קורס Azure – ניהול אירועי אבטחה (SIEM)

מערכת SIEM היא כלי שארגון משתמש בו כדי לאסוף, לנתח ולבצע פעולות אבטחה במערכות המחשוב שלו. מערכות אלה יכולות להיות מכשירי חומרה, יישומים או שניהם.

האפשרויות של מערכת SIEM

בצורתה הפשוטה ביותר, מערכת SIEM מאפשרת לך:

לאסוף יומני רישום ולבצע שאילתות.
לבצע קורלציות בין יומני רישום וזיהוי אנומליות.
לייצור התראות ותקריות בהתבסס על הממצאים של הארגון.

מערכת SIEM מכילה את פונקציונליות הבאות:

ניהול יומן רישום: היכולת לאסוף, לאחסן ולבצע שאילתה על נתוני יומן הרישום ממשאבים בסביבה של הארגון.
התראות: מבט יזום בתוך נתוני יומן הרישום לאיתור אירועי אבטחה פוטנציאליים וחריגות.
תצוגה חזותית: גרפים ולוחות מחוונים המספקים תובנות חזותיות לגבי נתוני יומן הרישום של הארגון.
ניהול אירועים: היכולת ליצור, לעדכן, להקצות ולחקור תקריות שזוהו.
ביצוע שאילתות על נתונים: שפת שאילתות עשירה, בדומה לשפת ניהול יומן רישום, שבה באפשרותך להשתמש כדי לבצע שאילתות ולהבין את הנתונים של הארגון.

Microsoft Sentinel עוזרת לך להפעיל פעולות אבטחה מקצה לקצה, כולל איסוף, זיהוי, חקירה ותגובה:

תהליך הזיהוי של מערכת הסנטינל מכיל מספר שלבים:

אגירת יומני רישום מכל מקורות מעגלי האבטחת המידע בארגון, הן בענן של מיקרוסופט, בתוך הארגון וגם ממערכות ענן אחרות כגון AWS ו GCP.
גילוי התראות אבטחה בארגון על ידי יצירת חוקים וביצוע קורולציות בין יומני הרישום של כל מרכיבי אבטחת המידע בארגון.
יצירת מנגנוני התראות אבטחה.
ביצוע אוטומציות ותגובות אוטומטיות להתראות אבטחה.

כיצד פועלת מערכת מיקרוסופט סנטינל

Microsoft Sentinel עוזר לך להפוך פעולות אבטחה מקצה לקצה לזמינות. זה מתחיל בקליטת יומן וממשיך לתגובה אוטומטית להתראות אבטחה.

התכונות והרכיבים העיקריים של Microsoft Sentinel.

קולטי נתונים

הדבר הראשון שעליך לעשות הוא להכיל את הנתונים של הארגון לתוך Microsoft Sentinel. קולטי הנתונים מאפשרים על ידי מספר פעולות פשוטות לקבל את יומני הפעילות כגון יומני פעילות של Azure באופן פשוט על-ידי מספר לחיצות פשוטות.

ישנם מקורות של יומני פעילות המצריכים יותר עבודה אבל כחלק ממסמכי ההגדרות יש למיקרוסופט מדריכים פשוטים שמסבירים צעד אחרי צעד איך לקבל יומני פעילות ממקורות חיצוניים. ישנם קונקטורי נתונים המכסים את כל התרחישים והמקורות, כולל אך לא מוגבל ל:

Syslog (יומני פעילות תחת מערכות הפעלה של לינוקס בעיקר)
תבנית אירועים כללית (CEF), מאפשרת העברת יומני פעילות של מערכות אבטחת מידע שונים בארגון
Azure
שירותי AWS ו- GCP

שמירת יומן פעילות

לאחר אגירתם של יומני הפעילות ב- Microsoft Sentinel, הנתונים של הארגון מאוחסנים במאגר שבאמצעותו ניתן לבצע שאילתות ולייצר חוקים המבוססים על ידי תבניות מוכנות ומוגדרות של ידי מיקרוסופט או הגדרות ידניות של חוקים. אגירת היומנים במאגר כללי מאפשרת לנו כמשתמשי המערכת לייצר שאילות וחוקים שנכתבת בשפת השאילתות של Kusto (KQL) . KQL היא שפת שאילתות עשירה המעניקה לך את הכוח לצלול לתוך הנתונים שלנו ולקבל מהם תובנות בצורה ויזואלית או לקבל התראות על בסיס השאילתות המבוצעות.

חוברות עבודה (WORK BOOK)

השימוש בחוברות עבודה מאפשר לנו להציג את הנתונים באופן חזותי בתוך Microsoft Sentinel. חוברות העבודה מציגים התראות כלוחות מחוונים. כל רכיב בלוח המחוונים נבנה באמצעות שאילתת KQL. השימוש בחוברות העבודה המוכללות בתוך Microsoft Sentinel, לערוך אותן בהתאם לצרכים של הארגון או ליצור חוברות עבודה משל הארגון מאפס.

התראות ניתוח

עד כה, יש לך יומני רישום ותצוגה חזותית מסוימת של נתונים. עכשיו זה יהיה נהדר לקבל ניתוח יזום על פני הנתונים של הארגון, כך שתקבל הודעה כאשר משהו חשוד מתרחש. באפשרותך להפעיל התראות ניתוח מוכללות בסביבת העבודה של Stinnel. ישנם סוגים שונים של התראות, שאת חלקן תוכל לערוך לפי הצרכים של הארגון. התראות אחרות מבוססות על מודלים של שפת מכונה שהם קנייניים של Microsoft. באפשרותך גם ליצור התראות מתוזמנות מותאמות אישית מאפס.

ציד איומים (Threat Hunting)

לא נצלול עמוק לתוך ציד איומים במודול זה. עם זאת, אם אנליסטים של SOC צריכים לצוד פעילות חשודה, יש כמה שאילתות ציד מובנות שהם יכולים להשתמש בהן. אנליסטים יכולים גם ליצור שאילתות משלהם. סנטינל משתלבת גם עם המחשבים הניידים של Azure. הוא מספק קונקטורות לדוגמה עבור ציידים מתקדמים שרוצים להשתמש במלוא העוצמה של שפת תכנות כדי לצוד את הנתונים שלהם.

אירועים וחקירות (Investigations)

אירוע נוצר כאשר התראה שהפעלת מופעלת. ב- Microsoft Sentinel, באפשרותך לבצע משימות סטנדרטיות של ניהול תקריות כגון שינוי מצב או הקצאת אירועים לאנשים לצורך חקירה. Microsoft Sentinel כולל גם פונקציונליות חקירה, כך שבאפשרותך לחקור תקריות באופן חזותי על-ידי מיפוי ישויות בין נתוני יומן רישום לאורך ציר זמן.

אוטומציות

עם היכולת להגיב לאירועים באופן אוטומטי, תוכל להפוך חלק מפעולות האבטחה של הארגון לאוטומטיות ולהפוך את ה- SOC של הארגון לפרודוקטיבי יותר. Microsoft Sentinel משתלב עם יישומי אוטומציה של Azure, ומאפשר לך ליצור זרימות עבודה אוטומטיות, או ספרי הדרכה, בתגובה לאירועים. פונקציונליות זו יכולה לשמש לניהול אירועים, העשרה, חקירה או תיקון. יכולות אלה מכונות לעתים קרובות תיאום אבטחה, אוטומציה ותגובה (SOAR).

כאנליסט SOC, כעת אתה מתחיל לראות כיצד Microsoft Sentinel עשויה לעזור לך להשיג את מטרותיך. לדוגמה, באפשרותך לבצע את הפעולות הבאות:

קבל נתונים מהענן ומהסביבות המקומיות של הארגון.
בצע ניתוח של נתונים אלה.
נהל וחקור תקריות המתרחשות.
אולי אפילו להגיב באופן אוטומטי באמצעות מדריכים.

במילים אחרות, Microsoft Sentinel מספק לך פתרון מקצה לקצה עבור פעולות האבטחה של הארגון.

מלאו פרטים ונחזור אליכם בהקדם

שם מלא

שם חברה

תפקיד

אימייל

טלפון

אני מאשר/ת קבלת מדריכים וחומרים פרסומיים מכרמל הדרכה והטמעה

למה לבחור בכרמל הדרכה?

אנחנו מציעים פתרונות איכותיים להדרכות מקצועיות שחוסכות לכם זמן ומשאבים, ומספקים לכם את הכלים לקחת את כישורי האקסל שלכם עוד צעד קדימה!

מרצים מובילים

בעלי ניסיון הדרכתי ומעשי עשיר

מגיעים אליכם

אתם קובעים את מיקום הקורס והמועד

תאוריה ותרגול

חומרי לימוד ומעבדות רשמיות של מיקרוסופט הזמינים בענן

תוכנית מותאמת

התאמה מלאה ואישית לדרישות ולצרכי הארגון

למדו מהמומחים שלנו

קורס Azure Security

בשנים האחרונות אנו חווים שינויים גדולים בניהול משאבי המחשוב בארגונים גדולים כקטנים. בין השינויים הבולטים – המעבר ממערכות המחשוב לסביבת הענן. מיקרוסופט מובילה צעדים אלו בבניית Data Centers ברחבי העולם ומספקת כלים, אפליקציות וסביבות המותאמות לכל ארגון.

קרא עוד »

קורס Azure – מעבר ל-Azure Security

בין השינויים הבולטים שמביאות איתן השנים האחרונות בתחום ניהול משאבי המחשוב בארגונים- הם המעבר ממערכות המחשוב לסביבת הענן.

קרא עוד »

קורס Azure – מה זה Azure Virtual Desktop?

עם Azure Virtual Desktop תוכלו ליהנות מחוויה מאובטחת של שולחן עבודה מרוחק!
מושלם לארגונים שעברו לעבודה היברידית ולא רוצים לוותר על האבטחה שלהם.

קרא עוד »

להישאר בשליטה על מכשירי הארגון שלך עם Microsoft Intune

מה זה Intune?

את שירות Microsoft Intune כבר יצא לכם להכיר?

קרא עוד »

קורס Azure – מה זה Microsoft Sentinel?

Microsoft Sentinel היא מערכת SIEM (מערכת לניהול אירועי אבטחת מידע) שיושבת בענן וצוות תפעול האבטחה (SOC) משתמש בה כדי: לקבל תובנות אבטחה ברחבי הארגון על-ידי

קרא עוד »

קורס Azure – יצירת סביבת עבודה של Microsoft Sentinel

לאחר עיצוב ארכיטקטורת סביבת העבודה, היכנס לפורטל Azure. בסרגל החיפוש, חפש את סנטינל ולאחר מכן בחר Microsoft Sentinel. סביבות העבודה של Microsoft Sentinel מציגות רשימה של סביבות העבודה הנוכחיות. בחר בלחצן + הוסף כדי להתחיל בתהליך היצירה.

קרא עוד »

קורס Azure – ניהול הגדרות סנטינל של מיקרוסופט

הגדרות סביבת סנטינל של Microsoft מנוהלות בשני תחומים. ב- Microsoft Sentinel ובסביבת העבודה של ניתוח יומן הרישום שבה שוכנת Microsoft Sentinel. ב- Microsoft Sentinel, הניווט השמאלי כולל אפשרות עבור הגדרות.

קרא עוד »

קורס Azure – חיבור מקורות של Microsoft Office 365

קונקטור יומן הפעילויות של Office 365 מספק תובנות לגבי פעילויות המשתמשים. כמו כן נקבל פרטים על פעולות כגון הורדות קבצים, בקשות גישה שנשלחו, שינויים באירועים קבוצתיים, על הגדרות של תיבת הדואר ופרטים על המשתמש שביצע את הפעולות.

קרא עוד »

קורס Azure – חיבור אירועי אבטחה של שרתי Windows

חיבור אירועי אבטחה של שרתי Windows על מנת לחבר אירועי אבטחה של Windows, כדי להזרים אירועים משרתי Windows ל- Microsoft Sentinel. בהתאם לדרישות של הארגון,

קרא עוד »