Osvědčené postupy pro službu Microsoft Sentinel

Tato kolekce osvědčených postupů poskytuje pokyny k nasazení, správě a používání služby Microsoft Sentinel, včetně odkazů na další články s dalšími informacemi.

Důležité

Před nasazením služby Microsoft Sentinel si projděte a dokončete aktivity před nasazením a požadavky.

Reference k osvědčeným postupům

Dokumentace ke službě Microsoft Sentinel obsahuje pokyny k osvědčeným postupům, které najdete v našich článcích. Kromě obsahu uvedeného v tomto článku najdete další informace v následujících článcích:

• Správa uživatelé:

  • Aktivity před nasazením a požadavky na nasazení služby Microsoft Sentinel
  • Osvědčené postupy pro architekturu pracovního prostoru služby Microsoft Sentinel
  • Návrh architektury pracovního prostoru služby Microsoft Sentinel
  • Ukázkové návrhy pracovních prostorů služby Microsoft Sentinel
  • Osvědčené postupy pro shromažďování dat
  • Náklady na službu Microsoft Sentinel a fakturace
  • Oprávnění ve službě Microsoft Sentinel
  • Ochrana duševního vlastnictví MSSP ve službě Microsoft Sentinel
  • Integrace analýzy hrozeb ve službě Microsoft Sentinel
  • Obsah a řešení služby Microsoft Sentinel
  • Auditování dotazů a aktivit služby Microsoft Sentinel

• Analytici:

  • Doporučené playbooky
  • Zpracování falešně pozitivních výsledků ve službě Microsoft Sentinel
  • Proaktivní vyhledávání hrozeb s využitím služby Microsoft Sentinel
  • Běžně používané sešity služby Microsoft Sentinel
  • Integrovaná detekce hrozeb
  • Vytváření vlastních analytických pravidel pro detekci hrozeb
  • Proaktivní vyhledávání bezpečnostních hrozeb s využitím aplikace Jupyter Notebook

Další informace najdete také v našem videu: Návrh architektury SecOps pro úspěch: Osvědčené postupy pro nasazení služby Microsoft Sentinel

Pravidelné aktivity SOC, které se mají provádět

Naplánujte si pravidelně následující aktivity služby Microsoft Sentinel, abyste zajistili trvalé osvědčené postupy zabezpečení:

Denní úkoly

• Posouzení a vyšetřování incidentů. Na stránce Incidenty služby Microsoft Sentinel zkontrolujte nové incidenty generované aktuálně nakonfigurovanými analytickými pravidly a začněte vyšetřovat všechny nové incidenty. Další informace najdete v tématu Kurz: Vyšetřování incidentů pomocí služby Microsoft Sentinel.

• Prozkoumejte dotazy a záložky proaktivního vyhledávání. Prozkoumejte výsledky pro všechny předdefinované dotazy a aktualizujte stávající dotazy proaktivního vyhledávání a záložky. Ručně vygenerujte nové incidenty nebo aktualizujte staré incidenty, pokud je to možné. Další informace naleznete v tématu:

  • Automatické vytváření incidentů z výstrah zabezpečení Microsoftu
  • Proaktivní vyhledávání hrozeb s využitím služby Microsoft Sentinel
  • Sledování dat během proaktivního vyhledávání pomocí služby Microsoft Sentinel

• Analytická pravidla. Podle potřeby zkontrolujte a povolte nová analytická pravidla, včetně nově vydaných nebo nově dostupných pravidel z nedávno připojených datových konektorů.

• Datové konektory. Zkontrolujte stav, datum a čas posledního protokolu přijatého z jednotlivých datových konektorů a ujistěte se, že data proudí. Zkontrolujte nové konektory a zkontrolujte příjem dat, abyste se ujistili, že nedošlo k překročení nastavených limitů. Další informace najdete v tématu Osvědčené postupy pro shromažďování dat a Připojení zdrojů dat.

• Agent Log Analytics. Ověřte, že jsou servery a pracovní stanice aktivně připojené k pracovnímu prostoru, a odstraňte potíže se všemi neúspěšnými připojeními. Další informace najdete v tématu Přehled agenta Log Analytics.

• Selhání playbooku. Ověřte stavy spuštění playbooku a vyřešte případné chyby. Další informace najdete v tématu Kurz: Používání playbooků s pravidly automatizace ve službě Microsoft Sentinel.

Týdenní úkoly

• Kontrola obsahu řešení nebo samostatného obsahu Získejte všechny aktualizace obsahu pro vaše nainstalovaná řešení nebo samostatný obsah z centra Obsah. Projděte si nová řešení nebo samostatný obsah, který může být pro vaše prostředí přínosný, jako jsou analytická pravidla, sešity, dotazy proaktivního vyhledávání nebo playbooky.

• Auditování služby Microsoft Sentinel. Projděte si aktivitu služby Microsoft Sentinel a zjistěte, kdo aktualizoval nebo odstranil prostředky, jako jsou analytická pravidla, záložky atd. Další informace najdete v tématu Auditování dotazů a aktivit služby Microsoft Sentinel.

Měsíční úkoly

• Zkontrolujte přístup uživatelů. Zkontrolujte oprávnění uživatelů a vyhledejte neaktivní uživatele. Další informace najdete v tématu Oprávnění ve službě Microsoft Sentinel.

• Kontrola pracovního prostoru služby Log Analytics Zkontrolujte, že zásady uchovávání dat pracovního prostoru služby Log Analytics stále odpovídají zásadám vaší organizace. Další informace najdete v tématech Zásady uchovávání dat a Integrace Azure Data Explorer pro dlouhodobé uchovávání protokolů.

Integrace se službami zabezpečení Microsoftu

Služba Microsoft Sentinel je podporována komponentami, které odesílají data do vašeho pracovního prostoru, a je silnější díky integraci s jinými službami Microsoftu. Všechny protokoly ingestované do produktů, jako jsou Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint a Microsoft Defender for Identity umožňují těmto službám vytvářet detekce a následně je poskytovat Microsoft Sentinel. Protokoly je také možné ingestovat přímo do služby Microsoft Sentinel, abyste měli podrobnější přehled o událostech a incidentech.

Následující obrázek například ukazuje, jak Služba Microsoft Sentinel ingestuje data z jiných služeb Microsoftu a z multicloudových a partnerských platforem za účelem zajištění pokrytí vašeho prostředí:

Více než ingestování upozornění a protokolů z jiných zdrojů služba Microsoft Sentinel také:

• Používá informace, které ingestuje se strojovým učením , které umožňuje lepší korelaci událostí, agregaci výstrah, detekci anomálií a další.
• Sestavuje a prezentuje interaktivní vizuály prostřednictvím sešitů a zobrazuje trendy, související informace a klíčová data, která se používají jak pro úlohy správy, tak pro šetření.
• Spouští playbooky pro práci s výstrahami, shromažďování informací, provádění akcí s položkami a odesílání oznámení na různé platformy.
• Integruje se s partnerskými platformami, jako jsou ServiceNow a Jira, a poskytuje základní služby týmům SOC.
• Ingestuje a načítá informační kanály pro rozšiřování z platforem analýzy hrozeb a přináší cenná data pro prošetřování.

Správa incidentů a reakce na ně

Následující obrázek ukazuje doporučené kroky v procesu správy incidentů a reakce na ně.

Následující části obsahují základní popis toho, jak používat funkce služby Microsoft Sentinel pro správu incidentů a reakce na ně v průběhu celého procesu. Další informace najdete v tématu Kurz: Vyšetřování incidentů pomocí služby Microsoft Sentinel.

Použití stránky Incidenty a grafu Šetření

Jakýkoli proces třídění nových incidentů můžete zahájit na stránce Incidenty služby Microsoft Sentinel ve službě Microsoft Sentinel a v grafu šetření.

Objevte klíčové entity, jako jsou účty, adresy URL, IP adresy, názvy hostitelů, aktivity, časová osa a další. Pomocí těchto dat můžete zjistit, jestli máte k dispozici falešně pozitivní výsledek. V takovém případě můžete incident zavřít přímo.

Všechny vygenerované incidenty se zobrazí na stránce Incidenty , která slouží jako centrální umístění pro posouzení a včasné šetření. Stránka Incidenty obsahuje název, závažnost a související výstrahy, protokoly a všechny entity, které vás zajímají. Incidenty také poskytují rychlý přechod ke shromážděným protokolům a všem nástrojům souvisejícím s incidentem.

Stránka Incidenty spolupracuje s grafem Vyšetřování, interaktivním nástrojem, který uživatelům umožňuje prozkoumat výstrahu a podrobně ji prozkoumat a zobrazit tak celý rozsah útoku. Uživatelé pak mohou vytvořit časovou osu událostí a zjistit rozsah řetězce hrozeb.

Pokud zjistíte, že incident je pravdivě pozitivní, proveďte akci přímo ze stránky Incidenty , abyste prozkoumali protokoly, entity a prozkoumali řetězec hrozeb. Po identifikaci hrozby a vytvoření akčního plánu použijte další nástroje ve službě Microsoft Sentinel a dalších službách zabezpečení Microsoftu a pokračujte ve vyšetřování.

Zpracování incidentů pomocí sešitů

Kromě vizualizace a zobrazení informací a trendů jsou sešity služby Microsoft Sentinel cennými nástroji pro šetření.

Sešit s přehledy šetření můžete například použít k prozkoumání konkrétních incidentů společně s přidruženými entitami a výstrahami. Tento sešit umožňuje podrobněji prozkoumat entity zobrazením souvisejících protokolů, akcí a upozornění.

Zpracování incidentů pomocí proaktivního vyhledávání hrozeb

Při zkoumání a hledání původních příčin spusťte integrované dotazy proaktivního vyhledávání hrozeb a zkontrolujte, jestli ve výsledcích nedochází k ohrožení zabezpečení.

Během vyšetřování nebo po provedení kroků k nápravě a vymýcení hrozby použijte živý stream k monitorování v reálném čase, zda dochází k přetrvávajícím škodlivým událostem nebo jestli škodlivé události stále přetrvávají.

Zpracování incidentů s chováním entit

Chování entit ve službě Microsoft Sentinel umožňuje uživatelům kontrolovat a zkoumat akce a výstrahy pro konkrétní entity, jako je zkoumání účtů a názvů hostitelů. Další informace naleznete v tématu:

• Povolení analýzy chování uživatelů a entit (UEBA) ve službě Microsoft Sentinel
• Zkoumání incidentů s využitím dat UEBA
• Referenční informace k rozšíření UEBA pro Microsoft Sentinel

Zpracování incidentů pomocí zhlédnutí a analýzy hrozeb

Pokud chcete maximalizovat detekce na základě analýzy hrozeb, nezapomeňte použít datové konektory analýzy hrozeb k ingestování indikátorů ohrožení zabezpečení:

• Připojení zdrojů dat vyžadovaných výstrahami Fusion a TI Map
• Ingestování indikátorů z platforem TAXII a TIP

Používejte indikátory ohrožení v analytických pravidlech, při proaktivním vyhledávání hrozeb, zkoumání protokolů nebo generování dalších incidentů.

Použijte seznam ke zhlédnutí, který kombinuje data z přijatých dat a externích zdrojů, jako jsou data o rozšiřování. Můžete například vytvořit seznamy rozsahů IP adres používaných vaší organizací nebo nedávno ukončenými zaměstnanci. Pomocí zhlédnutí s playbooky můžete shromažďovat data o rozšiřování, jako je přidávání škodlivých IP adres do sledovaných seznamů, které se mají používat během detekce, proaktivního vyhledávání hrozeb a vyšetřování.

Během incidentu použijte seznamy ke zhlédnutí, aby obsahovaly údaje o šetření, a po dokončení šetření je odstraňte, abyste zajistili, že citlivá data nezůstanou zobrazená.

Další kroky

Pokud chcete začít se službou Microsoft Sentinel, přečtěte si:

• Na palubě služby Microsoft Sentinel
• Získání přehledu o upozorněních