Sledování migrace služby Microsoft Sentinel pomocí sešitu

  • Článek

Vzhledem k tomu, že služba Security Operations Center (SOC) vaší organizace zpracovává rostoucí objemy dat, je nezbytné naplánovat a monitorovat stav nasazení. I když můžete sledovat proces migrace pomocí obecných nástrojů, jako je Microsoft Project, Microsoft Excel, Teams nebo Azure DevOps, tyto nástroje nejsou specifické pro sledování migrace SIEM. Abychom vám pomohli se sledováním, poskytujeme ve službě Microsoft Sentinel vyhrazený sešit s názvem Nasazení a migrace služby Microsoft Sentinel.

Sešit vám pomůže:

  • Vizualizace průběhu migrace
  • Nasazení a sledování zdrojů dat
  • Nasazení a monitorování analytických pravidel a incidentů
  • Nasazení a využití sešitů
  • Nasazení a provedení automatizace
  • Nasazení a přizpůsobení analýzy chování uživatelů a entit (U E B A)

Tento článek popisuje, jak sledovat migraci pomocí sešitu Nasazení a migrace služby Microsoft Sentinel , jak přizpůsobit a spravovat sešit a jak používat karty sešitu k nasazení a monitorování datových konektorů, analýz, incidentů, playbooků, pravidel automatizace, U E B A a správy dat. Přečtěte si další informace o tom, jak používat sešity Služby Azure Monitor ve službě Microsoft Sentinel.

Nasazení obsahu sešitu a zobrazení sešitu

  1. V Azure Portal vyberte Microsoft Sentinel a pak vyberte Sešity.
  2. Na panelu hledání vyhledejte migration.
  3. Ve výsledcích hledání vyberte sešit Nasazení a migrace služby Microsoft Sentinel a vyberte Uložit. Microsoft Sentinel nasadí sešit a uloží ho do vašeho prostředí.
  4. Pokud chcete sešit zobrazit, vyberte Otevřít uložený sešit.

Nasazení seznamu ke zhlédnutí

  1. V úložišti GitHub služby Microsoft Sentinel vyberte složku DeploymentandMigration a výběrem možnosti Nasadit do Azure zahajte nasazení šablony v Azure.
  2. Zadejte název skupiny prostředků a pracovního prostoru služby Microsoft Sentinel. Snímek obrazovky s nasazením seznamu ke zhlédnutí do Azure
  3. Vyberte Zkontrolovat a vytvořit.
  4. Po ověření informací vyberte Vytvořit.

Aktualizace seznamu ke zhlédnutí pomocí akcí nasazení a migrace

Tento krok je zásadní pro proces nastavení sledování. Pokud tento krok přeskočíte, nebude sešit zobrazovat položky pro sledování.

Aktualizace seznamu ke zhlédnutí pomocí akcí nasazení a migrace:

  1. V Azure Portal vyberte Microsoft Sentinel a pak vyberte Ke zhlédnutí.
  2. Vyhledejte seznam ke zhlédnutí pomocí aliasu nasazení .
  3. Vyberte seznam ke zhlédnutí a pak vyberte Aktualizovat položky seznamu > ke zhlédnutí upravit položky seznamu ke zhlédnutí v pravém dolním rohu. Snímek obrazovky s aktualizací položek seznamu ke zhlédnutí pomocí akcí nasazení a migrace
  4. Zadejte informace o akcích potřebných pro nasazení a migraci a vyberte Uložit.

Seznam ke zhlédnutí teď můžete zobrazit v sešitu sledování migrace. Zjistěte, jak spravovat seznamy ke zhlédnutí.

Kromě toho může váš tým během procesu nasazení aktualizovat nebo dokončit úkoly. Pokud chcete tyto změny vyřešit, můžete aktualizovat existující akce nebo přidávat nové akce při identifikaci nových případů použití nebo nastavení nových požadavků. Pokud chcete aktualizovat nebo přidat akce, upravte seznam zhlédnutí nasazení , který jste nasadili dříve. Pokud chcete tento proces zjednodušit, vyberte upravit seznam ke zhlédnutí nasazení v levém dolním rohu a otevřete ho přímo ze sešitu.

Zobrazení stavu nasazení

Pokud chcete rychle zobrazit průběh nasazení, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinelmožnost Nasazení a posuňte se dolů a vyhledejte souhrn průběhu. V této oblasti se zobrazuje stav nasazení, včetně následujících informací:

  • Data generování sestav tabulek
  • Počet tabulek, které hlásí data
  • Počet ohlášených protokolů a tabulky, které hlásí data protokolu
  • Počet povolených pravidel vs. nenasazených pravidel
  • Doporučené nasazené sešity
  • Celkový počet nasazených sešitů
  • Celkový počet nasazených playbooků

Nasazení a monitorování datových konektorů

Pokud chcete monitorovat nasazené prostředky a nasazovat nové konektory, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinelmožnost Monitorování datových konektorů>. Zobrazení Monitorování obsahuje následující seznamy:

  • Aktuální trendy příjmu dat
  • Ingestování dat tabulek
  • Kolik dat každá tabulka hlásí
  • Generování sestav koncových bodů pomocí Microsoft Monitoring Agent (MMA)
  • Generování sestav koncových bodů pomocí agenta monitorování Azure (AMA)
  • Generování sestav koncových bodů pomocí agentů MMA i AMA
  • Pravidla shromažďování dat ve skupině prostředků a zařízeních propojených s pravidly
  • Stav datového konektoru (změny a selhání)
  • Protokoly stavu v zadaném časovém rozsahu

Snímek obrazovky s kartou Datové konektory sešitu v zobrazení Monitor

Konfigurace datového konektoru:

  1. Vyberte zobrazení Konfigurovat .
  2. Vyberte tlačítko s názvem konektoru, který chcete nakonfigurovat.
  3. Nakonfigurujte konektor na obrazovce stavu konektoru, která se otevře. Pokud nemůžete najít konektor, který potřebujete, výběrem názvu konektoru otevřete galerii konektorů nebo galerii řešení. Snímek obrazovky se zobrazením Konfigurace sešitu

Nasazení a monitorování analýz a incidentů

Po nahlášení dat v pracovním prostoru teď můžete konfigurovat a monitorovat analytická pravidla. V sešitu Nasazení a migrace služby Microsoft Sentinel vyberte Analýza a zobrazte všechny nasazené šablony a seznamy pravidel. Toto zobrazení ukazuje, která pravidla se aktuálně používají a jak často generují incidenty.

Snímek obrazovky s kartou Analýza sešitu

Pokud potřebujete větší pokrytí, vyberte Zkontrolovat pokrytí MITRE pod tabulkou na levé straně. Pomocí této možnosti můžete definovat, které oblasti mají větší pokrytí a která pravidla se nasadí v jakékoli fázi projektu migrace.

Snímek obrazovky se zobrazením pokrytí MITRE sešitu

Jakmile jsou požadovaná analytická pravidla nasazená a konektor produktu Defender je nakonfigurovaný tak, aby odesílal výstrahy, můžete monitorovat vytváření a četnost incidentů v části Souhrn průběhu nasazení>. Tato oblast zobrazuje metriky týkající se generování upozornění podle produktu, názvu a klasifikace, které označují stav soC a které výstrahy vyžadují největší pozornost. Pokud upozornění generují příliš velký objem, vraťte se na kartu Analýza a upravte logiku.

Snímek obrazovky se souhrnem průběhu na kartě Analýza sešitu

Nasazení a využití sešitů

Pokud chcete vizualizovat informace týkající se příjmu dat a detekce, které služba Microsoft Sentinel provádí, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinelmožnost Sešity. Podobně jako na kartě Datové konektory můžete pomocí zobrazení Monitorování a Konfigurace zobrazit informace o monitorování a konfiguraci.

Tady je několik užitečných úloh, které můžete provádět na kartě Sešity :

  • Pokud chcete zobrazit seznam všech sešitů v prostředí a počet nasazených sešitů, vyberte Monitorovat.

  • Pokud chcete zobrazit konkrétní sešit v sešitu Nasazení a migrace služby Microsoft Sentinel , vyberte sešit a pak vyberte Otevřít vybraný sešit.

    Snímek obrazovky s výběrem sešitu na kartě Sešit

  • Pokud jste ještě nenasadili sešity, vyberte Konfigurovat a zobrazte seznam běžně používaných a doporučených sešitů. Pokud sešit není uvedený, vyberte Přejít do galerie sešitů nebo Přejít do centra obsahu a nasaďte příslušný sešit.

    Snímek obrazovky se zobrazením sešitu na kartě Sešit

Nasazení a monitorování playbooků a pravidel automatizace

Jakmile nakonfigurujete příjem dat, detekce a vizualizace, můžete se podívat na automatizaci. V sešitu Nasazení a migrace služby Microsoft Sentinel vyberte Automatizace , abyste zobrazili nasazené playbooky a zjistili, které playbooky jsou aktuálně připojené k pravidlu automatizace. Pokud existují pravidla automatizace, sešit zvýrazní následující informace týkající se každého pravidla:

  • Name
  • Stav
  • Akce nebo akce pravidla
  • Datum poslední změny pravidla a uživatel, který ho upravil
  • Datum vytvoření pravidla

Pokud chcete zobrazit, nasadit a otestovat automatizaci v aktuální části sešitu, vyberte Nasadit prostředky automatizace v levém dolním rohu.

Seznamte se s funkcemi SOAR služby Microsoft Sentinel pro playbooky a pravidla automatizace.

Snímek obrazovky s kartou Automatizace v sešitu

Nasazení a monitorování U E B A

Vzhledem k tomu, že generování sestav a detekce dat probíhá na úrovni entity, je důležité monitorovat chování a trendy entit. Pokud chcete funkci U E B A povolit ve službě Microsoft Sentinel, vyberte v sešitu Nasazení a migrace služby Microsoft Sentinel možnost UEBA. Tady můžete přizpůsobit časové osy entit pro stránky entit a zobrazit tabulky související s entitami naplněné daty.

Snímek obrazovky sešitu s kartou U E B A

Povolení U E B A:

  1. Nad seznamem tabulek vyberte Povolit UEBA .
  2. Pokud chcete povolit U E B A, vyberte Zapnuto.
  3. Vyberte zdroje dat, které chcete použít ke generování přehledů.
  4. Vyberte Použít.

Po povolení U E B A můžete monitorovat a zajistit, že služba Microsoft Sentinel generuje data U E B A.

Přizpůsobení časové osy:

  1. Nad seznamem tabulek vyberte Přizpůsobit časovou osu entity .
  2. Vytvořte vlastní položku nebo vyberte některou z předefinovaných šablon.
  3. Pokud chcete nasadit šablonu a dokončit průvodce, vyberte Vytvořit.

Přečtěte si další informace o U E B A nebo zjistěte, jak přizpůsobit časovou osu.

Konfigurace a správa životního cyklu dat

Při nasazení nebo migraci do služby Microsoft Sentinel je nezbytné spravovat využití a životní cyklus příchozích protokolů. Pokud s tím chcete pomoct, v sešitu Nasazení a migrace služby Microsoft Sentinel vyberte Správa dat a zobrazte a nakonfigurujte uchovávání a archivaci tabulek.

Snímek obrazovky s kartou Správa dat sešitu

Můžete zobrazit informace týkající se:

  • Tabulky nakonfigurované pro základní příjem protokolů
  • Tabulky nakonfigurované pro příjem dat na úrovni analýzy
  • Tabulky nakonfigurované tak, aby se archivovaly
  • Tabulky výchozího uchovávání pracovních prostorů

Úprava existujících zásad uchovávání informací pro tabulky:

  1. Vyberte zobrazení Výchozí tabulky uchovávání informací .
  2. Vyberte tabulku, kterou chcete upravit, a vyberte Aktualizovat uchovávání informací. Můžete upravit následující informace:
    • Aktuální uchovávání v pracovním prostoru
    • Aktuální uchovávání v archivu
    • Celkový počet dnů, po které budou data v prostředí žít
  3. Upravte hodnotu TotalRetention a nastavte nový celkový počet dní, po který by data měla v prostředí existovat.

Hodnota ArchiveRetention se vypočítá odečtením hodnoty TotalRetention z hodnoty InteractiveRetention . Pokud potřebujete upravit uchovávání pracovního prostoru, změna neovlivní tabulky, které obsahují nakonfigurované archivy, a nedojde ke ztrátě dat. Pokud upravíte hodnotu InteractiveRetention a hodnota TotalRetention se nezmění, Azure Log Analytics upraví uchovávání archivu, aby změnu vykompenzuje.

Pokud dáváte přednost provádění změn v uživatelském rozhraní, výběrem možnosti Aktualizovat uchovávání informací v uživatelském rozhraní otevřete příslušné okno.

Seznamte se se správou životního cyklu dat.

Povolení tipů a pokynů k migraci

Aby vám sešit pomohl s procesem nasazení a migrace, obsahuje tipy, které vysvětlují, jak používat různé karty, a odkazy na příslušné zdroje informací. Tipy vycházejí z dokumentace k migraci služby Microsoft Sentinel a jsou relevantní pro váš aktuální systém SIEM. Pokud chcete povolit tipy a pokyny, nastavte v sešitu Nasazení a migrace služby Microsoft Sentinel v pravém horním rohu možnost Tipy a pokyny k migraci na Ano.

Snímek obrazovky s tipy a pokyny k migraci sešitu

Další kroky

V tomto článku jste zjistili, jak sledovat migraci pomocí sešitu Nasazení a migrace služby Microsoft Sentinel .