SC-200: подключение журналов к Microsoft Sentinel
Подключение данных в масштабе облака для всех пользователей, устройств, приложений и инфраструктуры как локально, так и из нескольких облаков в Microsoft Sentinel. Эта схема обучения соответствует экзамену SC-200: Аналитик по операциям безопасности Майкрософт.
Предварительные требования
- Знания в области использования KQL в Microsoft Sentinel (как показано в схеме обучения SC-200: создание запросов для Azure Sentinel с помощью языка запросов Kusto (KQL))
- Знание конфигурации среды Microsoft Sentinel, как можно узнать из схемы обучения SC-200: настройка среды Microsoft Sentinel
Код достижения
Вы хотите запросить код достижения?
Модули, включенные в эту схему обучения
Основной подход к подключению данных журнала — это использование соединителей данных, предоставленных в Microsoft Sentinel. Этот модуль содержит общие сведения о доступных соединителях данных.
Узнайте, как подключить Microsoft 365 и журналы служб Azure к Microsoft Sentinel.
Сведения о параметрах конфигурации и данных, предоставляемых соединителями Microsoft Sentinel для XDR в Microsoft Defender.
Одним из наиболее распространенных журналов, события из которых необходимо собирать, являются события безопасности Windows. Узнайте, как Microsoft Sentinel упрощает этот процесс с помощью соединителя событий безопасности.
Соединители большинства поставщиков используют соединитель CEF. Ознакомьтесь с вариантами конфигурации соединителя Common Event Format (CEF).
Сведения о параметрах конфигурации правила сбора данных syslog агента Azure Monitor для Linux, которые позволяют анализировать данные системного журнала.
Сведения о том, как подключить индикаторы аналитики угроз к рабочей области Microsoft Sentinel с помощью имеющихся соединителей данных.