Služba Azure Sentinel je inteligentní analýza bezpečnostních protokolů pro podniky. Díky jejím výkonným nástrojům pro hledání a dotazování najdete bezpečnostní hrozby napříč daty organizace. V tomto článku si ukážeme, jak službu nasadit a jak odhalit hrozby dřív, než způsobí škodu.
Pokud ještě nevíte, co je Azure Sentinel a k čemu by vám mohl být užitečný, určitě si nejprve přečtěte náš článek:
Návod
Poté, co se přihlásíte k portálu Azure, zadejte do vyhledávací lišty Azure Sentinel.
![Na obrázku lze vidět základní pracovní prostor služby Sentinel. Můžeme zde přidat nové pracovní místo Sentinel, vidět ty, co už máme vytvořené, a nebo připojit nový pracovní prostor.](https://studuj.digital/wp-content/uploads/2020/04/1-2-1024x498.png)
Volba pracovního prostoru
Nyní je nutné zvolit pracovní prostor, do kterého se přidá Azure Sentinel, nebo, pokud ještě nemáte žádný prostor vytvořený, klikněte na tlačítko Vytvořit nový pracovní prostor. V případě, že již máte nějaké pracovní prostory vytvořené, ale požadujete nové prostředí, zvolte tlačítko Přidat a poté Vytvořit nový pracovní prostor.
![Na obrázku lze vidět zvolení pracovního prostoru, či vytvoření nového pracovního prostoru](https://studuj.digital/wp-content/uploads/2020/04/2-3-1024x485.png)
Vytvoření pracovního prostoru
Pro vytvoření pracovního prostoru Log Analytics je nutné vybrat předplatné a zvolit či vytvořit skupinu prostředků (kolekce prostředku, které sdílejí stejné oprávnění a zásady). Dále je nutné zadat název pracovního prostoru a oblast, která je pro vás výhodná. Po vyplnění všech polí zvolte Zkontrolovat a vytvořit.
![Zde se vytváří pracovní prostor Log Analytics. Musíme vybrat naše předplatné, skupinu prostředků a nastavit podrobnosti o instancích.](https://studuj.digital/wp-content/uploads/2020/04/3-2-1024x482.png)
Po ověření dat klikněte na tlačítko Vytvořit.
![Zde můžeme vidět shrnutí informací našeho pracovního prostoru. Níže pak máme tlačítko Vytvořit nebo Předchozí.](https://studuj.digital/wp-content/uploads/2020/04/4-3-1024x483.png)
Nyní vyberte pracovní prostor, který chcete použít.
![Zde můžeme vidět záložku zvolení pracovního prostoru, kde můžeme vybrat, který pracovní prostor chceme používat.](https://studuj.digital/wp-content/uploads/2020/04/5-2-1024x485.png)
Nyní jste se úspěšně dostali do Azure Sentinel a můžete využívat jeho služeb.
![Na obrázku můžeme vidět základní prostředí Azure Sentinel. V levém panelu vidíme položky jako Přehled, protokoly nebo např. Novinky z příručky](https://studuj.digital/wp-content/uploads/2020/04/6-2-1024x483.png)
Azure Active Directory
Aby bylo možné využívat služby Azure Sentinel, musíte ho nejdříve připojit ke zdrojům dat. V našem případě se budeme připojovat na AAD (později přidáme i další konektory) – proto vybereme Datové konektory a klikneme na Azure Active Directory.
Po kliknutí se nám zobrazí popis konektoru, jaký je pro něj dostupný počet sešitů, dotazů, či s jakými typy dat pracuje.
![Na obrázku můžeme vidět záložku Datové konektory, zde vypsané jednotlivé datové konektory a jejich pravidla](https://studuj.digital/wp-content/uploads/2020/04/7-1-1024x495.png)
Po kliknutí na Otevřít stránku konektoru se nám otevře stránka konektoru. Zde můžeme vidět podrobnější popis konektoru, součásti, které bude potřebovat, či v sekci Konfigurace můžeme připojit naše data.
Po připojení může chvíli trvat, než dojde k synchronizaci. Po ní se zobrazí v grafu souhrn dat a stav připojení datových typů.
![Zde můžeme vidět detailní popis konektoru, který jsme vybrali v předchozím kroku (AAD). Vidíme zde jeho informace, požadované součástí nebo záložku Konfigurace, kde připojíme svoje data.](https://studuj.digital/wp-content/uploads/2020/04/8-1024x489.png)
V sekci Další postup se vám objeví doporučené sešity a ukázky dotazů. Zde si můžete vybrat z doporučených sešitů. Každý obstarává něco jiného – proto má taky každý konektor sešity jiné.
![Na obrázku je pořád detail konektoru AAD, nyní je rozkliknuta záložka Další postup. Zde se nachází Doporučené sešity a Ukázky dotazů.](https://studuj.digital/wp-content/uploads/2020/04/9-1-1024x489.png)
Nyní jsme si jeden sešit vybrali a můžeme vidět jeho specifikace či zobrazit jeho šablonu.
![Na obrázku lze vidět záložku Pracovní sešity a rozkliknutý sešit Azure AD Sign-in logs - a jeho detailní popis.](https://studuj.digital/wp-content/uploads/2020/04/10-1024x492.png)
Office 365
Nyní si ukážeme propojení dat z Office 365. V levé lište vybereme v sekci konfigurace Datové konektory. Následně nalezneme v seznamu Office 365 a klikneme na Otevřít stránku konektoru.
![Na tomto obrázku můžeme vidět seznam konektorů a rozkliknutý konektor Office365, kde se nachází i jeho krátký popis, stav a poskytovatel.](https://studuj.digital/wp-content/uploads/2020/04/11-1024x495.png)
Dostali jsme se na stránku konektoru. Opět zde vidíme specifikace a opět zde připojíme naše data (v části Konfigurace).
![Na obrázku můžeme vidět detail konektoru Office 365. Lze tu také vidět Požadované součástí a Konfigurace - zde se připojují tenanty.](https://studuj.digital/wp-content/uploads/2020/04/12-1024x500.png)
Kliknutím na Další postup se dostaneme na stránku, kde nalezneme doporučené sešity a ukázky dotazů.
![Zde můžeme vidět rozkliknout záložku Další postup u konektoru Office365. Zde se ukazují 3 doporučené sešity a 2 ukázky dotazů.](https://studuj.digital/wp-content/uploads/2020/05/13-1024x496.png)
Azure Analýza – automatická pravidla
Do Azure analýzy se dostaneme z levé lišty, kliknutím na Analýza. Nás budou zajímat Šablony pravidel – zde můžeme nalézt předvytvořené šablony, které nás upozorní, když se děje něco zvláštního s našimi daty.
Řekněme tedy, že jsme přes konektory připojili naše data z Office 365. Nyní v Šablonách pravidel můžeme nalézt pravidla, která naše data budou zpracovávat.
![Na obrázku je rozkliknutá položka Analýza. Zde je vidět seznam pravidel a je rozkliknuto pravidlo s vysokou závažností.](https://studuj.digital/wp-content/uploads/2020/04/14-1024x498.png)
Např. zde jsme si našli pravidlo Office policy tampering. Kliknutím na něj se nám ukáže několik věcí – jeho popis, závažnost, či s jakými zdroji dat pracuje.
V našem příkladu Sentinel hlídá, jestli někdo nepovolený nepředělává oprávnění.
![Na obrázku lze vidět rozkliknutou položku Analýza a zde jednotlivá pravidla, konkrétně je rozkliknuto pravidlo Office policy tampering](https://studuj.digital/wp-content/uploads/2020/04/15-1024x495.png)
Po kliknutí na Vytvořit pravidlo se dostaneme na stránku, kde můžeme měnit nastavení tohoto pravidla (např. Název či Závažnost).
![Na obrázku vidíme první stránku Průvodcem analytických pravidel. Zde je obecné nastavení pravidla, které chceme vytvořit.](https://studuj.digital/wp-content/uploads/2020/04/16-1024x499.png)
Po konfiguraci našeho pravidla dle našich potřeb se dostaneme na poslední stránku, která nám naše pravidlo rekapituluje. Kliknutím na Vytvořit se pravidlo, jak jistě tušíte, vytvoří.
![Na obrázku lze vidět poslední stránku procesu - přehled podrobností a nastavení našeho pravidla.](https://studuj.digital/wp-content/uploads/2020/04/17-1024x499.png)
Incidenty
Poté, co se poruší některé z pravidel, která jsme nastavili výše v kroku Azure Analýza, vytvoří se Incident. V záložce incidentů nalezneme podrobnosti o jednotlivých incidentech.
Můžeme si všimnout, že náš incident se vytvořil z pravidla Brute force attack against Azure Portal. Záložka incidentů vypadá následovně:
![Na obrázku můžeme vidět rozkliknout záložku Incidenty a v ní položku Brute force attack against Azure Portal s jeím popisem](https://studuj.digital/wp-content/uploads/2020/04/18-1024x500.png)
![Na obrázku můžeme vidět rozkliknout záložku Incidenty a v ní položku Brute force attack against Azure Portal s jeím popisem](https://studuj.digital/wp-content/uploads/2020/04/19-1024x499.png)
Kliknutím na tlačítko Prozkoumat se dostaneme na detail incidentu. Zde vidíme několik věcí – hlavně však mapu útoku. Na té můžeme pozorovat daný incident a různé vazby na něj.
Také si zde všimneme dalších informací o incidentu, jako je např. Časová osa nebo Entity.
![Na obrázku můžeme vidět rozkliknutý incident a všechny informace o něm - jeho závažnost, stav, nebo třeba útokovou mapu.](https://studuj.digital/wp-content/uploads/2020/04/20-1024x495.png)
Když si vpravo rozklikneme lištu, zobrazí se nám další informace. V našem případě jsme rozklikli Entity, abychom viděli, kdo se na porušení podílel, můžeme ale také rozkliknout např. časovou osu, kde se nám detailně ukáže, v jakém časovém rozmezí se porušení stalo.
![Na obrázku můžeme vidět rozkliknutý incident a všechny informace o něm - zde rozkliknuta Entita a lze vidět její podrobnosti](https://studuj.digital/wp-content/uploads/2020/04/Inked21_LI-1024x497.jpg)
Toto je konec našeho návodu, doufáme, že vás zaujal a pomohl vám udělat vaši organizaci bezpečnější.
Chcete vědět více?
Informace o tom, jak Azure Sentinel používat, můžete získat v tomto kurzu nebo na následujících odkazech: