Sledování migrace Microsoft Sentinelu pomocí sešitu

Vzhledem k tomu, že služba Security Operations Center (SOC) vaší organizace zpracovává rostoucí objemy dat, je nezbytné naplánovat a monitorovat stav nasazení. I když můžete proces migrace sledovat pomocí obecných nástrojů, jako jsou Microsoft Project, Microsoft Excel, Teams nebo Azure DevOps, tyto nástroje nejsou specifické pro sledování migrace SIEM. Abychom vám pomohli se sledováním, poskytujeme vyhrazený sešit v Microsoft Sentinelu s názvem Nasazení a migrace Microsoft Sentinelu.

Sešit vám pomůže:

  • Vizualizace průběhu migrace
  • Nasazení a sledování zdrojů dat
  • Nasazení a monitorování analytických pravidel a incidentů
  • Nasazení a využití sešitů
  • Nasazení a provádění automatizace
  • Nasazení a přizpůsobení analýzy chování uživatelů a entit (U E B A)

Tento článek popisuje, jak sledovat migraci pomocí sešitu Nasazení a migrace microsoft Sentinelu , jak přizpůsobit a spravovat sešit a jak pomocí karet sešitu nasazovat a monitorovat datové konektory, analýzy, incidenty, playbooky, pravidla automatizace, U E B A a správu dat. Přečtěte si další informace o tom, jak používat sešity Azure Monitoru v Microsoft Sentinelu.

Nasazení obsahu sešitu a zobrazení sešitu

  1. V Azure Portal vyberte Microsoft Sentinel a pak vyberte Sešity.
  2. Na panelu hledání vyhledejte migration.
  3. Ve výsledcích hledání vyberte sešit Nasazení a migrace služby Microsoft Sentinel a vyberte Uložit. Microsoft Sentinel nasadí sešit a uloží sešit ve vašem prostředí.
  4. Pokud chcete sešit zobrazit, vyberte Otevřít uložený sešit.

Nasazení seznamu ke zhlédnutí

  1. V úložišti Microsoft Sentinel GitHub vyberte složku DeploymentandMigration a výběrem možnosti Nasadit do Azure zahajte nasazení šablony v Azure.
  2. Zadejte skupinu prostředků a název pracovního prostoru služby Microsoft Sentinel. Snímek obrazovky nasazení seznamu ke zhlédnutí do Azure
  3. Vyberte Zkontrolovat a vytvořit.
  4. Po ověření informací vyberte Vytvořit.

Aktualizace seznamu ke zhlédnutí pomocí akcí nasazení a migrace

Tento krok je zásadní pro proces nastavení sledování. Pokud tento krok přeskočíte, sešit neodráží položky pro sledování.

Aktualizace seznamu ke zhlédnutí pomocí akcí nasazení a migrace:

  1. V Azure Portal vyberte Microsoft Sentinel a pak vyberte Seznam ke zhlédnutí.
  2. Vyhledejte seznam ke zhlédnutí s aliasem nasazení .
  3. Vyberte seznam ke zhlédnutí a pak vyberte Aktualizovat seznam ke zhlédnutí > a upravte položky seznamu ke zhlédnutí v pravém dolním rohu. Snímek obrazovky s aktualizací položek seznamu ke zhlédnutí pomocí akcí nasazení a migrace
  4. Zadejte informace o akcích potřebných pro nasazení a migraci a vyberte Uložit.

Seznam ke zhlédnutí teď můžete zobrazit v sešitu sledování migrace. Zjistěte, jak spravovat seznamy ke zhlédnutí.

Kromě toho může váš tým během procesu nasazení aktualizovat nebo dokončit úkoly. Pokud chcete tyto změny vyřešit, můžete aktualizovat existující akce nebo přidat nové akce při identifikaci nových případů použití nebo nastavit nové požadavky. Pokud chcete aktualizovat nebo přidat akce, upravte seznam ke zhlédnutí nasazení , který jste nasadili dříve. Pokud chcete proces zjednodušit, vyberte Upravit seznam ke zhlédnutí v levém dolním rohu a otevřete seznam ke zhlédnutí přímo ze sešitu.

Zobrazení stavu nasazení

Pokud chcete rychle zobrazit průběh nasazení, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinel možnost Nasazení a posuňte se dolů a vyhledejte souhrn průběhu. Tato oblast zobrazuje stav nasazení, včetně následujících informací:

  • Tabulky sestav dat
  • Počet tabulek vykazovaných dat
  • Počet nahlášených protokolů a tabulky sestavy dat protokolu
  • Počet povolených pravidel oproti nenasazeným pravidlům
  • Doporučené sešity nasazené
  • Celkový počet nasazených sešitů
  • Celkový počet nasazených playbooků

Nasazení a monitorování datových konektorů

Pokud chcete monitorovat nasazené prostředky a nasazovat nové konektory, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinelmonitorování datových konektorů>. Seznamy zobrazení Monitorování :

  • Aktuální trendy příjmu dat
  • Tabulky ingestující data
  • Kolik dat každá tabulka hlásí
  • Vytváření sestav koncových bodů pomocí agenta Microsoft Monitoring Agent (MMA)
  • Vytváření sestav koncových bodů pomocí agenta monitorování Azure (AMA)
  • Vytváření sestav koncových bodů s agenty MMA i AMA
  • Pravidla shromažďování dat ve skupině prostředků a zařízení propojená s pravidly
  • Stav datového konektoru (změny a selhání)
  • Protokoly stavu v zadaném časovém rozsahu

Snímek obrazovky s kartou Monitorování datových konektorů sešitu

Konfigurace datového konektoru:

  1. Vyberte zobrazení Konfigurovat .
  2. Vyberte tlačítko s názvem konektoru, který chcete nakonfigurovat.
  3. Nakonfigurujte konektor na obrazovce stavu konektoru, která se otevře. Pokud nemůžete najít konektor, který potřebujete, vyberte název konektoru a otevřete galerii konektorů nebo galerii řešení. Snímek obrazovky s zobrazením Konfigurace sešitu

Nasazení a monitorování analýz a incidentů

Po nahlášení dat v pracovním prostoru teď můžete nakonfigurovat a monitorovat analytická pravidla. V sešitu Nasazení a migrace služby Microsoft Sentinel vyberte Analytics a zobrazte všechny nasazené šablony a seznamy pravidel. Toto zobrazení označuje, která pravidla se aktuálně používají a jak často pravidla generují incidenty.

Snímek obrazovky s kartou Analýza sešitu

Pokud potřebujete další pokrytí, vyberte zkontrolovat pokrytí MITRE pod tabulkou na levé straně. Tuto možnost použijte k definování oblastí, které získají větší pokrytí a která pravidla se nasazují v libovolné fázi projektu migrace.

Snímek obrazovky se zobrazením pokrytí MITRE sešitu

Jakmile se nasadí požadovaná analytická pravidla a konektor produktu Defender se nakonfiguruje tak, aby odesílal výstrahy, můžete monitorovat vytváření a frekvenci incidentů v části Souhrn průběhu nasazení>. Tato oblast zobrazuje metriky týkající se generování výstrah podle produktu, názvu a klasifikace, které označují stav SOC a které výstrahy vyžadují největší pozornost. Pokud upozornění generují příliš mnoho svazků, vraťte se na kartu Analýza a upravte logiku.

Snímek obrazovky se souhrnem průběhu na kartě Analýza sešitu

Nasazení a využití sešitů

Pokud chcete vizualizovat informace týkající se příjmu a zjišťování dat, které Microsoft Sentinel provádí, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinelsešity. Podobně jako na kartě Datové konektory můžete pomocí zobrazení Monitorování a Konfigurace zobrazit informace o monitorování a konfiguraci.

Tady je několik užitečných úloh, které můžete provádět na kartě Sešity :

  • Pokud chcete zobrazit seznam všech sešitů v prostředí a kolik sešitů se nasadí, vyberte Sledovat.

  • Pokud chcete zobrazit konkrétní sešit v rámci sešitu nasazení a migrace služby Microsoft Sentinel , vyberte sešit a pak vyberte Otevřít vybraný sešit.

    Snímek obrazovky s výběrem sešitu na kartě Sešit

  • Pokud jste sešity ještě nenasadili, vyberte Konfigurovat , abyste zobrazili seznam běžně používaných a doporučených sešitů. Pokud sešit není uvedený, vyberte Přejít do galerie sešitů nebo Přejděte do centra obsahu a nasaďte příslušný sešit.

    Snímek obrazovky se zobrazením sešitu na kartě Sešit

Nasazení a monitorování playbooků a pravidel automatizace

Jakmile nakonfigurujete příjem dat, detekce a vizualizace, můžete se teď podívat na automatizaci. V sešitu Nasazení a migrace služby Microsoft Sentinel vyberte Automation , abyste zobrazili nasazené playbooky a zjistili, které playbooky jsou aktuálně připojené k pravidlu automatizace. Pokud existují pravidla automatizace, sešit zvýrazní následující informace týkající se každého pravidla:

  • Name
  • Stav
  • Akce nebo akce pravidla
  • Datum poslední změny pravidla a uživatel, který pravidlo změnil
  • Datum vytvoření pravidla

Pokud chcete zobrazit, nasadit a otestovat automatizaci v aktuální části sešitu, vyberte Nasadit prostředky automatizace v levém dolním rohu.

Seznamte se s funkcemi SOAR služby Microsoft Sentinel pro playbooky a pravidla automatizace.

Snímek obrazovky s kartou Automation sešitu

Nasazení a monitorování U E B A

Vzhledem k tomu, že k vytváření sestav a detekcím dat dochází na úrovni entity, je nezbytné monitorovat chování a trendy entit. Pokud chcete povolit funkci U E B A v Microsoft Sentinelu, vyberte v sešitu nasazení a migrace služby Microsoft SentinelUEBA. Tady můžete přizpůsobit časové osy entit pro stránky entit a zobrazit, které tabulky související s entitami jsou naplněny daty.

Snímek obrazovky s kartou U E A sešitu

Povolení U E B A:

  1. Vyberte Povolit UEBA nad seznamem tabulek.
  2. Pokud chcete povolit U E B A, vyberte Zapnuto.
  3. Vyberte zdroje dat, které chcete použít k vygenerování přehledů.
  4. Vyberte Použít.

Po povolení U E B A můžete monitorovat a zajistit, že Microsoft Sentinel generuje data U E B A.

Přizpůsobení časové osy:

  1. Vyberte Přizpůsobit časovou osu entity nad seznamem tabulek.
  2. Vytvořte vlastní položku nebo vyberte některou z šablon, které jsou před sebou.
  3. Pokud chcete šablonu nasadit a dokončit průvodce, vyberte Vytvořit.

Přečtěte si další informace o U E B A nebo zjistěte, jak přizpůsobit časovou osu.

Konfigurace a správa životního cyklu dat

Když nasadíte nebo migrujete do Služby Microsoft Sentinel, je nezbytné spravovat využití a životní cyklus příchozích protokolů. Pokud chcete pomoct s tím, vyberte v sešitu nasazení a migrace služby Microsoft SentinelSpráva dat a zobrazte a nakonfigurujte uchovávání a archivaci tabulek.

Snímek obrazovky s kartou Správa dat sešitu

Můžete zobrazit informace týkající se:

  • Tabulky nakonfigurované pro základní příjem protokolů
  • Tabulky nakonfigurované pro příjem vrstvy analýzy
  • Tabulky nakonfigurované tak, aby se archivovaly
  • Tabulky ve výchozím uchovávání pracovních prostorů

Úprava stávajících zásad uchovávání informací pro tabulky:

  1. Vyberte výchozí zobrazení tabulek uchovávání informací .
  2. Vyberte tabulku, kterou chcete upravit, a vyberte Aktualizovat uchovávání informací. Můžete upravit následující informace:
    • Aktuální uchovávání v pracovním prostoru
    • Aktuální uchovávání v archivu
    • Celkový počet dnů, po které budou data v prostředí žít
  3. Upravte hodnotu TotalRetention a nastavte nový celkový počet dnů, po které by data měla existovat v rámci prostředí.

Hodnota ArchiveRetention se vypočítá odečtením hodnoty TotalRetention z hodnoty InteractiveRetention . Pokud potřebujete upravit uchovávání pracovních prostorů, změna nemá vliv na tabulky, které obsahují nakonfigurované archivy a data se neztratí. Pokud upravíte hodnotu InteractiveRetention a hodnota TotalRetention se nezmění, Azure Log Analytics upraví uchovávání archivu tak, aby tuto změnu nahradila.

Pokud chcete v uživatelském rozhraní provádět změny, otevřete příslušné okno výběrem možnosti Aktualizovat uchovávání informací v uživatelském rozhraní .

Seznamte se se správou životního cyklu dat.

Povolení tipů a pokynů pro migraci

Aby sešit pomohl s procesem nasazení a migrace, obsahuje tipy, které vysvětlují, jak používat různé karty a odkazy na relevantní zdroje. Tipy jsou založené na dokumentaci k migraci služby Microsoft Sentinel a jsou relevantní pro váš aktuální siEM. Pokud chcete povolit tipy a pokyny, nastavte v sešitu nasazení a migrace služby Microsoft Sentinel v pravém horním rohu popisy migrace a instrukce na ano.

Snímek obrazovky s tipy a pokyny k migraci sešitu

Další kroky

V tomto článku jste zjistili, jak sledovat migraci pomocí sešitu nasazení a migrace služby Microsoft Sentinel .