MICROSOFT LOGO
MICROSOFT LOGO
קורס Azure

קורס Azure – הדף 'אפליקציות Logic App' ב- Microsoft Sentinel

carmel website
carmel-website
carmel-website

יישומי האוטומציה

ספרי ההדרכה שתיצור/י יופיעו בדף ״ספרי הפעלה״, ותוכל/י להמשיך ולערוך אותם משם.

באפשרותך להפעיל מספר פעולות במדריך מסרגל הכותרת של יישומי האוטומציה:

  • הפעל טריגר. השתמש כדי להפעיל את יישום האוטומציה כדי לבדוק את המדריך.
  • רענן. השתמש כדי לרענן את המצב של יישום האוטומציה כדי לאחזר את מצב הפעילות.
  • עריכה. השתמש כדי להמשיך לערוך את המדריך בדף מעצב יישומי אוטומציה.
  • מחק. השתמש כדי למחוק את אפליקציית האוטומציה אם אינך זקוק לה.
  • השבת. השתמש כדי להשבית באופן זמני את אפליקציית האוטומציה כדי למנוע את ביצוע הפעולה גם אם הגורם המפעיל מופעל.
  • עדכן סכימה. השתמש כדי לעדכן את הסכימה של אפליקציית האוטומציה לאחר שינוי משמעותי באוטומציה.
  • שיבוט. השתמש כדי ליצור עותק של יישום האוטומציה הקיים ולאחר מכן השתמש בו כבסיס לשינוי נוסף.
  • ייצוא. השתמש כדי לייצא את יישום האוטומציה ל- Microsoft Power Automate ול- Microsoft Power Apps.

המקטע ביסודות מציג מידע תיאורי אודות יישום האוטומציה. לדוגמה, הגדרת אפליקציית האוטומציה מציגה את מספר הגורמים המפעילים והפעולות שאפליקציית האוטומציה מספקת. באפשרותך להשתמש במקטע סיכום, כדי לסקור מידע מסוכם אודות יישום האוטומציה. ממקטע זה, באפשרותך לבחור את הקישור של יישום האוטומציה כדי לפתוח אותו במעצב יישומי האוטומציה או לסקור את היסטוריית הגורמים המפעילים. המקטע היסטוריית ריצות מציג את הריצות הקודמות של יישום האוטומציה ואם הן הצליחו או נכשלו.

הפוך את התגובה לתקרית ב- Microsoft Sentinel לאוטומטית

כשלב אחרון, עליך לצרף מדריך זה לכללים של הניתוח כדי להפוך את התגובות לאירועים אוטומטיים. באפשרותך להשתמש במקטע תגובה אוטומטית בכלל הניתוח כדי לבחור מדריך שיפעל באופן אוטומטי בעת יצירת ההתראה. לקבלת מידע נוסף אודות אופן היצירה של כלל ניתוח, עיין במודול "זיהוי איומים באמצעות ניתוח Microsoft Sentinel".

תיאור ניהול אירועים

כמו כל עסק, הארגון מתמודדת עם איומים הקשורים לטכנולוגיה על הארגון שלה. Microsoft Sentinel יכולה לעזור לצוות ה- IT של הארגון לארגן, לחקור ולעקוב אחר איומים אלה משלב היצירה ועד לפתרון. האיומים נקראים תקריות.

ניהול תקריות ב- Microsoft Sentinel

ניהול אירועים הוא התהליך המלא של חקירת האירוע, מיצירה לחקירה מעמיקה ולבסוף לפתרון. Microsoft Sentinel מספק סביבת ניהול אירועים מלאה שבה באפשרותך לבצע שלבים אלה. באפשרותך להשתמש ב- Sentinel כדי לסקור מידע מפורט על אירועים, להקצות בעלים של אירוע, להגדיר ולתחזק את חומרת האירוע ולנהל את מצב האירוע.

הבנת ראיות וישויות

Microsoft Sentinel משתמשת במקורות שונים של מידע אבטחה כדי ליצור תקריות. כחלק מצוות אבטחת מידעי בארגון, תצטרך להבין מקורות אלה כדי להשתמש בצורה הטובה ביותר בניהול אירועים ב- Microsoft Sentinel.

ראיות לתקריות

ראיות לתקריות כוללות את המידע על אירוע האבטחה ונכסים קשורים של Microsoft Sentinel המזהים איומים בסביבת Microsoft Sentinel. הראיות מציגות כיצד זוהה האיום ב- Microsoft Sentinel. הוא מקשר אותך בחזרה למשאבים הספציפיים שבהם תוכל להשתמש כדי להגביר את המודעות של הארגון לפרטי האירוע.

אירועים

אירועים מקשרים אותך בחזרה לאירוע ספציפי אחד או יותר מסביבות העבודה של Log Analytics המשויכות ל- Microsoft Sentinel. כשלעצמם, סביבות עבודה אלה מכילות בדרך כלל אלפי אירועים רבים מכדי לנתח אותם באופן ידני. אם השאילתה המצורפת לכללי הניתוח של Microsoft Sentinel מחזירה אירועים, אירועים אלה מצורפים לאירועים שנוצרים לצורך סקירה נוספת אפשרית. באפשרותך להשתמש באירועים אלה כדי להבין את ההיקף והתדירות של האירוע לפני שתמשיך לחקור.

התראות

רוב התקריות נוצרות עקב התראת הכללים הנוצרים כחלק מתבניות כללים מוכנות ומוגדרות על ידי מיקרוסופט או כחלק הגדרות של כללים באופן ידני. דוגמאות להתראות כוללות:

  • איתור קבצים חשודים
  • זיהוי פעילויות משתמש חשודות
  • ניסיון העלאת רמת הרשאות המשתמש (חיפוש משתמש שהוא מנהל המערכת)

כללי ניתוח מפיקים התראות, המבוססות על שאילתות KQL או על חיבור ישיר לפתרונות האבטחה של Microsoft (כגון Microsoft Defender לענן או Microsoft 365 Defender). אם תהפוך את קיבוץ ההתראות לזמין, Microsoft Sentinel יכלול כל ראיה הקשורה לאירוע.

סימניות

בעת חקירת אירוע, ייתכן שתזהה אירועים שברצונך לעקוב אחריהם או לסמן אותם לצורך חקירה מאוחרת יותר. באפשרותך לשמר את השאילתות המופעלות ב- Log Analytics על-ידי בחירת אירוע אחד או יותר וייעודם כסימניות (תייוג). באפשרותך גם להקליט הערות ותגיות כדי ליידע טוב יותר על תהליכי ציד איומים מאוחרים יותר. הסימניות זמינות לך ולחברי הצוות של הארגון.

ישויות כחלק מתקרית

ישות מתייחסת למשאב רשת או משתמש המעורבים באירוע. באפשרותך להשתמש בישויות כנקודות כניסה כדי לחקור את כל ההתראות והמתאמים המשויכים לישות זו.

קשרי הגומלין בין הישויות הינו שימושי בחקירת האירועים. במקום לנתח את התראות הזהויות, התראות הרשת והתראות הגישה לנתונים בנפרד, באפשרותך להשתמש בישויות כדי לצפות בכל ההתראות המשויכות למשתמש, מארח או כתובת מסוימים בסביבה של הארגון.

חלק מסוגי הישויות כוללים:

  • חשבון
  • מארח
  • כתובת IP
  • כתובת URL
  • קובץהש

ניהול אירועים

לאחר שתתחיל להשתמש ב- Microsoft Sentinel כדי ליצור תקריות, אתה וצוות ה- IT בארגון תרצו לחקור תקריות אלה. על ידי שימוש בכלי החקירה והניתוח המתקדמים כדי לאסוף מידע ולקבוע שלבי תיקון.

חקירת תקריות

כדי לזהות ולפתור בעיות אבטחה בארגון, תחילה תרצה לחקור תקריות כלשהן. הדף General     overview ב- Microsoft Sentinel מספק רשימה של האירועים האחרונים במסך כולל ומרכזי. לקבלת פרטים נוספים וסקירה מלאה של התקריות בארגון, תשתמש בדף 'אירועים', המציג את כל האירועים בסביבת העבודה הנוכחית ופרטים אודות אירועים אלה.

מדף זה, תוכל לנקוט צעדים שונים כדי לחקור אירועים.

סקירת תקריות

הדף 'תקריות' מספק רשימה מלאה של תקריות ב- Microsoft Sentinel. הוא גם מספק מידע בסיסי על אירועים, כולל חומרה, מזהה, תואר, התראות, שמות מוצרים, זמן יצירה, זמן עדכון אחרון, בעלים ומצב. באפשרותך למיין לפי כל עמודת אירוע ולסנן את רשימת האירועים לפי שם, חומרה, מצב, שם מוצר או בעלים.

בחירת אירוע כלשהו תציג מידע נוסף אודות האירוע בעמודה פרטים. מידע זה יכול לעזור לך להבהיר את האופי, ההקשר ודרך הפעולה של אירוע.

בדיקת פרטי האירוע

דף פרטי האירוע מספק תיאור של האירוע ומפרט את הראיות, הישויות והטקטיקות הקשורות לאירוע. הוא מכיל גם קישורים לחוברות עבודה משויכות ולכללים האנליטיים שיצר את האירוע.

אפשר להתייחס לכל הפרטים האלה כדי להבין טוב יותר את ההקשר של האירוע. לדוגמה, באירוע של התקפת brute force, ייתכן שתעבור אל שאילתת יומן הרישום של ניתוח ההתראה כדי לקבוע את מספר ההתקפות שבוצעו.

ניהול הבעלות, המצב והחומרה של האירוע

לכל אירוע שנוצר ב- Microsoft Sentinel מצורפים מטה-נתונים הניתנים לניהול. מידע זה יכול לעזור לך:

  • הגדרה ומעקב אחר המצב של אירוע משלב היצירה ועד לפתרון
  • הגדרה וסקירה של חומרת
  • הקצאה ומעקב אחר בעלות עבור האירוע

בעלות

בסביבה טיפוסית, לכל אירוע יש להקצות בעלים מצוות האבטחה של הארגון. בעל האירוע אחראי על הניהול הכולל של האירוע, כולל חקירה ועדכוני סטטוס. באפשרותך לשנות בעלות בכל עת כדי להקצות את האירוע לחבר צוות אבטחה אחר לצורך חקירה נוספת או הסלמה.

מצב

לכל אירוע חדש שנוצר ב- Microsoft Sentinel מוקצה מצב של אירוע חדש. בסקירה של התקריות בארגון עם אפשרויות תגובה, ישנה אפשרות לשינויי ידני של מצב האירוע כך שישקף את המצב הנוכחי של האירוע. עבור אירועים הנמצאים בחקירה, ההגדרה היא מצב כפעיל. כאשר האירוע נפתר במלואו, ההגדרה היא האירוע סגור.

כאשר מגדירים את האירוע כסגור, נתבקש לבחור אחת מהאפשרויות הבאות מתוך רשימה נפתחת:

  • חיובי אמיתי: פעילות חשודה
  • חיובי שפיר: חשוד אך צפוי
  • תוצאה חיובית שגויה: לוגיקת התראה שגויה
  • תוצאה חיובית שגויה: נתונים שגויים
  • לא נקבע

חומרת האירוע

חומרת האירוע נקבעת בהגדרת הכללים או מקור האבטחה של Microsoft שממנו נוצר האירוע. ברוב המקרים, חומרת האירוע נותרת ללא שינוי.

ביצוע ניתוח מעמיק עם גרף חקירה

המשך תחקור האירוע על-ידי בחירה באפשרות חקור בדף פרטי אירוע. פעולה זו פותחת את גרף החקירה, שהוא כלי ויזואלי המסייע לזהות את הגופים המעורבים בתקיפה ואת הקשרים ביניהם. אם האירוע כולל התראות מרובות לאורך ציר הזמן באפשרותנו לסקור את ציר הזמן של ההתראות ואת המתאמים בין ההתראות.

סקירת פרטי הישות

באפשרותך לבחור כל ישות בגרף כדי לצפות במידע נוסף אודות הישות. מידע זה כולל קשרי גומלין עם ישויות אחרות, שימוש בחשבון ומידע על זרימת נתונים. עבור כל אזור מידע, באפשרותך לעבור לאירועים הקשורים ב- Log Analytics ולהוסיף את נתוני ההתראות הקשורים לגרף.

 

תוכן עניינים

מלאו פרטים ונחזור אליכם בהקדם
למדו מהמומחים שלנו
קורסים נוספים
למה לבחור בכרמל הדרכה?
אנחנו מציעים פתרונות איכותיים להדרכות מקצועיות שחוסכות לכם זמן ומשאבים, ומספקים לכם את הכלים לקחת את הכישורים שלכם צעד קדימה!
carmel website
מרצים מובילים

בעלי ניסיון הדרכתי
ומעשי עשיר

carmel website
מגיעים אליכם

אתם קובעים את
מיקום הקורס והמועד

carmel website
תאוריה ותרגול

חומרי לימוד ומעבדות
רשמיות של מיקרוסופט הזמינים בענן

carmel website
תוכנית מותאמת

התאמה מלאה ואישית
לדרישות ולצרכי הארגון

מתחיל ב-10.12.2024

3 מפגשים

16:00 - 09:00
דילוג לתוכן