Обзор облачной системы реагирования на инциденты безопасности Azure Sentinel

1. Обзор облачной SIEM системы Microsoft Azure Sentinel

• Предварительные требования
• Архитектура решения

2. Первоначальная настройка, подключение источников данных, работа с логами

• Создание экземпляра Azure Sentinel
• Сбор данных
• Визуализация
• Запросы к логам
• Введение в язык запросов Kusto (KQL)
• Полезные запросы в KQL
• Расширенные запросы в KQL

3. Обнаружение угроз

• Стандартные правила обнаружения угроз
• Обнаружение угроз с использованием правил корреляции.
• Пользовательские правила обнаружения угроз
• Расширенное обнаружение многоступенчатой атаки
• Варианты использования правил обнаружения угроз
• Варианты использования, связанные с поведением пользователей
• Введение в поиск угроз
• Жизненный цикл поиска угроз
• Использование записных книжек Azure Notebooks для поиска угроз

4. Расследование угроз

• Введение в расследование угроз
• Расследование инцидентов
• Использование графа инцидента для расследований

5. Автоматизация предотвращения угроз

• Введение в SOAR
• Введение в рабочие книги
• Создание рабочих книг
• Создание логики автоматизации с помощью дизайнера Azure Logic App
• Автоматизация реагирования на угрозы