gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 11:07:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:28:57 +00:00
parent ef2a3115e5
commit e6abc54bef
3 changed files with 187 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

38
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,38 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud je sveobuhvatno rešenje za upravljanje bezbednošću koje obuhvata Azure, lokalne i multi-cloud okruženja. Kategorizuje se kao Cloud-Native Application Protection Platform (CNAPP), kombinujući Cloud Security Posture Management (CSPM) i Cloud Workload Protection (CWPP) mogućnosti. Njegova svrha je da pomogne organizacijama da pronađu **nepravilnosti i slabe tačke u cloud resursima**, ojačaju ukupnu bezbednosnu poziciju i zaštite radne opterećenja od evolutivnih pretnji širom Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), hibridnih lokalnih postavki i još mnogo toga.
U praktičnom smislu, Defender for Cloud **neprekidno procenjuje vaše resurse u odnosu na najbolje bezbednosne prakse i standarde**, pruža jedinstveni kontrolni panel za vidljivost i koristi naprednu detekciju pretnji da vas obavesti o napadima. Ključne prednosti uključuju **ujedinjeni pregled bezbednosti širom cloud-a**, akcione preporuke za sprečavanje provale i integrisanu zaštitu od pretnji koja može smanjiti rizik od bezbednosnih incidenata.
Podržavajući AWS i GCP i druge SaaS platforme nativno i koristeći Azure Arc za lokalne servere, osigurava da možete **upravljati bezbednošću na jednom mestu** za sva okruženja.
### Ključne karakteristike
- **Preporuke**: Ovaj odeljak predstavlja listu akcionih bezbednosnih preporuka zasnovanih na kontinuiranim procenama. Svaka preporuka objašnjava identifikovane nepravilnosti ili ranjivosti i pruža korake za otklanjanje, tako da tačno znate šta treba da popravite da biste poboljšali svoj bezbednosni rezultat.
- **Analiza napadnih puteva**: Analiza napadnih puteva vizuelno mapira potencijalne rute napada širom vaših cloud resursa. Pokazujući kako se ranjivosti povezuju i mogu biti iskorišćene, pomaže vam da razumete i prekinete ove puteve kako biste sprečili provale.
- **Bezbednosna upozorenja**: Stranica sa bezbednosnim upozorenjima obaveštava vas o pretnjama u realnom vremenu i sumnjivim aktivnostima. Svako upozorenje uključuje detalje kao što su ozbiljnost, pogođeni resursi i preporučene akcije, osiguravajući da možete brzo reagovati na nove probleme.
- Tehnike detekcije zasnovane su na **obaveštajnim podacima o pretnjama, analitici ponašanja i detekciji anomalija**.
- Moguće je pronaći sve moguće alerte na https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Na osnovu imena i opisa moguće je znati **šta alert traži** (da bi se zaobišao).
- **Inventar**: U odeljku Inventar, nalazite sveobuhvatnu listu svih praćenih sredstava širom vaših okruženja. Pruža pregled bezbednosnog statusa svakog resursa, pomažući vam da brzo uočite nezaštićena ili rizična sredstva koja zahtevaju otklanjanje.
- **Cloud Security Explorer**: Cloud Security Explorer nudi interfejs zasnovan na upitima za pretragu i analizu vašeg cloud okruženja. Omogućava vam da otkrijete skrivene bezbednosne rizike i istražite složene odnose između resursa, poboljšavajući vaše ukupne sposobnosti u potrazi za pretnjama.
- **Radne sveske**: Radne sveske su interaktivni izveštaji koji vizualizuju vaše bezbednosne podatke. Koristeći unapred pripremljene ili prilagođene šablone, pomažu vam da pratite trendove, pratite usklađenost i pregledate promene u vašem bezbednosnom rezultatu tokom vremena, olakšavajući donošenje odluka zasnovanih na podacima.
- **Zajednica**: Odeljak Zajednica povezuje vas sa kolegama, stručnim forumima i vodičima za najbolje prakse. To je dragocen resurs za učenje iz iskustava drugih, pronalaženje saveta za rešavanje problema i praćenje najnovijih dešavanja u vezi sa Defender for Cloud.
- **Dijagnostikovanje i rešavanje problema**: Ovaj centar za rešavanje problema pomaže vam da brzo identifikujete i rešite probleme vezane za konfiguraciju ili prikupljanje podataka Defender for Cloud. Pruža vođene dijagnostike i rešenja kako bi osigurao da platforma efikasno funkcioniše.
- **Bezbednosna pozicija**: Stranica sa bezbednosnom pozicijom agregira vaš ukupni bezbednosni status u jedan bezbednosni rezultat. Pruža uvide u to koji su delovi vašeg clouda jaki i gde su potrebna poboljšanja, služeći kao brza provera zdravlja vašeg okruženja.
- **Regulatorna usklađenost**: Ovaj kontrolni panel procenjuje koliko dobro vaši resursi ispunjavaju industrijske standarde i regulatorne zahteve. Prikazuje rezultate usklađenosti u odnosu na standarde kao što su PCI DSS ili ISO 27001, pomažući vam da identifikujete praznine i pratite otklanjanje za revizije.
- **Zaštita radnog opterećenja**: Zaštita radnog opterećenja fokusira se na osiguranje specifičnih tipova resursa (kao što su serveri, baze podataka i kontejneri). Ukazuje na to koji su Defender planovi aktivni i pruža prilagođena upozorenja i preporuke za svako radno opterećenje kako bi poboljšala njihovu zaštitu. Sposobna je da pronađe zlonamerna ponašanja u specifičnim resursima.
- Ovo je takođe opcija **`Enable Microsoft Defender for X`** koju možete pronaći u određenim uslugama.
- **Bezbednost podataka i AI (Preview)**: U ovom preview odeljku, Defender for Cloud proširuje svoju zaštitu na skladišta podataka i AI usluge. Ističe bezbednosne praznine i prati osetljive podatke, osiguravajući da su i vaši podaci i AI platforme zaštićeni od pretnji.
- **Menadžer vatrozida**: Menadžer vatrozida integriše se sa Azure Firewall-om kako bi vam pružio centralizovani pregled vaših mrežnih bezbednosnih politika. Pojednostavljuje upravljanje i praćenje implementacija vatrozida, osiguravajući doslednu primenu bezbednosnih pravila širom vaših virtuelnih mreža.
- **DevOps bezbednost**: DevOps bezbednost integriše se sa vašim razvojnim cevovodima i repozitorijumima koda kako bi ugradila bezbednost rano u životnom ciklusu softvera. Pomaže u identifikaciji ranjivosti u kodu i konfiguracijama, osiguravajući da je bezbednost ugrađena u proces razvoja.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) neprekidno **skanira i mapira internet-izložena sredstva vaše organizacije**—uključujući domene, poddomene, IP adrese i web aplikacije—kako bi pružio sveobuhvatan, real-time pregled vašeg spoljnog digitalnog otiska. Koristi napredne tehnike pretraživanja, počinjući od poznatih semena otkrivanja, kako bi automatski otkrio i upravljana i shadow IT sredstva koja bi inače ostala skrivena. EASM identifikuje **rizične konfiguracije** kao što su izloženi administrativni interfejsi, javno dostupni skladišni bačvi i usluge ranjive na različite CVE, omogućavajući vašem bezbednosnom timu da reši ove probleme pre nego što budu iskorišćeni.
Štaviše, kontinuirano praćenje može takođe pokazati **promene u izloženoj infrastrukturi** upoređujući različite rezultate skeniranja kako bi administrator bio svestan svake promene koja je izvršena.
Pružajući uvide u realnom vremenu i detaljne inventare sredstava, Defender EASM osnažuje organizacije da **neprekidno prate i prate promene u svojoj spoljašnjoj izloženosti**. Koristi analizu zasnovanu na riziku kako bi prioritizovao nalaze na osnovu ozbiljnosti i kontekstualnih faktora, osiguravajući da su napori za otklanjanje fokusirani tamo gde su najvažniji. Ovaj proaktivan pristup ne samo da pomaže u otkrivanju skrivenih ranjivosti, već takođe podržava kontinuirano poboljšanje vaše ukupne bezbednosne pozicije obaveštavajući vas o svim novim izloženostima kako se pojavljuju.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Logs
Postoje 3 tipa logova dostupnih u Entra ID:
- **Sign-in Logs**: Logovi prijave dokumentuju svaki pokušaj autentifikacije, bilo uspešan ili neuspešan. Oni nude detalje kao što su IP adrese, lokacije, informacije o uređaju i primenjene politike uslovnog pristupa, što je od suštinskog značaja za praćenje aktivnosti korisnika i otkrivanje sumnjivog ponašanja prilikom prijave ili potencijalnih bezbednosnih pretnji.
- **Audit Logs**: Logovi revizije pružaju evidenciju svih promena napravljenih unutar vašeg Entra ID okruženja. Oni beleže ažuriranja korisnika, grupa, uloga ili politika, na primer. Ovi logovi su vitalni za usklađenost i bezbednosne istrage, jer vam omogućavaju da pregledate ko je napravio koju promenu i kada.
- **Provisioning Logs**: Logovi o dodeljivanju pružaju informacije o korisnicima dodeljenim u vašem tenant-u putem treće strane (kao što su lokalni direktorijumi ili SaaS aplikacije). Ovi logovi pomažu vam da razumete kako se informacije o identitetu sinhronizuju.
> [!WARNING]
> Imajte na umu da se ovi logovi čuvaju samo **7 dana** u besplatnoj verziji, **30 dana** u P1/P2 verziji i dodatnih 60 dana u bezbednosnim signalima za rizične aktivnosti prijave. Međutim, čak ni globalni administrator ne bi mogao da **modifikuje ili obriše ih ranije**.
## Entra ID - Log Systems
- **Diagnostic Settings**: Dijagnostička podešavanja definišu listu kategorija platformskih logova i/ili metrika koje želite da prikupite sa resursa, i jedno ili više odredišta na koja ćete ih slati. Normalne naknade za korišćenje odredišta će se primeniti. Saznajte više o različitim kategorijama logova i sadržaju tih logova.
- **Destinations**:
- **Analytics Workspace**: Istraživanje kroz Azure Log Analytics i kreiranje upozorenja.
- **Storage account**: Statistička analiza i backup.
- **Event hub**: Strimovanje podataka u spoljne sisteme kao što su SIEM-ovi trećih strana.
- **Monitor partner solutions**: Specijalne integracije između Azure Monitor-a i drugih platformi za praćenje koje nisu Microsoftove.
- **Workbooks**: Workbooks kombinuju tekst, log upite, metrike i parametre u bogate interaktivne izveštaje.
- **Usage & Insights**: Korisno za pregled najčešćih aktivnosti u Entra ID.
## Azure Monitor
Ovo su glavne karakteristike Azure Monitor-a:
- **Activity Logs**: Azure Activity Logs beleže događaje na nivou pretplate i operacije upravljanja, pružajući vam pregled promena i akcija preduzetih na vašim resursima.
- **Activily logs** ne mogu biti modifikovani ili obrisani.
- **Change Analysis**: Change Analysis automatski otkriva i vizualizuje promene konfiguracije i stanja širom vaših Azure resursa kako bi pomogao u dijagnostikovanju problema i praćenju modifikacija tokom vremena.
- **Alerts**: Upozorenja iz Azure Monitor-a su automatske obaveštenja koja se aktiviraju kada su ispunjeni određeni uslovi ili pragovi u vašem Azure okruženju.
- **Workbooks**: Workbooks su interaktivne, prilagodljive kontrolne table unutar Azure Monitor-a koje vam omogućavaju da kombinujete i vizualizujete podatke iz različitih izvora za sveobuhvatnu analizu.
- **Investigator**: Investigator vam pomaže da detaljno istražite log podatke i upozorenja kako biste sproveli dubinsku analizu i identifikovali uzrok incidenata.
- **Insights**: Insights pružaju analitiku, metrike performansi i akcione preporuke (poput onih u Application Insights ili VM Insights) kako bi vam pomogli da pratite i optimizujete zdravlje i efikasnost vaših aplikacija i infrastrukture.
### Log Analytics Workspaces
Log Analytics radni prostori su centralni repozitorijumi u Azure Monitor-u gde možete **prikupiti, analizirati i vizualizovati log i podatke o performansama** iz vaših Azure resursa i lokalnih okruženja. Evo ključnih tačaka:
- **Centralized Data Storage**: Oni služe kao centralna lokacija za skladištenje dijagnostičkih logova, metrika performansi i prilagođenih logova koje generišu vaše aplikacije i usluge.
- **Powerful Query Capabilities**: Možete pokretati upite koristeći Kusto Query Language (KQL) za analizu podataka, generisanje uvida i rešavanje problema.
- **Integration with Monitoring Tools**: Log Analytics radni prostori se integrišu sa raznim Azure uslugama (kao što su Azure Monitor, Azure Sentinel i Application Insights) omogućavajući vam da kreirate kontrolne table, postavljate upozorenja i dobijete sveobuhvatan pregled vašeg okruženja.
Ukratko, Log Analytics radni prostor je od suštinskog značaja za napredno praćenje, rešavanje problema i analizu bezbednosti u Azure.
Možete konfigurisati resurs da šalje podatke u analitički radni prostor iz **dijagnostičkih podešavanja** resursa.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

45
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,45 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel je cloud-native **SIEM** (Security Information and Event Management) i **SOAR** (Security Orchestration, Automation, and Response) rešenje na Azure-u.
Agregira bezbednosne podatke iz cele organizacije (na lokaciji i u oblaku) u jedinstvenu platformu i koristi **ugrađene analitike i obaveštajne podatke o pretnjama** za identifikaciju potencijalnih pretnji.
Sentinel koristi Azure usluge kao što su Log Analytics (za masovno skladištenje i upit logova) i Logic Apps (za automatizovane radne tokove) to znači da može da se skalira po potrebi i integriše sa Azure-ovim AI i automatizovanim mogućnostima.
U suštini, Sentinel prikuplja i analizira logove iz različitih izvora, **otkriva anomalije ili zlonamerne aktivnosti**, i omogućava bezbednosnim timovima da brzo istraže i reaguju na pretnje, sve kroz Azure portal bez potrebe za lokalnom SIEM infrastrukturom.
### Microsoft Sentinel Konfiguracija
Počinjete tako što omogućavate Sentinel na Azure Log Analytics radnom prostoru (radni prostor je mesto gde će logovi biti skladišteni i analizirani). U nastavku su visoko nivo koraci za početak:
1. **Omogućite Microsoft Sentinel na radnom prostoru**: U Azure portalu, kreirajte ili koristite postojeći Log Analytics radni prostor i dodajte Microsoft Sentinel. Ovo implementira Sentinel-ove mogućnosti u vaš radni prostor.
2. **Povežite izvore podataka (Data Connectors)**: Kada je Sentinel omogućen, povežite svoje izvore podataka koristeći ugrađene konektore podataka. Bilo da su to Entra ID logovi, Office 365, ili čak logovi vatrozida, Sentinel počinje automatski da unosi logove i upozorenja. Ovo se obično radi kreiranjem dijagnostičkih podešavanja za slanje logova u korišćeni radni prostor.
3. **Primena analitičkih pravila i sadržaja**: Sa podacima koji pristižu, omogućite ugrađena analitička pravila ili kreirajte prilagođena da otkrijete pretnje. Koristite Content Hub za unapred pripremljene šablone pravila i radne sveske koje ubrzavaju vaše sposobnosti detekcije.
4. **(Opcionalno) Konfigurišite automatizaciju**: Postavite automatizaciju sa playbook-ovima da automatski reaguju na incidente—kao što su slanje upozorenja ili izolovanje kompromitovanih naloga—poboljšavajući vašu ukupnu reakciju.
## Glavne karakteristike
- **Logovi**: Odeljak Logovi otvara interfejs za upit Log Analytics, gde možete **duboko istraživati svoje podatke koristeći Kusto Query Language (KQL)**. Ova oblast je ključna za rešavanje problema, forenzičku analizu i prilagođeno izveštavanje. Možete pisati i izvršavati upite za filtriranje log događaja, korelaciju podataka iz različitih izvora, pa čak i kreirati prilagođene nadzorne table ili upozorenja na osnovu vaših nalaza. To je centar za istraživanje sirovih podataka Sentinela.
- **Pretraga**: Alat za pretragu nudi jedinstveni interfejs za **brzo lociranje bezbednosnih događaja, incidenata i čak specifičnih log unosa**. Umesto da ručno navigirate kroz više odeljaka, možete ukucati ključne reči, IP adrese ili korisnička imena da odmah prikupite sve povezane događaje. Ova funkcija je posebno korisna tokom istrage kada treba brzo povezati različite delove informacija.
- **Incidenti**: Odeljak Incidenti centralizuje sve **grupisane alarme u upravljive slučajeve**. Sentinel agregira povezane alarme u jedan incident, pružajući kontekst kao što su ozbiljnost, vremenska linija i pogođeni resursi. Unutar incidenta, možete videti detaljnu grafiku istrage koja mapira odnos između alarma, olakšavajući razumevanje obima i uticaja potencijalne pretnje. Upravljanje incidentima takođe uključuje opcije za dodeljivanje zadataka, ažuriranje statusa i integraciju sa radnim tokovima odgovora.
- **Radne sveske**: Radne sveske su prilagodljive nadzorne table i izveštaji koji vam pomažu da **vizualizujete i analizirate svoje bezbednosne podatke**. Kombinuju različite grafikone, tabele i upite kako bi ponudili sveobuhvatan pregled trendova i obrazaca. Na primer, možete koristiti radnu svesku za prikaz vremenske linije aktivnosti prijavljivanja, geografske mape IP adresa ili učestalosti specifičnih upozorenja tokom vremena. Radne sveske su i unapred izgrađene i potpuno prilagodljive kako bi odgovarale specifičnim potrebama praćenja vaše organizacije.
- **Lov**: Funkcija Lov pruža proaktivan pristup **pronalasku pretnji koje možda nisu aktivirale standardna upozorenja**. Dolazi sa unapred pripremljenim upitima za lov koji se usklađuju sa okvirima kao što je MITRE ATT&CK, ali takođe vam omogućava da pišete prilagođene upite. Ovaj alat je idealan za **napredne analitičare koji žele da otkriju skrivene ili nove pretnje** istražujući istorijske i podatke u realnom vremenu, kao što su neobični obrasci mrežnog saobraćaja ili anomalno ponašanje korisnika.
- **Sveske**: Sa integracijom Svesaka, Sentinel koristi **Jupyter Sveske za naprednu analizu podataka i automatizovane istrage**. Ova funkcija vam omogućava da direktno izvršavate Python kod protiv vaših Sentinel podataka, omogućavajući vam da vršite analize mašinskog učenja, kreirate prilagođene vizualizacije ili automatizujete složene istražne zadatke. Posebno je korisna za naučnike podataka ili bezbednosne analitičare koji treba da sprovedu dubinske analize izvan standardnih upita.
- **Ponašanje entiteta**: Stranica Ponašanje entiteta koristi **User and Entity Behavior Analytics (UEBA)** za uspostavljanje osnovnih linija za normalnu aktivnost u vašem okruženju. Prikazuje detaljne profile za korisnike, uređaje i IP adrese, **ističući odstupanja od tipičnog ponašanja**. Na primer, ako nalog koji obično ima nisku aktivnost iznenada pokazuje visoke prenose podataka, ovo odstupanje će biti označeno. Ovaj alat je ključan za identifikaciju unutrašnjih pretnji ili kompromitovanih akreditiva na osnovu ponašajnih anomalija.
- **Obaveštajni podaci o pretnjama**: Odeljak Obaveštajni podaci o pretnjama omogućava vam da **upravljate i korelirate spoljne indikatore pretnji**—kao što su zlonamerne IP adrese, URL-ovi ili heševi datoteka—sa vašim internim podacima. Integracijom sa spoljnim izvorima obaveštajnih podataka, Sentinel može automatski označiti događaje koji se podudaraju sa poznatim pretnjama. Ovo vam pomaže da brzo otkrijete i reagujete na napade koji su deo šire poznatih kampanja, dodajući još jedan sloj konteksta vašim bezbednosnim upozorenjima.
- **MITRE ATT&CK**: U odeljku MITRE ATT&CK, Sentinel **mapira vaše bezbednosne podatke i pravila detekcije na široko priznati MITRE ATT&CK okvir**. Ovaj prikaz vam pomaže da razumete koje taktike i tehnike se posmatraju u vašem okruženju, identifikujete potencijalne praznine u pokrivenosti i uskladite svoju strategiju detekcije sa prepoznatim obrascima napada. Pruža strukturiran način analize kako bi protivnici mogli napadati vaše okruženje i pomaže u prioritetizaciji odbrambenih akcija.
- **Content Hub**: Content Hub je centralizovani repozitorijum **unapred pripremljenih rešenja, uključujući konektore podataka, analitička pravila, radne sveske i playbook-ove**. Ova rešenja su dizajnirana da ubrzaju vašu implementaciju i poboljšaju vašu bezbednosnu poziciju pružajući najbolje prakse konfiguracije za uobičajene usluge (kao što su Office 365, Entra ID, itd.). Možete pregledati, instalirati i ažurirati ove sadržajne pakete, olakšavajući integraciju novih tehnologija u Sentinel bez opsežnog ručnog podešavanja.
- **Repozitorijumi**: Funkcija Repozitorijumi (trenutno u pregledu) omogućava kontrolu verzija za vaš Sentinel sadržaj. Integrira se sa sistemima kontrole verzija kao što su GitHub ili Azure DevOps, omogućavajući vam da **upravljate svojim analitičkim pravilima, radnim sveskama, playbook-ovima i drugim konfiguracijama kao kodom**. Ovaj pristup ne samo da poboljšava upravljanje promenama i saradnju, već takođe olakšava vraćanje na prethodne verzije ako je to potrebno.
- **Upravljanje radnim prostorima**: Microsoft Sentinel-ov menadžer radnog prostora omogućava korisnicima da **centralno upravljaju više Microsoft Sentinel radnih prostora** unutar jednog ili više Azure tenanta. Centralni radni prostor (sa omogućеним menadžerom radnog prostora) može konsolidovati sadržajne stavke koje će biti objavljene na velikoj skali u članovskim radnim prostorima.
- **Konektori podataka**: Stranica Konektori podataka prikazuje sve dostupne konektore koji unose podatke u Sentinel. Svaki konektor je **prekonfiguran za specifične izvore podataka** (i Microsoft i treće strane) i prikazuje svoj status veze. Postavljanje konektora podataka obično uključuje nekoliko klikova, nakon čega Sentinel počinje da unosi i analizira logove iz tog izvora. Ova oblast je vitalna jer kvalitet i opseg vašeg bezbednosnog nadzora zavise od opsega i konfiguracije vaših povezanih izvora podataka.
- **Analitika**: U odeljku Analitika, **kreirate i upravljate pravilima detekcije koja pokreću Sentinel-ovo upozoravanje**. Ova pravila su u suštini upiti koji se izvršavaju po rasporedu (ili skoro u realnom vremenu) kako bi identifikovali sumnjive obrasce ili prekoračenja praga u vašim log podacima. Možete birati između ugrađenih šablona koje pruža Microsoft ili kreirati svoja prilagođena pravila koristeći KQL. Analitička pravila određuju kako i kada se generišu upozorenja, direktno utičući na to kako se formiraju i prioritetizuju incidenti.
- **Watchlist**: Microsoft Sentinel watchlist omogućava **prikupljanje podataka iz spoljnih izvora podataka za korelaciju sa događajima** u vašem Microsoft Sentinel okruženju. Kada se kreira, koristite watchlists u vašoj pretrazi, pravilima detekcije, lovu na pretnje, radnim sveskama i playbook-ovima za odgovor.
- **Automatizacija**: Pravila automatizacije omogućavaju vam da **centralno upravljate svom automatizacijom obrade incidenata**. Pravila automatizacije pojednostavljuju korišćenje automatizacije u Microsoft Sentinel-u i omogućavaju vam da pojednostavite složene radne tokove za vaše procese orkestracije incidenata.
{{#include ../../../banners/hacktricks-training.md}}