Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokyny k osvědčeným postupům najdete v technické dokumentaci pro Microsoft Sentinel. Tento článek popisuje některé klíčové pokyny, které můžete použít při nasazování, správě a používání služby Microsoft Sentinel.
Důležité
Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.
Pokud chcete začít s Microsoft Sentinelem, přečtěte si průvodce nasazením, který popisuje základní kroky pro plánování, nasazení a vyladění nasazení Microsoft Sentinelu. V této příručce vyberte poskytnuté odkazy a vyhledejte podrobné pokyny pro každou fázi nasazení.
Přijetí architektury s jednou platformou
Microsoft Sentinel je integrovaný s moderním datovým jezerem, který nabízí cenově dostupné dlouhodobé úložiště, které týmům umožňuje zjednodušit správu dat, optimalizovat náklady a urychlit přijetí umělé inteligence. Datové jezero Microsoft Sentinelu umožňuje architekturu s jednou platformou pro data zabezpečení a poskytuje analytikům jednotné prostředí dotazů a současně využívá bohatý ekosystém konektorů microsoft Sentinelu. Další informace naleznete v tématu Microsoft Sentinel Data Lake .
Připojení Microsoft Sentinel k portálu Microsoft Defender a integrace s Microsoft Defender XDR
Zvažte začlenění Microsoft Sentinelu do portálu Microsoft Defender, abyste mohli sjednotit možnosti s Microsoft Defender XDR, jako je správa incidentů a pokročilé vyhledávání.
Pokud microsoft Sentinel nepřipojujete na portál Microsoft Defenderu, mějte na paměti, že:
- Do července 2026 budou všichni zákazníci Microsoft Sentinelu používající Azure Portal přesměrováni na portál Defender.
- Do té doby můžete pomocí datového konektoru XDR defenderu integrovat data služby Microsoft Defender s Microsoft Sentinelem na webu Azure Portal.
Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje s Microsoft Sentinelem.
Další informace najdete v následujících článcích:
- Integrace Microsoft Defender XDR se službou Microsoft Sentinel
- Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender
- Microsoft Sentinel na portálu Microsoft Defender
Integrace služeb zabezpečení Microsoftu
Microsoft Sentinel je zmocněn komponentami, které odesílají data do vašeho pracovního prostoru, a je silnější díky integraci s jinými služby Microsoft. Všechny protokoly ingestované do produktů, jako jsou Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint a Microsoft Defender for Identity, umožňují těmto službám vytvářet detekce a následně tyto detekce poskytovat Službě Microsoft Sentinel. Protokoly se dají ingestovat také přímo do Microsoft Sentinelu, aby poskytovaly úplný přehled o událostech a incidentech.
Microsoft Sentinel poskytuje nejen zpracování upozornění a protokolů z jiných zdrojů, ale také více funkcí:
| Schopnost | Description |
|---|---|
| Detekce hrozeb | Funkce detekce hrozeb s umělou inteligencí, které umožňují vytvářet a prezentovat interaktivní vizuály prostřednictvím sešitů, spouštět playbooky, které automaticky pracují s upozorněními, integrují modely strojového učení za účelem vylepšení operací zabezpečení a ingestování a načítání informačních kanálů pro rozšiřování z platforem analýzy hrozeb. |
| Vyšetřování hrozeb | Možnosti prověřování hrozeb umožňují vizualizovat a zkoumat výstrahy a entity, zjišťovat anomálie v chování uživatelů a entit a monitorovat události v reálném čase během vyšetřování. |
| Sběr dat | Shromážděte data napříč všemi uživateli, zařízeními, aplikacemi a infrastrukturou, a to jak místně, tak i v několika cloudech. |
| Reakce na hrozby | Možnosti reakce na hrozby, jako jsou playbooky, které se integrují se službami Azure a vašimi stávajícími nástroji. |
| Integrace partnerů | Integruje se s partnerskými platformami pomocí datových konektorů Microsoft Sentinel a poskytuje základní služby pro týmy SOC. |
Vytváření vlastních řešení integrace (partnerů)
Informace o partnerech, kteří chtějí vytvářet vlastní řešení, která se integrují s Microsoft Sentinelem, najdete v tématu Osvědčené postupy pro partnery, kteří se integrují s Microsoft Sentinelem.
Plánování řízení incidentů a reakce na ně
Následující obrázek ukazuje doporučené kroky v procesu správy incidentů a reakce.
Následující tabulka obsahuje základní úlohy správy incidentů a reakce a související osvědčené postupy. Další informace najdete v tématu Šetření incidentů v Microsoft Sentinelu na webu Azure Portal nebo na portálu Microsoft Defenderu.
| Úkol | Osvědčený postup |
|---|---|
| Stránka Přehled incidentů | Zkontrolujte incident na stránce Incidenty , která obsahuje název, závažnost a související výstrahy, protokoly a všechny zajímavé entity. Můžete také přejít z incidentů do shromážděných protokolů a všech nástrojů souvisejících s incidentem. |
| Použití grafu incidentů | Projděte si graf incidentu a podívejte se na úplný rozsah útoku. Pak můžete vytvořit časovou osu událostí a zjistit rozsah řetězce hrozeb. |
| Kontrola falešně pozitivních incidentů | Data o klíčových entitách, jako jsou účty, adresy URL, IP adresa, názvy hostitelů, aktivity, časová osa, vám pomůžou zjistit, jestli máte falešně pozitivní výsledky, v takovém případě můžete incident zavřít přímo. Pokud zjistíte, že incident je pravdivě pozitivní, proveďte akci přímo ze stránky Incidenty, abyste prozkoumali protokoly , entity a prozkoumali řetěz hrozeb. Po identifikaci hrozby a vytvoření plánu akce použijte další nástroje v Microsoft Sentinelu a dalších bezpečnostních službách Microsoftu a pokračujte v vyšetřování. |
| Vizualizace informací | Podívejte se na řídicí panel přehledu služby Microsoft Sentinel a získejte představu o stavu zabezpečení vaší organizace. Další informace najdete v tématu Vizualizace shromážděných dat. Kromě informací a trendů na stránce s přehledem Microsoft Sentinelu jsou sešity cennými nástroji pro šetření. Pomocí sešitu Přehledy šetření můžete například prošetřit konkrétní incidenty společně se všemi přidruženými entitami a výstrahami. Tento sešit umožňuje hlouběji prozkoumat entity zobrazením souvisejících protokolů, akcí a upozornění. |
| Proaktivní vyhledávání hrozeb | Při zkoumání a hledání původních příčin spusťte integrované dotazy proaktivního vyhledávání hrozeb a zkontrolujte výsledky všech indikátorů ohrožení. Další informace najdete v tématu Proaktivní vyhledávání hrozeb v Microsoft Sentinelu. |
| Použití živého streamu | Během vyšetřování nebo po provedení kroků k nápravě a vymýcení hrozby použijte živý stream. Živý stream umožňuje monitorovat v reálném čase, jestli existují nějaké trvalé škodlivé události, nebo jestli škodlivé události stále pokračují. |
| Chování entit | Chování entit v Microsoft Sentinelu umožňuje uživatelům kontrolovat a zkoumat akce a výstrahy pro konkrétní entity, jako je vyšetřování účtů a názvů hostitelů. Další informace naleznete v tématu: - Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu - Zkoumání incidentů pomocí dat UEBA - Referenční informace k rozšíření UEBA pro Microsoft Sentinel |
| Watchlists | Použijte sledovací seznam, který kombinuje data z přijatých dat a externích zdrojů, například obohacující data. Můžete například vytvořit seznamy rozsahů IP adres používaných vaší organizací nebo nedávno ukončenými zaměstnanci. Můžete použít seznamy sledovaných položek s playbooky ke shromažďování obohacovacích dat, například přidáním škodlivých IP adres do seznamů sledovaných položek, které se využijí při detekci, vyhledávání hrozeb a vyšetřování. Během incidentu použijte seznamy sledování ke sběru dat pro vyšetřování a poté je odstraňte, až vaše šetření skončí, aby citlivá data nezůstala viditelná. Další informace najdete v tématu Seznamy ke zhlédnutí v Microsoft Sentinelu. |
Optimalizace shromažďování a příjmu dat
Projděte si osvědčené postupy shromažďování dat v Microsoft Sentinelu, mezi které patří stanovení priorit datových konektorů, filtrování protokolů a optimalizace příjmu dat.
Zrychlete dotazy v jazyce Kusto Query Language
Projděte si osvědčené postupy dotazovacího jazyka Kusto, které zrychlí vaše dotazy.