Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I det forrige installationstrin har du aktiveret Microsoft Sentinel, tilstandsovervågning og de påkrævede løsninger. I denne artikel får du mere at vide om, hvordan du konfigurerer de forskellige typer Microsoft Sentinel sikkerhedsindhold, som giver dig mulighed for at registrere, overvåge og reagere på sikkerhedstrusler på tværs af dine systemer. Denne artikel er en del af installationsvejledningen til Microsoft Sentinel.
Konfigurer dit sikkerhedsindhold
| Trin | Beskrivelse |
|---|---|
| Konfigurer dataconnectors | På baggrund af de datakilder, du valgte, da du planlagde din installation, og efter aktivering af de relevante løsninger, kan du nu installere eller konfigurere dine dataconnectors. – Hvis du bruger en eksisterende connector, skal du finde din connector fra denne komplette liste over dataconnectors. – Hvis du opretter en brugerdefineret connector, skal du bruge disse ressourcer. – Hvis du konfigurerer en connector til indfødning af CEF- eller Syslog-logge, skal du gennemse disse indstillinger. |
| Konfigurer analyseregler | Når du har konfigureret Microsoft Sentinel til at indsamle data fra hele organisationen, kan du begynde at bruge analyseregler til at registrere trusler. Vælg de trin, du skal bruge for at konfigurere dine analyseregler: – Opret planlagte regler fra skabeloner eller fra bunden: Opret analyseregler for at hjælpe med at finde trusler og uregelmæssigheder i dit miljø. - Knyt datafelter til objekter: Tilføj eller rediger objekttilknytninger i en analyseregel. - Få vist brugerdefinerede oplysninger i beskeder: Tilføj eller rediger brugerdefinerede oplysninger i en analyseregel. - Tilpas beskedoplysninger: Tilsidesæt standardegenskaberne for beskeder med indhold fra de underliggende forespørgselsresultater. - Eksportér og importér analyseregler: Eksportér dine analyseregler til Azure Resource Manager (ARM)-skabelonfiler, og importér regler fra disse filer. Eksporthandlingen opretter en JSON-fil på din browsers downloadsplacering, som du derefter kan omdøbe, flytte og på anden måde håndtere som enhver anden fil. - Opret regler for nrt-registreringsanalyse i næsten realtid: Opret regler for nærtidsanalyse for opdateret trusselsregistrering klar til brug. Denne type regel er designet til at være meget dynamisk ved at køre forespørgslen med intervaller, der kun er ét minut fra hinanden. - Arbejd med analyseregler for registrering af uregelmæssigheder: Arbejd med indbyggede skabeloner for uregelmæssigheder, der bruger tusindvis af datakilder og millioner af hændelser, eller skift tærskler og parametre for uregelmæssighederne i brugergrænsefladen. - Administrer skabelonversioner for dine planlagte analyseregler: Spor versionerne af dine skabeloner til analyseregler, og gendan aktive regler til eksisterende skabelonversioner, eller opdater dem til nye. - Håndter indtagelsesforsinkelse i planlagte analyseregler: Få mere at vide om, hvordan indtagelsesforsinkelse kan påvirke dine planlagte analyseregler, og hvordan du kan løse dem for at dække disse huller. |
| Konfigurer automatiseringsregler | Opret automatiseringsregler. Definer de udløsere og betingelser, der bestemmer, hvornår din automatiseringsregel kører, de forskellige handlinger, som reglen kan udføre, samt de resterende funktioner og funktioner. |
| Konfigurer playbooks | En playbook er en samling afhjælpningshandlinger, som du kører fra Microsoft Sentinel som en rutine, for at hjælpe med at automatisere og orkestrere din trusselsrespons. Sådan konfigurerer du playbooks: - Gennemse anbefalede playbooks - Opret playbooks ud fra skabeloner: En playbook-skabelon er en færdigbygget, testet og brugsklar arbejdsproces, der kan tilpasses efter dine behov. Skabeloner kan også fungere som reference for bedste praksis, når du udvikler playbooks fra bunden, eller som inspiration til nye automatiseringsscenarier. - Gennemse disse trin for at oprette en playbook |
| Konfigurer projektmapper |
Projektmapper giver et fleksibelt lærred til dataanalyse og oprettelse af omfattende visuelle rapporter i Microsoft Sentinel. Med projektmappeskabeloner kan du hurtigt få indsigt på tværs af dine data, så snart du opretter forbindelse til en datakilde. Sådan konfigurerer du projektmapper: - Gennemse ofte anvendte Microsoft Sentinel projektmapper - Brug eksisterende projektmappeskabeloner, der er tilgængelige sammen med pakkede løsninger - Opret brugerdefinerede projektmapper på tværs af dine data |
| Konfigurer visningslister |
Visningslister giver dig mulighed for at korrelere data fra en datakilde, du angiver, med hændelserne i dit Microsoft Sentinel miljø. Sådan konfigurerer du visningslister: - Opret visningslister - Opret regler for forespørgsler eller registrering med visningslister: Forespørg data i en tabel mod data fra en visningsliste ved at behandle visningslisten som en tabel for joinforbindelser og opslag. Når du opretter en visningsliste, definerer du SearchKey. Søgenøglen er navnet på en kolonne på din visningsliste, som du forventer at bruge som joinforbindelse til andre data eller som et hyppigt objekt for søgninger. |
Næste trin
I denne artikel har du lært, hvordan du konfigurerer de forskellige typer Microsoft Sentinel sikkerhedsindhold.