Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek představuje aktivity, které vám pomůžou naplánovat, nasadit a vyladit nasazení služby Microsoft Sentinel.
Plánování a příprava – přehled
Tato část představuje aktivity a požadavky, které vám pomůžou naplánovat a připravit se před nasazením služby Microsoft Sentinel.
Fáze plánování a přípravy se obvykle provádí architektem SOC nebo souvisejícími rolemi.
| Krok | Detaily |
|---|---|
| 1. Plánování a příprava přehledu a požadavků | Projděte si požadavky na tenanta Azure. |
| 2. Plánování architektury pracovního prostoru | Navrhněte pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel. Bez ohledu na to, jestli se budete připojovat k portálu Microsoft Defenderu, budete stále potřebovat pracovní prostor služby Log Analytics. Zvažte parametry, jako jsou: – Bez ohledu na to, jestli budete používat jednoho tenanta nebo více tenantů – Všechny požadavky na dodržování předpisů, které máte pro shromažďování a ukládání dat – Jak řídit přístup k datům Microsoft Sentinelu Projděte si tyto články: 1. Návrh architektury pracovního prostoru 3. Kontrola ukázkových návrhů pracovních prostorů 4. Příprava na více pracovních prostorů |
| 3. Stanovení priority datových konektorů | Určete, které zdroje dat potřebujete, a požadavky na velikost dat, které vám pomůžou přesně promítnout rozpočet a časovou osu vašeho nasazení. Tyto informace můžete určit během kontroly obchodního případu použití nebo vyhodnocením aktuálního SIEM, který už máte. Pokud už máte zavedený SIEM, analyzujte svá data, abyste pochopili, které zdroje dat poskytují nejvyšší hodnotu a které by se měly ingestovat do Microsoft Sentinelu. |
| 4. Plánování rolí a oprávnění | Pomocí řízení přístupu na základě role (RBAC) v Azure můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role Azure je možné přiřadit přímo v pracovním prostoru, nebo v předplatném či skupině prostředků, kam pracovní prostor patří a které Microsoft Sentinel dědí. |
| 5. Náklady na plán | Začněte plánovat rozpočet, zvažte dopad na náklady pro každý plánovaný scénář. Ujistěte se, že váš rozpočet pokrývá náklady na příjem dat pro Microsoft Sentinel i Azure Log Analytics, všechny playbooky, které se nasadí atd. |
Přehled nasazení
Fáze nasazení obvykle provádí analytik SOC nebo související role.
| Krok | Detaily |
|---|---|
| 1. Povolte službu Microsoft Sentinel, zdraví, audit a obsah | Povolte Microsoft Sentinel, povolte funkci stavu a auditu a povolte řešení a obsah, které jste identifikovali podle potřeb vaší organizace.
Pokud se chcete připojit k Microsoft Sentinelu pomocí rozhraní API, podívejte se na nejnovější podporovanou verzi Sentinel Onboarding States. |
| 2. Konfigurace obsahu | Nakonfigurujte různé typy obsahu zabezpečení služby Microsoft Sentinel, který umožňuje detekovat, monitorovat a reagovat na bezpečnostní hrozby ve vašich systémech: datové konektory, analytická pravidla, pravidla automatizace, playbooky, sešity a seznamy ke zhlédnutí. |
| 3. Nastavení architektury napříč pracovními prostory | Pokud vaše prostředí vyžaduje více pracovních prostorů, můžete je teď nastavit jako součást nasazení. V tomto článku se dozvíte, jak nastavit Microsoft Sentinel tak, aby se rozšířil mezi více pracovních prostorů a tenantů. |
| 4. Povolení analýzy chování uživatelů a entit (UEBA) | Povolte a používejte funkci UEBA ke zjednodušení procesu analýzy. |
| 5. Konfigurace služby Microsoft Sentinel Data Lake | Nakonfigurujte nastavení interaktivního uchovávání a uchovávání dat, abyste zajistili, že vaše organizace uchovává důležitá dlouhodobá data, využívá datové jezero Microsoft Sentinel k nákladově efektivnímu úložišti, lepší viditelnosti a bezproblémové integraci s pokročilými analytickými nástroji. |
Vyladění a kontrola: Kontrolní seznam pro po nasazení
Projděte si kontrolní seznam po nasazení, abyste se ujistili, že váš proces nasazení funguje podle očekávání a že nasazený obsah zabezpečení funguje a chrání vaši organizaci podle vašich potřeb a případů použití.
Fáze vyladění a kontroly obvykle provádí technik SOC nebo související role.
| Krok | Akce |
|---|---|
| ✅ Přezkoumání incidentů a procesu incidentů | – Zkontrolujte, jestli incidenty a počet incidentů, které vidíte, odpovídají tomu, co se ve vašem prostředí skutečně děje. – Zkontrolujte, jestli proces incidentu SOC pracuje na efektivním zpracování incidentů: Přiřadili jste různé typy incidentů různým vrstvám nebo úrovním SOC? Přečtěte si další informace o tom, jak procházet a zkoumat incidenty a jak pracovat s úkoly incidentů. |
| ✅ Kontrola a vyladění analytických pravidel | – Na základě kontroly incidentu zkontrolujte, jestli se vaše analytická pravidla aktivují podle očekávání a jestli tato pravidla odrážejí typy incidentů, které vás zajímají. - Zpracování falešně pozitivních výsledků, buď pomocí automatizace, nebo úpravou pravidel naplánované analýzy – Microsoft Sentinel poskytuje integrované možnosti vyladění, které vám pomůžou analyzovat analytická pravidla. Projděte si tyto integrované přehledy a implementujte relevantní doporučení. |
| ✅ Přezkoumání pravidel automatizace a playbooků | – Podobně jako u analytických pravidel zkontrolujte, zda vaše automatizační pravidla fungují podle očekávání a odrážejí incidenty, o které se zajímáte a které vás znepokojují. – Zkontrolujte, jestli playbooky reagují na výstrahy a incidenty podle očekávání. |
| ✅ Přidání dat do seznamů ke zhlédnutí | Zkontrolujte, jestli jsou vaše seznamy ke zhlédnutí aktuální. Pokud ve vašem prostředí došlo k nějakým změnám, například novým uživatelům nebo případům použití, odpovídajícím způsobem aktualizujte seznamy ke zhlédnutí. |
| ✅ Přehled stupňů závazku | Zkontrolujte úrovně závazku , které jste původně nastavili, a ověřte, že tyto úrovně odpovídají vaší aktuální konfiguraci. |
| ✅ Sledování nákladů na příjem dat | Pokud chcete sledovat náklady na příjem dat, použijte jeden z těchto sešitů: - Sešit Výkaz o využití pracovního prostoru poskytuje údaje o spotřebě dat, nákladech a statistiky využití pracovního prostoru. Sešit poskytuje stav příjmu dat pracovního prostoru a množství bezplatných a fakturovatelných dat. Logiku sešitu můžete použít k monitorování příjmu dat a nákladů a k vytváření vlastních zobrazení a upozornění založených na pravidlech. – Sešit Nákladů na Microsoft Sentinel poskytuje přehled o nákladech na Microsoft Sentinel, včetně příjmu a uchovávání dat, dat příjmu dat pro způsobilé zdroje dat, fakturačních údajů Logic Apps a dalších. |
| ✅ Doladit pravidla shromažďování dat (DCR) | – Zkontrolujte, jestli vaše DCRs odrážejí vaše potřeby příjmu dat a případy použití. – V případě potřeby implementujte transformaci doby příjmu dat, abyste odfiltrovali irelevantní data ještě před tím, než se poprvé uloží do pracovního prostoru. |
| ✅ Kontrola analytických pravidel v rámci MITRE | Zkontrolujte pokrytí MITRE na stránce Microsoft Sentinel MITRE: Zobrazte si detekce, které jsou už aktivní ve vašem pracovním prostoru, a ty, které jsou k dispozici ke konfiguraci, abyste porozuměli pokrytí zabezpečení vaší organizace na základě taktik a technik z architektury MITRE ATT&CK®. |
| ✅ Vyhledávání podezřelých aktivit | Ujistěte se, že váš SOC má zavedený proces pro proaktivní vyhledávání hrozeb. Proaktivní vyhledávání je proces, kdy analytici zabezpečení hledají nedetekované hrozby a škodlivé chování. Vytvořením hypotézy, prohledáním dat a ověřením této hypotézy určí, na co se zaměřit. Akce můžou zahrnovat vytváření nových detekcí, nové zpravodajství o hrozbách nebo zahájení nového incidentu. |
Související články
V tomto článku jste si prostudovali aktivity v jednotlivých fázích, které vám pomůžou nasadit Microsoft Sentinel.
V závislosti na fázi, ve které jste, zvolte odpovídající další kroky:
- Plánování a příprava – Požadavky pro nasazení služby Azure Sentinel
- Nasazení – Povolení Microsoft Sentinelu a počátečních funkcí a obsahu
- Vyladění a kontrola – Navigace a vyšetřování incidentů v Microsoft Sentinelu
Až dokončíte nasazení služby Microsoft Sentinel, pokračujte v prozkoumání možností služby Microsoft Sentinel. Projděte si kurzy, které se týkají běžných úloh:
- Co je datové jezero Microsoft Sentinel?
- Předávání dat Syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta služby Azure Monitor
- Konfigurace uchovávání na úrovni tabulky
- Detekce hrozeb pomocí analytických pravidel
- Automatická kontrola a zaznamenání informací o reputaci IP adres v incidentech
- Reakce na hrozby pomocí automatizace
- Extrahování entit incidentu s nenativní akcí
- Zkoumání pomocí UEBA
- Budování a monitorování Zero Trust
Projděte si provozní příručku microsoft Sentinelu pro běžné aktivity SOC, které doporučujeme provádět každý den, týdně a měsíčně.