gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-12 21:13:45 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:33:41 +00:00
parent abe9c42831
commit 1441fd36a8
3 changed files with 186 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,37 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud - це комплексне рішення для управління безпекою, яке охоплює Azure, локальні та багатохмарні середовища. Воно класифікується як Платформа Захисту Додатків Хмари (CNAPP), поєднуючи можливості Управління Безпекою Хмари (CSPM) та Захисту Робочих Навантажень Хмари (CWPP). Його мета - допомогти організаціям виявити **неправильні налаштування та слабкі місця в ресурсах хмари**, зміцнити загальну безпеку та захистити робочі навантаження від еволюціонуючих загроз в Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), гібридних локальних налаштуваннях та інших.
На практиці Defender for Cloud **безперервно оцінює ваші ресурси відповідно до найкращих практик та стандартів безпеки**, надає єдину панель для видимості та використовує розширене виявлення загроз, щоб сповіщати вас про атаки. Основні переваги включають **єдиний погляд на безпеку в різних хмарах**, дієві рекомендації для запобігання витокам та інтегрований захист від загроз, який може зменшити ризик інцидентів безпеки. Підтримуючи AWS та GCP, а також інші платформи SaaS нативно та використовуючи Azure Arc для локальних серверів, він забезпечує можливість **управляти безпекою в одному місці** для всіх середовищ.
### Key Features
- **Рекомендації**: Цей розділ представляє список дієвих рекомендацій з безпеки на основі безперервних оцінок. Кожна рекомендація пояснює виявлені неправильні налаштування або вразливості та надає кроки для виправлення, щоб ви знали, що саме потрібно виправити для покращення вашого безпечного балу.
- **Аналіз Шляхів Атак**: Аналіз Шляхів Атак візуально відображає потенційні маршрути атак через ваші ресурси хмари. Показуючи, як вразливості пов'язані та можуть бути використані, він допомагає вам зрозуміти та зламати ці шляхи, щоб запобігти витокам.
- **Сповіщення про Загрози**: Сторінка Сповіщень про Загрози сповіщає вас про загрози в реальному часі та підозрілі дії. Кожне сповіщення містить деталі, такі як серйозність, уражені ресурси та рекомендовані дії, що забезпечує швидку реакцію на нові проблеми.
- Техніки виявлення базуються на **інформації про загрози, поведінковій аналітиці та виявленні аномалій**.
- Можна знайти всі можливі сповіщення на https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. На основі назви та опису можна дізнатися, **що шукає сповіщення** (щоб обійти його).
- **Інвентаризація**: У розділі Інвентаризації ви знайдете всебічний список усіх моніторингових активів у ваших середовищах. Він надає огляд статусу безпеки кожного ресурсу, допомагаючи швидко виявити незахищені або ризиковані активи, які потребують виправлення.
- **Cloud Security Explorer**: Cloud Security Explorer пропонує інтерфейс на основі запитів для пошуку та аналізу вашого хмарного середовища. Він дозволяє виявляти приховані ризики безпеки та досліджувати складні взаємозв'язки між ресурсами, покращуючи ваші загальні можливості виявлення загроз.
- **Робочі книги**: Робочі книги - це інтерактивні звіти, які візуалізують ваші дані безпеки. Використовуючи попередньо створені або користувацькі шаблони, вони допомагають вам моніторити тенденції, відстежувати відповідність та переглядати зміни у вашому безпечному балі з часом, спрощуючи прийняття рішень на основі даних.
- **Спільнота**: Розділ Спільнота з'єднує вас з колегами, експертними форумами та посібниками з найкращих практик. Це цінний ресурс для навчання на досвіді інших, знаходження порад з усунення неполадок та отримання останніх новин про розвиток Defender for Cloud.
- **Діагностика та Вирішення Проблем**: Цей центр усунення неполадок допомагає швидко виявити та вирішити проблеми, пов'язані з конфігурацією або збором даних Defender for Cloud. Він надає керовану діагностику та рішення, щоб забезпечити ефективну роботу платформи.
- **Безпекова Позиція**: Сторінка Безпекової Позиції агрегує ваш загальний статус безпеки в один безпечний бал. Вона надає інформацію про те, які області вашої хмари сильні, а де потрібні покращення, слугуючи швидкою перевіркою здоров'я вашого середовища.
- **Регуляторна Відповідність**: Ця панель оцінює, наскільки добре ваші ресурси відповідають галузевим стандартам та регуляторним вимогам. Вона показує бали відповідності за такими стандартами, як PCI DSS або ISO 27001, допомагаючи вам виявити прогалини та відстежувати виправлення для аудитів.
- **Захист Робочих Навантажень**: Захист Робочих Навантажень зосереджується на забезпеченні безпеки конкретних типів ресурсів (таких як сервери, бази даних та контейнери). Він вказує, які плани Defender активні, та надає спеціалізовані сповіщення та рекомендації для кожного робочого навантаження для покращення їх захисту. Він здатний виявляти шкідливу поведінку в конкретних ресурсах.
- Це також опція **`Enable Microsoft Defender for X`**, яку ви можете знайти в певних службах.
- **Безпека Даних та ШІ (Попередній перегляд)**: У цьому попередньому перегляді Defender for Cloud розширює свій захист на сховища даних та служби ШІ. Він підкреслює прогалини в безпеці та моніторить чутливі дані, забезпечуючи захист як ваших репозиторіїв даних, так і платформ ШІ від загроз.
- **Менеджер Брандмауера**: Менеджер Брандмауера інтегрується з Azure Firewall, щоб надати вам централізований огляд ваших політик безпеки мережі. Він спрощує управління та моніторинг розгортань брандмауера, забезпечуючи послідовне застосування правил безпеки в усіх ваших віртуальних мережах.
- **Безпека DevOps**: Безпека DevOps інтегрується з вашими розробницькими конвеєрами та репозиторіями коду, щоб вбудувати безпеку на ранніх етапах життєвого циклу програмного забезпечення. Вона допомагає виявляти вразливості в коді та конфігураціях, забезпечуючи, щоб безпека була вбудована в процес розробки.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) безперервно **сканує та картографує інтернет-активи вашої організації** — включаючи домени, піддомени, IP-адреси та веб-додатки — щоб надати всебічний, реальний огляд вашого зовнішнього цифрового сліду. Він використовує розширені техніки краулінгу, починаючи з відомих насіннєвих точок, щоб автоматично виявляти як керовані, так і тіньові ІТ-активи, які інакше могли б залишитися прихованими. EASM виявляє **ризиковані конфігурації**, такі як відкриті адміністративні інтерфейси, публічно доступні сховища та служби, вразливі до різних CVE, що дозволяє вашій команді безпеки вирішувати ці проблеми до того, як вони будуть використані.
Більше того, безперервний моніторинг також може показувати **зміни в відкритій інфраструктурі**, порівнюючи різні результати сканування, щоб адміністратор міг бути в курсі кожної зміни.
Надаючи реальні інсайти та детальні інвентаризації активів, Defender EASM надає організаціям можливість **безперервно моніторити та відстежувати зміни у своїй зовнішній експозиції**. Він використовує аналіз на основі ризиків для пріоритизації виявлень на основі серйозності та контекстуальних факторів, забезпечуючи, щоб зусилля з виправлення були зосереджені там, де це найбільш важливо. Цей проактивний підхід не лише допомагає виявляти приховані вразливості, але й підтримує безперервне покращення вашої загальної безпекової позиції, сповіщаючи вас про будь-які нові експозиції, коли вони з'являються.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Моніторинг
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Журнали
В Entra ID доступні 3 типи журналів:
- **Журнали входу**: Журнали входу документують кожну спробу аутентифікації, незалежно від того, чи була вона успішною, чи ні. Вони надають деталі, такі як IP-адреси, місця розташування, інформація про пристрої та застосовані політики умовного доступу, що є важливими для моніторингу активності користувачів та виявлення підозрілої поведінки при вході або потенційних загроз безпеці.
- **Аудиторські журнали**: Аудиторські журнали надають запис усіх змін, внесених у ваше середовище Entra ID. Вони фіксують оновлення користувачів, груп, ролей або політик, наприклад. Ці журнали є життєво важливими для дотримання вимог та розслідувань безпеки, оскільки дозволяють вам переглядати, хто вніс яку зміну і коли.
- **Журнали постачання**: Журнали постачання надають інформацію про користувачів, які були надані у вашому орендарі через сторонній сервіс (такий як локальні каталоги або SaaS-додатки). Ці журнали допомагають вам зрозуміти, як синхронізується інформація про особу.
> [!WARNING]
> Зверніть увагу, що ці журнали зберігаються лише **7 днів** у безкоштовній версії, **30 днів** у версії P1/P2 та 60 додаткових днів у сигналах безпеки для ризикової активності входу. Однак навіть глобальний адміністратор не зможе **змінити або видалити їх раніше**.
## Entra ID - Системи журналів
- **Налаштування діагностики**: Налаштування діагностики визначає список категорій платформних журналів та/або метрик, які ви хочете збирати з ресурсу, та одне або кілька місць призначення, куди ви будете їх транслювати. Нормальні витрати на використання для місця призначення будуть застосовуватися. Дізнайтеся більше про різні категорії журналів та вміст цих журналів.
- **Місця призначення**:
- **Аналітичне середовище**: Розслідування через Azure Log Analytics та створення сповіщень.
- **Обліковий запис зберігання**: Статичний аналіз та резервне копіювання.
- **Хаб подій**: Транслюйте дані до зовнішніх систем, таких як сторонні SIEM.
- **Рішення партнерів з моніторингу**: Спеціальні інтеграції між Azure Monitor та іншими платформами моніторингу, що не є Microsoft.
- **Робочі зошити**: Робочі зошити поєднують текст, запити журналів, метрики та параметри в багатих інтерактивних звітах.
- **Використання та аналітика**: Корисно для перегляду найпоширеніших дій в Entra ID
## Azure Monitor
Це основні функції Azure Monitor:
- **Журнали активності**: Журнали активності Azure фіксують події на рівні підписки та операції управління, надаючи вам огляд змін та дій, вжитих щодо ваших ресурсів.
- **Журнали активності** не можуть бути змінені або видалені.
- **Аналіз змін**: Аналіз змін автоматично виявляє та візуалізує зміни конфігурації та стану ваших ресурсів Azure, щоб допомогти діагностувати проблеми та відстежувати модифікації з часом.
- **Сповіщення**: Сповіщення з Azure Monitor - це автоматизовані повідомлення, які спрацьовують, коли виконуються певні умови або пороги у вашому середовищі Azure.
- **Робочі зошити**: Робочі зошити - це інтерактивні, налаштовувані інформаційні панелі в Azure Monitor, які дозволяють вам поєднувати та візуалізувати дані з різних джерел для всебічного аналізу.
- **Дослідник**: Дослідник допомагає вам заглибитися в дані журналів та сповіщення, щоб провести глибокий аналіз та виявити причину інцидентів.
- **Аналітика**: Аналітика надає аналітичні дані, метрики продуктивності та практичні рекомендації (як у Application Insights або VM Insights), щоб допомогти вам моніторити та оптимізувати здоров'я та ефективність ваших додатків та інфраструктури.
### Робочі простори Log Analytics
Робочі простори Log Analytics - це центральні репозиторії в Azure Monitor, де ви можете **збирати, аналізувати та візуалізувати дані журналів та продуктивності** з ваших ресурсів Azure та локальних середовищ. Ось ключові моменти:
- **Централізоване зберігання даних**: Вони слугують центральним місцем для зберігання діагностичних журналів, метрик продуктивності та користувацьких журналів, створених вашими додатками та сервісами.
- **Потужні можливості запитів**: Ви можете виконувати запити, використовуючи Kusto Query Language (KQL), щоб аналізувати дані, генерувати аналітику та усувати проблеми.
- **Інтеграція з інструментами моніторингу**: Робочі простори Log Analytics інтегруються з різними службами Azure (такими як Azure Monitor, Azure Sentinel та Application Insights), що дозволяє вам створювати інформаційні панелі, налаштовувати сповіщення та отримувати всебічний огляд вашого середовища.
Підсумовуючи, робочий простір Log Analytics є важливим для розширеного моніторингу, усунення неполадок та аналізу безпеки в Azure.
Ви можете налаштувати ресурс для надсилання даних до аналітичного робочого простору з **налаштувань діагностики** ресурсу.
## Перерахування
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

45
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,45 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel - це хмарне **SIEM** (Управління інформацією та подіями безпеки) та **SOAR** (Оркестрація безпеки, автоматизація та реагування) рішення на Azure.
Він агрегує дані безпеки з усієї організації (на місці та в хмарі) в єдину платформу та використовує **вбудовану аналітику та розвідку загроз** для виявлення потенційних загроз​.
Sentinel використовує сервіси Azure, такі як Log Analytics (для масового зберігання та запитів журналів) та Logic Apps (для автоматизованих робочих процесів) це означає, що він може масштабуватися за запитом і інтегруватися з можливостями AI та автоматизації Azure.
По суті, Sentinel збирає та аналізує журнали з різних джерел, **виявляє аномалії або шкідливу діяльність** і дозволяє командам безпеки швидко розслідувати та реагувати на загрози, все через портал Azure без необхідності в інфраструктурі SIEM на місці​.
### Налаштування Microsoft Sentinel
Ви починаєте з увімкнення Sentinel на робочому просторі Azure Log Analytics (робочий простір - це місце, де будуть зберігатися та аналізуватися журнали). Нижче наведені основні кроки для початку:
1. **Увімкніть Microsoft Sentinel на робочому просторі**: У порталі Azure створіть або використайте існуючий робочий простір Log Analytics і додайте до нього Microsoft Sentinel. Це розгортає можливості Sentinel у вашому робочому просторі.
2. **Підключіть джерела даних (Коннектори даних)**: Після увімкнення Sentinel підключіть свої джерела даних за допомогою вбудованих конекторів даних. Незалежно від того, чи це журнали Entra ID, Office 365 або навіть журнали брандмауера, Sentinel починає автоматично вбирати журнали та сповіщення. Це зазвичай робиться шляхом створення діагностичних налаштувань для відправки журналів у використовуваний робочий простір журналів.
3. **Застосуйте аналітичні правила та контент**: Коли дані надходять, увімкніть вбудовані аналітичні правила або створіть власні для виявлення загроз. Використовуйте Content Hub для попередньо упакованих шаблонів правил та робочих книг, які прискорюють ваші можливості виявлення.
4. **(Необов'язково) Налаштуйте автоматизацію**: Налаштуйте автоматизацію за допомогою плейбуків для автоматичного реагування на інциденти — такі як надсилання сповіщень або ізоляція скомпрометованих облікових записів — покращуючи вашу загальну реакцію.
## Основні функції
- **Журнали**: Розділ Журнали відкриває інтерфейс запитів Log Analytics, де ви можете **глибоко зануритися у свої дані, використовуючи Kusto Query Language (KQL)**. Ця область є критично важливою для усунення неполадок, судово-медичної експертизи та створення звітів. Ви можете писати та виконувати запити для фільтрації подій журналів, корелювати дані з різних джерел і навіть створювати власні інформаційні панелі або сповіщення на основі ваших знахідок. Це центр дослідження сирих даних Sentinel.
- **Пошук**: Інструмент Пошук пропонує єдиний інтерфейс для **швидкого знаходження подій безпеки, інцидентів та навіть конкретних записів журналів**. Замість того, щоб вручну переходити через кілька розділів, ви можете ввести ключові слова, IP-адреси або імена користувачів, щоб миттєво отримати всі пов'язані події. Ця функція особливо корисна під час розслідування, коли вам потрібно швидко з'єднати різні частини інформації.
- **Інциденти**: Розділ Інциденти централізує всі **груповані сповіщення в керовані справи**. Sentinel агрегує пов'язані сповіщення в один інцидент, надаючи контекст, такий як серйозність, хронологія та постраждалі ресурси. У межах інциденту ви можете переглядати детальну графіку розслідування, яка відображає зв'язок між сповіщеннями, що полегшує розуміння масштабу та впливу потенційної загрози. Управління інцидентами також включає можливості призначення завдань, оновлення статусів та інтеграції з робочими процесами реагування.
- **Робочі книги**: Робочі книги - це налаштовувані інформаційні панелі та звіти, які допомагають вам **візуалізувати та аналізувати свої дані безпеки**. Вони поєднують різні графіки, таблиці та запити, щоб запропонувати всебічний огляд тенденцій і патернів. Наприклад, ви можете використовувати робочу книгу для відображення хронології активності входу, географічного відображення IP-адрес або частоти конкретних сповіщень з часом. Робочі книги є як попередньо створеними, так і повністю налаштовуваними, щоб відповідати специфічним потребам моніторингу вашої організації.
- **Полювання**: Функція Полювання забезпечує проактивний підхід до **виявлення загроз, які можуть не спрацювати стандартні сповіщення**. Вона постачається з попередньо створеними запитами для полювання, які відповідають таким рамкам, як MITRE ATT&CK, але також дозволяє вам писати власні запити. Цей інструмент ідеально підходить для **просунутих аналітиків, які прагнуть виявити приховані або нові загрози**, досліджуючи історичні та реальні дані, такі як незвичайні мережеві патерни або аномальна поведінка користувачів.
- **Блокноти**: Завдяки інтеграції Блокнотів, Sentinel використовує **Jupyter Notebooks для розширеної аналітики даних та автоматизованих розслідувань**. Ця функція дозволяє вам виконувати код Python безпосередньо проти ваших даних Sentinel, що робить можливим проведення аналізу машинного навчання, створення власних візуалізацій або автоматизацію складних розслідувальних завдань. Це особливо корисно для науковців даних або аналітиків безпеки, які потребують проведення глибокого аналізу за межами стандартних запитів.
- **Поведение сутностей**: Сторінка Поведение сутностей використовує **Аналитику поведінки користувачів та сутностей (UEBA)** для встановлення базових нормальної активності у вашому середовищі. Вона відображає детальні профілі для користувачів, пристроїв та IP-адрес, **підкреслюючи відхилення від типового поведінки**. Наприклад, якщо обліковий запис з низькою активністю раптом демонструє високі обсяги передачі даних, це відхилення буде позначено. Цей інструмент є критично важливим для виявлення внутрішніх загроз або скомпрометованих облікових даних на основі поведінкових аномалій.
- **Розвідка загроз**: Розділ Розвідка загроз дозволяє вам **керувати та корелювати зовнішні індикатори загроз** — такі як шкідливі IP-адреси, URL-адреси або хеші файлів — з вашими внутрішніми даними. Інтегруючись із зовнішніми інформаційними потоками, Sentinel може автоматично позначати події, які відповідають відомим загрозам. Це допомагає вам швидко виявляти та реагувати на атаки, які є частиною більш широких, відомих кампаній, додаючи ще один рівень контексту до ваших сповіщень безпеки.
- **MITRE ATT&CK**: У розділі MITRE ATT&CK Sentinel **відображає ваші дані безпеки та правила виявлення на широко визнаній структурі MITRE ATT&CK**. Цей вигляд допомагає вам зрозуміти, які тактики та техніки спостерігаються у вашому середовищі, виявити потенційні прогалини в покритті та узгодити вашу стратегію виявлення з визнаними патернами атак. Це забезпечує структурований спосіб аналізу того, як противники можуть атакувати ваше середовище, і допомагає пріоритизувати захисні дії.
- **Content Hub**: Content Hub - це централізований репозиторій **попередньо упакованих рішень, включаючи конектори даних, аналітичні правила, робочі книги та плейбуки**. Ці рішення призначені для прискорення вашого розгортання та покращення вашої безпекової позиції, надаючи конфігурації найкращих практик для загальних послуг (таких як Office 365, Entra ID тощо). Ви можете переглядати, встановлювати та оновлювати ці пакети контенту, що полегшує інтеграцію нових технологій у Sentinel без значних ручних налаштувань.
- **Репозиторії**: Функція Репозиторії (в даний час у попередньому перегляді) дозволяє контролювати версії вашого контенту Sentinel. Вона інтегрується з системами контролю версій, такими як GitHub або Azure DevOps, що дозволяє вам **керувати своїми аналітичними правилами, робочими книгами, плейбуками та іншими конфігураціями як кодом**. Цей підхід не тільки покращує управління змінами та співпрацю, але й спрощує повернення до попередніх версій, якщо це необхідно.
- **Управління робочими просторами**: Менеджер робочих просторів Microsoft Sentinel дозволяє користувачам **централізовано керувати кількома робочими просторами Microsoft Sentinel** в одному або кількох тенантах Azure. Центральний робочий простір (з увімкненим менеджером робочих просторів) може консолідувати елементи контенту для публікації в масштабах на членських робочих просторах.
- **Конектори даних**: Сторінка Конектори даних перераховує всі доступні конектори, які приносять дані в Sentinel. Кожен конектор **попередньо налаштований для конкретних джерел даних** (як Microsoft, так і сторонніх) і показує його статус підключення. Налаштування конектора даних зазвичай включає кілька кліків, після чого Sentinel починає вбирати та аналізувати журнали з цього джерела. Ця область є важливою, оскільки якість і широта вашого моніторингу безпеки залежать від діапазону та конфігурації ваших підключених джерел даних.
- **Аналітика**: У розділі Аналітика ви **створюєте та керуєте правилами виявлення, які забезпечують сповіщення Sentinel**. Ці правила по суті є запитами, які виконуються за розкладом (або майже в реальному часі), щоб виявити підозрілі патерни або порушення порогів у ваших даних журналів. Ви можете вибрати з вбудованих шаблонів, наданих Microsoft, або створити власні правила за допомогою KQL. Аналітичні правила визначають, як і коли генеруються сповіщення, що безпосередньо впливає на те, як формуються та пріоритизуються інциденти.
- **Список спостереження**: Список спостереження Microsoft Sentinel дозволяє **збирати дані з зовнішніх джерел даних для кореляції з подіями** у вашому середовищі Microsoft Sentinel. Після створення використовуйте списки спостереження у своєму пошуку, правилах виявлення, полюванні за загрозами, робочих книгах та плейбуках реагування.
- **Автоматизація**: Правила автоматизації дозволяють вам **централізовано керувати всією автоматизацією обробки інцидентів**. Правила автоматизації спрощують використання автоматизації в Microsoft Sentinel і дозволяють вам спростити складні робочі процеси для ваших процесів оркестрації інцидентів.
{{#include ../../../banners/hacktricks-training.md}}