iT邦幫忙

2021 iThome 鐵人賽

DAY 29
0
影片教學

Microsoft 365爆料公社系列 第 29

Day29:今天來聊一下如何建立及管理 Azure Sentinel 威脅搜捕查詢

Azure Sentinel包含功能強大的查詢工具,可協助為資安人員找出並隔離公司環境內安全

性威脅與非必要活動。

使用內建查詢進行搜捕

我們可以使用Azure Sentinel中的搜尋與查詢工具,尋找整個環境中的安全性威脅與

手段。搜捕查詢可讓我們篩選大量的事件及安全性資料來源,以找出潛在威脅或追蹤

已知或預期的威脅。

Azure Sentinel中的搜捕頁面有內建查詢。這些查詢可以引導我們搜尋流程,並協助

我們經過適當的搜捕途徑,找出環境中的問題。

搜捕查詢可將不明顯的問題加以公開,這些問題雖然不會產生警示,但在一段時間內

頻繁發生,因而有進行調查的必要。

https://ithelp.ithome.com.tw/upload/images/20211013/20112182gFahnXPVaY.png

管理搜捕查詢

當從清單中選取查詢時,查詢詳細資料會出現在新的窗格中。

查詢詳細資料窗格包含描述、程式碼以及查詢相關的其他資訊。

使用MITRE ATT&CK架構搜捕威脅

Azure Sentinel使用 MITRE ATT&CK架構,依據手段來分類及排序查詢。

ATT&CK是一個知識庫,囊括在全球威脅環境中所使用及觀察到的手段與技巧。

我們可以使用MITRE ATT&CK來開發和通知Azure Sentinel中的威脅搜捕模型與方法。

在Azure Sentinel中進行威脅搜捕時,可透過ATT&CK架構,使用 MITRE ATT&CK手段

時間表來分類並執行查詢。

https://ithelp.ithome.com.tw/upload/images/20211013/20112182qXcKUiKCkb.png


上一篇
Day28: 今天來聊一下將syslog 資料連線到 Azure Sentinel
下一篇
Day30:今天來聊一下如何使用 Azure Sentinel 搜捕威脅
系列文
Microsoft 365爆料公社30

1 則留言

0
juck30808
iT邦新手 2 級 ‧ 2021-10-14 12:31:35

恭喜即將邁入完賽階段~

我要留言

立即登入留言