Průvodce nasazením pro Microsoft Sentinel
Tento článek představuje aktivity, které vám pomůžou naplánovat, nasadit a vyladit nasazení služby Microsoft Sentinel.
Plánování a příprava – přehled
Tato část představuje aktivity a požadavky, které vám pomůžou naplánovat a připravit se před nasazením služby Microsoft Sentinel.
Fáze plánování a přípravy se obvykle provádí architektem SOC nebo souvisejícími rolemi.
| Krok | Detaily |
|---|---|
| 1. Plánování a příprava přehledu a požadavků | Projděte si požadavky na tenanta Azure. |
| 2. Plánování architektury pracovního prostoru | Navrhněte pracovní prostor Microsoft Sentinelu. Zvažte parametry, jako jsou: – Bez ohledu na to, jestli budete používat jednoho tenanta nebo více tenantů – Všechny požadavky na dodržování předpisů, které máte pro shromažďování a ukládání dat – Jak řídit přístup k datům Microsoft Sentinelu Projděte si tyto články: 1. Kontrola osvědčených postupů 2. Návrh architektury pracovního prostoru 3. Kontrola ukázkových návrhů pracovních prostorů 4. Příprava na více pracovních prostorů |
| 3. Stanovení priority datových konektorů | Určete, které zdroje dat potřebujete, a požadavky na velikost dat, které vám pomůžou přesně promítnout rozpočet a časovou osu vašeho nasazení. Tyto informace můžete určit během kontroly obchodního případu použití nebo vyhodnocením aktuálního SIEM, který už máte. Pokud už máte zavedený SIEM, analyzujte svá data, abyste pochopili, které zdroje dat poskytují nejvyšší hodnotu a které by se měly ingestovat do Microsoft Sentinelu. |
| 4. Plánování rolí a oprávnění | Pomocí řízení přístupu na základě role (RBAC) v Azure můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role Azure je možné přiřadit přímo v pracovním prostoru Microsoft Sentinelu nebo v předplatném nebo skupině prostředků, do které pracovní prostor patří, což Microsoft Sentinel dědí. |
| 5. Náklady na plán | Začněte plánovat rozpočet, zvažte dopad na náklady pro každý plánovaný scénář. Ujistěte se, že váš rozpočet pokrývá náklady na příjem dat pro Microsoft Sentinel i Azure Log Analytics, všechny playbooky, které se nasadí atd. |
Přehled nasazení
Fáze nasazení obvykle provádí analytik SOC nebo související role.
| Krok | Detaily |
|---|---|
| 1. Povolení služby Microsoft Sentinel, stavu a auditu a obsahu | Povolte Microsoft Sentinel, povolte funkci stavu a auditu a povolte řešení a obsah, které jste identifikovali podle potřeb vaší organizace. |
| 2. Konfigurace obsahu | Nakonfigurujte různé typy obsahu zabezpečení služby Microsoft Sentinel, který umožňuje detekovat, monitorovat a reagovat na bezpečnostní hrozby ve vašich systémech: datové konektory, analytická pravidla, pravidla automatizace, playbooky, sešity a seznamy ke zhlédnutí. |
| 3. Nastavení architektury mezi pracovními prostory | Pokud vaše prostředí vyžaduje více pracovních prostorů, můžete je teď nastavit jako součást nasazení. V tomto článku se dozvíte, jak nastavit Microsoft Sentinel tak, aby se rozšířil mezi více pracovních prostorů a tenantů. |
| 4. Povolení analýzy chování uživatelů a entit (UEBA) | Povolte a používejte funkci UEBA ke zjednodušení procesu analýzy. |
| 5. Nastavení uchovávání a archivace dat | Nastavte uchovávání a archivaci dat, abyste měli jistotu, že vaše organizace uchovává důležitá data v dlouhodobém horizontu. |
Vyladění a kontrola: Kontrolní seznam pro po nasazení
Projděte si kontrolní seznam po nasazení, abyste se ujistili, že váš proces nasazení funguje podle očekávání a že nasazený obsah zabezpečení funguje a chrání vaši organizaci podle vašich potřeb a případů použití.
Fáze vyladění a kontroly obvykle provádí technik SOC nebo související role.
| Krok | Akce |
|---|---|
| ✅Kontrola incidentů a procesů incidentů | – Zkontrolujte, jestli incidenty a počet incidentů, které vidíte, odpovídají tomu, co se ve vašem prostředí skutečně děje. – Zkontrolujte, jestli proces incidentu SOC pracuje na efektivním zpracování incidentů: Přiřadili jste různé typy incidentů různým vrstvám nebo úrovním SOC? Přečtěte si další informace o tom, jak procházet a zkoumat incidenty a jak pracovat s úkoly incidentů. |
| ✅Kontrola a vyladění analytických pravidel | – Na základě kontroly incidentu zkontrolujte, jestli se vaše analytická pravidla aktivují podle očekávání a jestli tato pravidla odrážejí typy incidentů, které vás zajímají. - Zpracování falešně pozitivních výsledků, buď pomocí automatizace, nebo úpravou pravidel naplánované analýzy – Microsoft Sentinel poskytuje integrované možnosti vyladění, které vám pomůžou analyzovat analytická pravidla. Projděte si tyto integrované přehledy a implementujte relevantní doporučení. |
| ✅Kontrola pravidel automatizace a playbooků | – Podobně jako analytická pravidla zkontrolujte, jestli vaše pravidla automatizace fungují podle očekávání, a promítněte incidenty, které vás zajímají a které vás zajímají. – Zkontrolujte, jestli playbooky reagují na výstrahy a incidenty podle očekávání. |
| ✅Přidání dat do seznamů ke zhlédnutí | Zkontrolujte, jestli jsou vaše seznamy ke zhlédnutí aktuální. Pokud ve vašem prostředí došlo k nějakým změnám, například novým uživatelům nebo případům použití, odpovídajícím způsobem aktualizujte seznamy ke zhlédnutí. |
| ✅Kontrola úrovní závazku | Zkontrolujte úrovně závazku , které jste původně nastavili, a ověřte, že tyto úrovně odpovídají vaší aktuální konfiguraci. |
| ✅Sledování nákladů na příjem dat | Pokud chcete sledovat náklady na příjem dat, použijte jeden z těchto sešitů: – Sešit sestavy využití pracovního prostoru poskytuje statistiku spotřeby dat, nákladů a využití pracovního prostoru. Sešit poskytuje stav příjmu dat pracovního prostoru a množství bezplatných a fakturovatelných dat. Logiku sešitu můžete použít k monitorování příjmu dat a nákladů a k vytváření vlastních zobrazení a upozornění založených na pravidlech. – Sešit Nákladů na Microsoft Sentinel poskytuje přehled o nákladech na Microsoft Sentinel, včetně příjmu a uchovávání dat, dat příjmu dat pro způsobilé zdroje dat, fakturačních údajů Logic Apps a dalších. |
| ✅Vyladění pravidel shromažďování dat (DCR) | – Zkontrolujte, jestli vaše žádosti o přijetí dat odrážejí vaše potřeby příjmu dat a případy použití. – V případě potřeby implementujte transformaci doby příjmu dat, abyste odfiltrovali irelevantní data ještě před tím, než se poprvé uloží do pracovního prostoru. |
| ✅Kontrola analytických pravidel v rámci MITRE | Zkontrolujte pokrytí MITRE na stránce Microsoft Sentinel MITRE: Zobrazte si detekce, které jsou už aktivní ve vašem pracovním prostoru, a ty, které jsou k dispozici ke konfiguraci, abyste porozuměli pokrytí zabezpečení vaší organizace na základě taktik a technik z architektury MITRE ATT&CK®. |
| ✅Vyhledávání podezřelých aktivit | Ujistěte se, že váš SOC má zavedený proces pro proaktivní proaktivní proaktivní vyhledávání hrozeb. Proaktivní vyhledávání je proces, kdy analytici zabezpečení hledají nedetekované hrozby a škodlivé chování. Vytvořením hypotézy, vyhledáváním dat a ověřením této hypotézy určí, co se má chovat. Akce můžou zahrnovat vytváření nových detekcí, nové analýzy hrozeb nebo otáčení nového incidentu. |
Související články
V tomto článku jste si prostudovali aktivity v jednotlivých fázích, které vám pomůžou nasadit Microsoft Sentinel.
V závislosti na fázi, ve které jste, zvolte odpovídající další kroky:
- Plánování a příprava – Požadavky pro nasazení služby Azure Sentinel
- Nasazení – Povolení Microsoft Sentinelu a počátečních funkcí a obsahu
- Vyladění a kontrola – Navigace a vyšetřování incidentů v Microsoft SentinelNavigate a vyšetřování incidentů v Microsoft Sentinelu
Až dokončíte nasazení služby Microsoft Sentinel, pokračujte v prozkoumání možností služby Microsoft Sentinel. Projděte si kurzy, které se týkají běžných úloh:
- Předávání dat Syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta služby Azure Monitor
- Konfigurace zásad uchovávání dat
- Detekce hrozeb pomocí analytických pravidel
- Automatická kontrola a zaznamenání informací o reputaci IP adres v incidentech
- Reakce na hrozby pomocí automatizace
- Extrahování entit incidentu s ne nativní akcí
- Zkoumání pomocí UEBA
- Vytváření a monitorování nulová důvěra (Zero Trust)