנתונים של הארגון, כך שתקבל הודעה כאשר משהו חשוד מתרחש. באפשרותך להפעיל התראות ניתוח מוכללות בסביבת העבודה של Stinnel. ישנם סוגים שונים של התראות, שאת חלקן תוכל לערוך לפי הצרכים של הארגון. התראות אחרות מבוססות על מודלים של שפת מכונה שהם קנייניים של Microsoft. באפשרותך גם ליצור התראות מתוזמנות מותאמות אישית מאפס.
ציד איומים (Threat Hunting)
לא נצלול עמוק לתוך ציד איומים במודול זה. עם זאת, אם אנליסטים של SOC צריכים לצוד פעילות חשודה, יש כמה שאילתות ציד מובנות שהם יכולים להשתמש בהן. אנליסטים יכולים גם ליצור שאילתות משלהם. סנטינל משתלבת גם עם המחשבים הניידים של Azure. הוא מספק קונקטורות לדוגמה עבור ציידים מתקדמים שרוצים להשתמש במלוא העוצמה של שפת תכנות כדי לצוד את הנתונים שלהם.
אירועים וחקירות (Investigations)
אירוע נוצר כאשר התראה שהפעלת מופעלת. ב- Microsoft Sentinel, באפשרותך לבצע משימות סטנדרטיות של ניהול תקריות כגון שינוי מצב או הקצאת אירועים לאנשים לצורך חקירה. Microsoft Sentinel כולל גם פונקציונליות חקירה, כך שבאפשרותך לחקור תקריות באופן חזותי על-ידי מיפוי ישויות בין נתוני יומן רישום לאורך ציר זמן.
אוטומציות
עם היכולת להגיב לאירועים באופן אוטומטי, תוכל להפוך חלק מפעולות האבטחה של הארגון לאוטומטיות ולהפוך את ה- SOC של הארגון לפרודוקטיבי יותר. Microsoft Sentinel משתלב עם יישומי אוטומציה של Azure, ומאפשר לך ליצור זרימות עבודה אוטומטיות, או ספרי הדרכה, בתגובה לאירועים. פונקציונליות זו יכולה לשמש לניהול אירועים, העשרה, חקירה או תיקון. יכולות אלה מכונות לעתים קרובות תיאום אבטחה, אוטומציה ותגובה (SOAR).
כאנליסט SOC, כעת אתה מתחיל לראות כיצד Microsoft Sentinel עשויה לעזור לך להשיג את מטרותיך. לדוגמה, באפשרותך לבצע את הפעולות הבאות:
- קבל נתונים מהענן ומהסביבות המקומיות של הארגון.
- בצע ניתוח של נתונים אלה.
- נהל וחקור תקריות המתרחשות.
- אולי אפילו להגיב באופן אוטומטי באמצעות מדריכים.
במילים אחרות, Microsoft Sentinel מספק לך פתרון מקצה לקצה עבור פעולות האבטחה של הארגון.
