gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 22:50:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:29:00 +00:00
parent eced584722
commit fb7c624313
3 changed files with 184 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

35
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,35 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud è una soluzione completa di gestione della sicurezza che copre Azure, ambienti on-premises e multi-cloud. È classificata come una Cloud-Native Application Protection Platform (CNAPP), combinando Cloud Security Posture Management (CSPM) e Cloud Workload Protection (CWPP). Il suo scopo è aiutare le organizzazioni a trovare **misconfigurazioni e punti deboli nelle risorse cloud**, rafforzare la postura di sicurezza complessiva e proteggere i carichi di lavoro dalle minacce in evoluzione su Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), configurazioni ibride on-premises e altro ancora.
In termini pratici, Defender for Cloud **valuta continuamente le tue risorse rispetto alle migliori pratiche e agli standard di sicurezza**, fornisce un dashboard unificato per la visibilità e utilizza la rilevazione avanzata delle minacce per avvisarti di attacchi. I principali vantaggi includono una **visione unificata della sicurezza attraverso i cloud**, raccomandazioni attuabili per prevenire violazioni e protezione integrata dalle minacce che può ridurre il rischio di incidenti di sicurezza. Supportando AWS e GCP e altre piattaforme SaaS in modo nativo e utilizzando Azure Arc per i server on-premises, garantisce che tu possa **gestire la sicurezza in un unico posto** per tutti gli ambienti.
### Key Features
- **Recommendations**: Questa sezione presenta un elenco di raccomandazioni di sicurezza attuabili basate su valutazioni continue. Ogni raccomandazione spiega le misconfigurazioni o le vulnerabilità identificate e fornisce passaggi di rimedio, così sai esattamente cosa correggere per migliorare il tuo punteggio di sicurezza.
- **Attack Path Analysis**: Attack Path Analysis mappa visivamente i potenziali percorsi di attacco attraverso le tue risorse cloud. Mostrando come le vulnerabilità si collegano e potrebbero essere sfruttate, ti aiuta a comprendere e interrompere questi percorsi per prevenire violazioni.
- **Security Alerts**: La pagina degli avvisi di sicurezza ti notifica di minacce in tempo reale e attività sospette. Ogni avviso include dettagli come gravità, risorse interessate e azioni raccomandate, assicurando che tu possa rispondere rapidamente a problemi emergenti.
- Le tecniche di rilevamento si basano su **intelligence sulle minacce, analisi comportamentale e rilevamento delle anomalie**.
- È possibile trovare tutti gli avvisi possibili in https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Basandosi sul nome e sulla descrizione, è possibile sapere **cosa sta cercando l'avviso** (per bypassarlo).
- **Inventory**: Nella sezione Inventory, trovi un elenco completo di tutti gli asset monitorati nei tuoi ambienti. Fornisce una visione immediata dello stato di sicurezza di ciascuna risorsa, aiutandoti a individuare rapidamente asset non protetti o a rischio che necessitano di rimedio.
- **Cloud Security Explorer**: Cloud Security Explorer offre un'interfaccia basata su query per cercare e analizzare il tuo ambiente cloud. Ti consente di scoprire rischi di sicurezza nascosti ed esplorare relazioni complesse tra le risorse, migliorando le tue capacità complessive di ricerca delle minacce.
- **Workbooks**: I Workbooks sono report interattivi che visualizzano i tuoi dati di sicurezza. Utilizzando modelli predefiniti o personalizzati, ti aiutano a monitorare le tendenze, tracciare la conformità e rivedere le modifiche nel tuo punteggio di sicurezza nel tempo, rendendo più facili le decisioni di sicurezza basate sui dati.
- **Community**: La sezione Community ti connette con colleghi, forum di esperti e guide alle migliori pratiche. È una risorsa preziosa per apprendere dalle esperienze degli altri, trovare suggerimenti per la risoluzione dei problemi e rimanere aggiornato sugli ultimi sviluppi di Defender for Cloud.
- **Diagnose and Solve Problems**: Questo hub di risoluzione dei problemi ti aiuta a identificare e risolvere rapidamente problemi relativi alla configurazione o alla raccolta dei dati di Defender for Cloud. Fornisce diagnosi guidate e soluzioni per garantire che la piattaforma funzioni in modo efficace.
- **Security Posture**: La pagina della Security Posture aggrega il tuo stato di sicurezza complessivo in un unico punteggio di sicurezza. Fornisce informazioni su quali aree del tuo cloud sono forti e dove sono necessari miglioramenti, fungendo da rapido controllo della salute del tuo ambiente.
- **Regulatory Compliance**: Questo dashboard valuta quanto bene le tue risorse aderiscono agli standard di settore e ai requisiti normativi. Mostra punteggi di conformità rispetto a benchmark come PCI DSS o ISO 27001, aiutandoti a individuare lacune e monitorare il rimedio per le audit.
- **Workload Protections**: Workload Protections si concentra sulla sicurezza di specifici tipi di risorse (come server, database e contenitori). Indica quali piani di Defender sono attivi e fornisce avvisi e raccomandazioni personalizzate per ciascun carico di lavoro per migliorare la loro protezione. È in grado di trovare comportamenti malevoli in risorse specifiche.
- Questa è anche l'opzione per **`Enable Microsoft Defender for X`** che puoi trovare in alcuni servizi.
- **Data and AI Security (Preview)**: In questa sezione di anteprima, Defender for Cloud estende la sua protezione a archivi di dati e servizi AI. Sottolinea le lacune di sicurezza e monitora i dati sensibili, assicurando che sia i tuoi repository di dati che le piattaforme AI siano protetti contro le minacce.
- **Firewall Manager**: Il Firewall Manager si integra con Azure Firewall per darti una visione centralizzata delle tue politiche di sicurezza di rete. Semplifica la gestione e il monitoraggio delle distribuzioni del firewall, garantendo l'applicazione coerente delle regole di sicurezza attraverso le tue reti virtuali.
- **DevOps Security**: DevOps Security si integra con le tue pipeline di sviluppo e i repository di codice per incorporare la sicurezza all'inizio del ciclo di vita del software. Aiuta a identificare vulnerabilità nel codice e nelle configurazioni, assicurando che la sicurezza sia integrata nel processo di sviluppo.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) **scansiona e mappa continuamente gli asset esposti a Internet della tua organizzazione**—inclusi domini, sottodomini, indirizzi IP e applicazioni web—per fornire una visione completa e in tempo reale della tua impronta digitale esterna. Sfrutta tecniche di crawling avanzate, partendo da semi di scoperta noti, per scoprire automaticamente sia gli asset gestiti che quelli shadow IT che altrimenti potrebbero rimanere nascosti. EASM identifica **configurazioni rischiose** come interfacce amministrative esposte, bucket di archiviazione accessibili pubblicamente e servizi vulnerabili a diversi CVE, consentendo al tuo team di sicurezza di affrontare questi problemi prima che vengano sfruttati. Inoltre, il monitoraggio continuo può anche mostrare **cambiamenti nell'infrastruttura esposta** confrontando diversi risultati di scansione, in modo che l'amministratore possa essere a conoscenza di ogni cambiamento effettuato. Fornendo informazioni in tempo reale e inventari dettagliati degli asset, Defender EASM consente alle organizzazioni di **monitorare e tracciare continuamente i cambiamenti nella loro esposizione esterna**. Utilizza un'analisi basata sul rischio per dare priorità ai risultati in base alla gravità e ai fattori contestuali, assicurando che gli sforzi di rimedio siano concentrati dove contano di più. Questo approccio proattivo non solo aiuta a scoprire vulnerabilità nascoste, ma supporta anche il miglioramento continuo della tua postura di sicurezza complessiva avvisandoti di eventuali nuove esposizioni man mano che emergono.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Logs
Ci sono 3 tipi di log disponibili in Entra ID:
- **Sign-in Logs**: I log di accesso documentano ogni tentativo di autenticazione, sia riuscito che fallito. Offrono dettagli come indirizzi IP, posizioni, informazioni sui dispositivi e politiche di accesso condizionale applicate, che sono essenziali per monitorare l'attività degli utenti e rilevare comportamenti di accesso sospetti o potenziali minacce alla sicurezza.
- **Audit Logs**: I log di audit forniscono un record di tutte le modifiche apportate all'interno del tuo ambiente Entra ID. Catturano aggiornamenti a utenti, gruppi, ruoli o politiche, ad esempio. Questi log sono vitali per la conformità e le indagini sulla sicurezza, poiché ti permettono di rivedere chi ha apportato quale modifica e quando.
- **Provisioning Logs**: I log di provisioning forniscono informazioni sugli utenti provisionati nel tuo tenant tramite un servizio di terze parti (come directory on-premises o applicazioni SaaS). Questi log ti aiutano a comprendere come le informazioni sull'identità vengono sincronizzate.
> [!WARNING]
> Nota che questi log sono conservati solo per **7 giorni** nella versione gratuita, **30 giorni** nella versione P1/P2 e 60 giorni aggiuntivi nei segnali di sicurezza per attività di accesso rischiose. Tuttavia, nemmeno un amministratore globale sarebbe in grado di **modificarli o eliminarli prima**.
## Entra ID - Log Systems
- **Diagnostic Settings**: Un'impostazione diagnostica specifica un elenco di categorie di log della piattaforma e/o metriche che desideri raccogliere da una risorsa, e una o più destinazioni a cui desideri trasmetterle. Si applicheranno le normali spese per l'uso della destinazione. Scopri di più sulle diverse categorie di log e sui contenuti di quei log.
- **Destinations**:
- **Analytics Workspace**: Investigazione tramite Azure Log Analytics e creazione di avvisi.
- **Storage account**: Analisi statica e backup.
- **Event hub**: Trasmettere dati a sistemi esterni come SIEM di terze parti.
- **Monitor partner solutions**: Integrazioni speciali tra Azure Monitor e altre piattaforme di monitoraggio non Microsoft.
- **Workbooks**: I workbooks combinano testo, query di log, metriche e parametri in report interattivi ricchi.
- **Usage & Insights**: Utile per vedere le attività più comuni in Entra ID.
## Azure Monitor
Queste sono le principali funzionalità di Azure Monitor:
- **Activity Logs**: I log di attività di Azure catturano eventi a livello di sottoscrizione e operazioni di gestione, fornendoti una panoramica delle modifiche e delle azioni intraprese sulle tue risorse.
- **Activily logs** non possono essere modificati o eliminati.
- **Change Analysis**: L'analisi delle modifiche rileva automaticamente e visualizza le modifiche di configurazione e stato delle tue risorse Azure per aiutarti a diagnosticare problemi e monitorare le modifiche nel tempo.
- **Alerts**: Gli avvisi di Azure Monitor sono notifiche automatiche attivate quando vengono soddisfatte determinate condizioni o soglie nel tuo ambiente Azure.
- **Workbooks**: I workbooks sono dashboard interattive e personalizzabili all'interno di Azure Monitor che ti consentono di combinare e visualizzare dati provenienti da varie fonti per un'analisi completa.
- **Investigator**: Investigator ti aiuta a esaminare i dati di log e gli avvisi per condurre un'analisi approfondita e identificare la causa degli incidenti.
- **Insights**: Gli insights forniscono analisi, metriche di prestazione e raccomandazioni azionabili (come quelle in Application Insights o VM Insights) per aiutarti a monitorare e ottimizzare la salute e l'efficienza delle tue applicazioni e infrastrutture.
### Log Analytics Workspaces
I workspaces di Log Analytics sono repository centrali in Azure Monitor dove puoi **raccogliere, analizzare e visualizzare dati di log e prestazioni** dalle tue risorse Azure e dagli ambienti on-premises. Ecco i punti chiave:
- **Centralized Data Storage**: Servono come posizione centrale per memorizzare log diagnostici, metriche di prestazione e log personalizzati generati dalle tue applicazioni e servizi.
- **Powerful Query Capabilities**: Puoi eseguire query utilizzando il Kusto Query Language (KQL) per analizzare i dati, generare insights e risolvere problemi.
- **Integration with Monitoring Tools**: I workspaces di Log Analytics si integrano con vari servizi Azure (come Azure Monitor, Azure Sentinel e Application Insights) consentendoti di creare dashboard, impostare avvisi e ottenere una visione completa del tuo ambiente.
In sintesi, un workspace di Log Analytics è essenziale per il monitoraggio avanzato, la risoluzione dei problemi e l'analisi della sicurezza in Azure.
Puoi configurare una risorsa per inviare dati a un workspace di analisi dalle **impostazioni diagnostiche** della risorsa.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

45
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,45 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel è una soluzione **SIEM** (Security Information and Event Management) e **SOAR** (Security Orchestration, Automation, and Response) nativa del cloud su Azure.
Aggrega i dati di sicurezza da tutta l'organizzazione (on-premises e cloud) in un'unica piattaforma e utilizza **analisi integrate e intelligence sulle minacce** per identificare potenziali minacce.
Sentinel sfrutta i servizi di Azure come Log Analytics (per l'archiviazione e la query di log massivi) e Logic Apps (per flussi di lavoro automatizzati) questo significa che può scalare su richiesta e integrarsi con le capacità di intelligenza artificiale e automazione di Azure.
In sostanza, Sentinel raccoglie e analizza i log da varie fonti, **rileva anomalie o attività malevole**, e consente ai team di sicurezza di indagare e rispondere rapidamente alle minacce, tutto attraverso il portale di Azure senza necessità di infrastruttura SIEM on-premises.
### Configurazione di Microsoft Sentinel
Inizi abilitando Sentinel su uno spazio di lavoro di Azure Log Analytics (lo spazio di lavoro è dove i log saranno archiviati e analizzati). Di seguito sono riportati i passaggi principali per iniziare:
1. **Abilita Microsoft Sentinel su uno Spazio di Lavoro**: Nel portale di Azure, crea o utilizza uno spazio di lavoro Log Analytics esistente e aggiungi Microsoft Sentinel. Questo distribuisce le capacità di Sentinel al tuo spazio di lavoro.
2. **Collega le Fonti di Dati (Data Connectors)**: Una volta abilitato Sentinel, collega le tue fonti di dati utilizzando i connettori di dati integrati. Che si tratti di log di Entra ID, Office 365 o anche log di firewall, Sentinel inizia a ingerire log e avvisi automaticamente. Questo viene comunemente fatto creando impostazioni diagnostiche per inviare log nello spazio di lavoro dei log in uso.
3. **Applica Regole e Contenuti Analitici**: Con i dati che fluiscono, abilita le regole analitiche integrate o creane di personalizzate per rilevare minacce. Usa il Content Hub per modelli di regole preconfezionati e workbook che avviano le tue capacità di rilevamento.
4. **(Opzionale) Configura l'Automazione**: Imposta l'automazione con playbook per rispondere automaticamente agli incidenti—come inviare avvisi o isolare account compromessi—migliorando la tua risposta complessiva.
## Caratteristiche Principali
- **Log**: La scheda Log apre l'interfaccia di query di Log Analytics, dove puoi immergerti **profondamente nei tuoi dati utilizzando Kusto Query Language (KQL)**. Quest'area è cruciale per la risoluzione dei problemi, l'analisi forense e la reportistica personalizzata. Puoi scrivere ed eseguire query per filtrare eventi di log, correlare dati da diverse fonti e persino creare dashboard o avvisi personalizzati basati sui tuoi risultati. È il centro di esplorazione dei dati grezzi di Sentinel.
- **Ricerca**: Lo strumento di Ricerca offre un'interfaccia unificata per **localizzare rapidamente eventi di sicurezza, incidenti e persino voci di log specifiche**. Piuttosto che navigare manualmente attraverso più schede, puoi digitare parole chiave, indirizzi IP o nomi utente per richiamare istantaneamente tutti gli eventi correlati. Questa funzione è particolarmente utile durante un'indagine quando hai bisogno di collegare rapidamente diversi pezzi di informazione.
- **Incidenti**: La sezione Incidenti centralizza tutti gli **avvisi raggruppati in casi gestibili**. Sentinel aggrega avvisi correlati in un singolo incidente, fornendo contesto come gravità, cronologia e risorse interessate. All'interno di un incidente, puoi visualizzare un grafico di indagine dettagliato che mappa la relazione tra gli avvisi, rendendo più facile comprendere l'ambito e l'impatto di una potenziale minaccia. La gestione degli incidenti include anche opzioni per assegnare compiti, aggiornare stati e integrarsi con flussi di lavoro di risposta.
- **Workbook**: I workbook sono dashboard e report personalizzabili che aiutano a **visualizzare e analizzare i tuoi dati di sicurezza**. Combinano vari grafici, tabelle e query per offrire una visione completa di tendenze e modelli. Ad esempio, potresti utilizzare un workbook per visualizzare una cronologia delle attività di accesso, una mappatura geografica degli indirizzi IP o la frequenza di avvisi specifici nel tempo. I workbook sono sia pre-costruiti che completamente personalizzabili per soddisfare le esigenze di monitoraggio specifiche della tua organizzazione.
- **Hunting**: La funzione Hunting fornisce un approccio proattivo per **trovare minacce che potrebbero non aver attivato avvisi standard**. Viene fornita con query di hunting pre-costruite che si allineano a framework come MITRE ATT&CK, ma consente anche di scrivere query personalizzate. Questo strumento è ideale per **analisti avanzati che cercano di scoprire minacce furtive o emergenti** esplorando dati storici e in tempo reale, come schemi di rete insoliti o comportamenti anomali degli utenti.
- **Notebooks**: Con l'integrazione dei Notebooks, Sentinel sfrutta **Jupyter Notebooks per analisi avanzate dei dati e indagini automatizzate**. Questa funzione consente di eseguire codice Python direttamente sui dati di Sentinel, rendendo possibile eseguire analisi di machine learning, costruire visualizzazioni personalizzate o automatizzare compiti investigativi complessi. È particolarmente utile per scienziati dei dati o analisti di sicurezza che necessitano di condurre analisi approfondite oltre le query standard.
- **Comportamento dell'Entità**: La pagina Comportamento dell'Entità utilizza **User and Entity Behavior Analytics (UEBA)** per stabilire baseline per l'attività normale nel tuo ambiente. Mostra profili dettagliati per utenti, dispositivi e indirizzi IP, **evidenziando le deviazioni dal comportamento tipico**. Ad esempio, se un account normalmente a bassa attività mostra improvvisamente trasferimenti di dati ad alto volume, questa deviazione verrà segnalata. Questo strumento è fondamentale per identificare minacce interne o credenziali compromesse basate su anomalie comportamentali.
- **Intelligence sulle Minacce**: La sezione Intelligence sulle Minacce consente di **gestire e correlare indicatori di minaccia esterni**—come indirizzi IP malevoli, URL o hash di file—con i tuoi dati interni. Integrando feed di intelligence esterni, Sentinel può automaticamente segnalare eventi che corrispondono a minacce note. Questo ti aiuta a rilevare e rispondere rapidamente ad attacchi che fanno parte di campagne più ampie e note, aggiungendo un ulteriore livello di contesto ai tuoi avvisi di sicurezza.
- **MITRE ATT&CK**: Nella scheda MITRE ATT&CK, Sentinel **mappa i tuoi dati di sicurezza e le regole di rilevamento al riconosciuto framework MITRE ATT&CK**. Questa vista ti aiuta a comprendere quali tattiche e tecniche vengono osservate nel tuo ambiente, identificare potenziali lacune nella copertura e allineare la tua strategia di rilevamento con modelli di attacco riconosciuti. Fornisce un modo strutturato per analizzare come gli avversari potrebbero attaccare il tuo ambiente e aiuta a dare priorità alle azioni difensive.
- **Content Hub**: Il Content Hub è un repository centralizzato di **soluzioni preconfezionate, inclusi connettori di dati, regole analitiche, workbook e playbook**. Queste soluzioni sono progettate per accelerare la tua distribuzione e migliorare la tua postura di sicurezza fornendo configurazioni delle migliori pratiche per servizi comuni (come Office 365, Entra ID, ecc.). Puoi sfogliare, installare e aggiornare questi pacchetti di contenuti, rendendo più facile integrare nuove tecnologie in Sentinel senza una configurazione manuale estesa.
- **Repositories**: La funzione Repositories (attualmente in anteprima) consente il controllo delle versioni per i tuoi contenuti di Sentinel. Si integra con sistemi di controllo del codice sorgente come GitHub o Azure DevOps, consentendoti di **gestire le tue regole analitiche, workbook, playbook e altre configurazioni come codice**. Questo approccio non solo migliora la gestione delle modifiche e la collaborazione, ma rende anche più facile tornare a versioni precedenti se necessario.
- **Gestione dello Spazio di Lavoro**: Il gestore dello Spazio di Lavoro di Microsoft Sentinel consente agli utenti di **gestire centralmente più spazi di lavoro Microsoft Sentinel** all'interno di uno o più tenant di Azure. Lo spazio di lavoro centrale (con il gestore dello Spazio di Lavoro abilitato) può consolidare gli elementi di contenuto da pubblicare su larga scala negli spazi di lavoro membri.
- **Data Connectors**: La pagina Data Connectors elenca tutti i connettori disponibili che portano dati in Sentinel. Ogni connettore è **pre-configurato per fonti di dati specifiche** (sia Microsoft che di terze parti) e mostra il suo stato di connessione. Configurare un connettore di dati richiede tipicamente pochi clic, dopo di che Sentinel inizia a ingerire e analizzare i log da quella fonte. Quest'area è vitale perché la qualità e l'ampiezza del tuo monitoraggio della sicurezza dipendono dalla gamma e dalla configurazione delle tue fonti di dati collegate.
- **Analisi**: Nella scheda Analisi, **crei e gestisci le regole di rilevamento che alimentano gli avvisi di Sentinel**. Queste regole sono essenzialmente query che vengono eseguite su un programma (o quasi in tempo reale) per identificare schemi sospetti o violazioni di soglia nei tuoi dati di log. Puoi scegliere tra modelli integrati forniti da Microsoft o creare le tue regole personalizzate utilizzando KQL. Le regole analitiche determinano come e quando vengono generati gli avvisi, influenzando direttamente come vengono formati e prioritizzati gli incidenti.
- **Watchlist**: La watchlist di Microsoft Sentinel consente la **raccolta di dati da fonti di dati esterne per la correlazione con gli eventi** nel tuo ambiente Microsoft Sentinel. Una volta creata, sfrutta le watchlist nella tua ricerca, nelle regole di rilevamento, nel threat hunting, nei workbook e nei playbook di risposta.
- **Automazione**: Le regole di automazione ti consentono di **gestire centralmente tutta l'automazione della gestione degli incidenti**. Le regole di automazione semplificano l'uso dell'automazione in Microsoft Sentinel e ti consentono di semplificare flussi di lavoro complessi per i tuoi processi di orchestrazione degli incidenti.
{{#include ../../../banners/hacktricks-training.md}}