Введение
Представьте, что вы являетесь инженером по безопасности компании Contoso, Ltd., среднего размера компании в сфере финансовых услуг в Лондоне с филиалом в Нью-Йорке. Компания Contoso использует следующие продукты управления безопасностью Майкрософт:
- Microsoft 365
- Microsoft Entra ID
- Защита идентификации Microsoft Entra
- Microsoft Defender для облачных приложений
- Microsoft Defender для личности
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Защита конечных точек Intune
- Защита информации Azure
Contoso также использует Microsoft Defender для облака, чтобы защищать ресурсы в Azure и в локальной среде от угроз. Компания также осуществляет мониторинг и защиту сторонних ресурсов.
Недавно журнал действий Azure компании показал, что значительное количество виртуальных машин было удалено из подписки Azure. Необходимо проанализировать этот случай и получать оповещения при возникновении аналогичной активности в будущем.
Microsoft Sentinel — это облачное приложение, которое поможет защитить ресурсы Contoso. В этом модуле вы узнаете, как использовать Microsoft Sentinel для создания и изучения инцидента при удалении существующей виртуальной машины пользователем Contoso.
Цели обучения
- Узнайте об инцидентах безопасности и управлении инцидентами Microsoft Sentinel.
- Изучите сведения о происшествии и объекты Microsoft Sentinel.
- Используйте Microsoft Sentinel для изучения инцидентов безопасности и управления разрешением инцидентов.
Предварительные условия
- Знакомство с операциями по обеспечению безопасности в организации.
- Базовый опыт работы со службами Azure.
- Знание операционных концепций, таких как мониторинг, ведение журнала и оповещения.
- Базовые знания о правилах Microsoft Sentinel.
Примечание.
Если вы решили выполнить необязательное упражнение в этом модуле, в подписке Azure может взиматься плата. Чтобы оценить затраты, см. цены на Microsoft Sentinel.