Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel introduceres de aktiviteter, der hjælper dig med at planlægge, udrulle og finjustere din Microsoft Sentinel udrulning.
Planlæg og forbered oversigt
I dette afsnit introduceres de aktiviteter og forudsætninger, der hjælper dig med at planlægge og forberede dig, før du udruller Microsoft Sentinel.
Plan- og forberedelsesfasen udføres typisk af en SOC-arkitekt eller relaterede roller.
| Trin | Detaljer |
|---|---|
| 1. Planlæg og forbered oversigt og forudsætninger | Gennemse de Azure lejerforudsætningerne. |
| 2. Planlæg arbejdsområdearkitektur | Design dit Log Analytics-arbejdsområde, der er aktiveret til Microsoft Sentinel. Uanset om du onboarder til Microsoft Defender portalen, skal du stadig bruge et Log Analytics-arbejdsområde. Overvej parametre som f.eks.: – Uanset om du bruger en enkelt lejer eller flere lejere – Eventuelle krav til overholdelse af angivne standarder for indsamling og lagring af data - Sådan styrer du adgangen til Microsoft Sentinel data Gennemse disse artikler: 1. Design arbejdsområdearkitektur 3. Gennemse design af eksempelarbejdsområder 4. Forbered flere arbejdsområder |
| 3. Prioriter dataconnectors | Find ud af, hvilke datakilder du har brug for, og kravene til datastørrelsen for at hjælpe dig med præcist at projektere din udrulnings budget og tidslinje. Du kan bestemme disse oplysninger under gennemgangen af din virksomheds use case eller ved at evaluere en aktuel SIEM, som du allerede har på plads. Hvis du allerede har en SIEM på plads, skal du analysere dine data for at forstå, hvilke datakilder der giver mest værdi og skal indtages i Microsoft Sentinel. |
| 4. Planlæg roller og tilladelser | Brug Azure rollebaseret adgangskontrol til at oprette og tildele roller i sikkerhedsteamet for at give passende adgang til Microsoft Sentinel. De forskellige roller giver dig detaljeret kontrol over, hvad Microsoft Sentinel brugere kan se og gøre. Azure roller kan tildeles direkte i arbejdsområdet eller i et abonnement eller i en ressourcegruppe, som arbejdsområdet tilhører, hvilket Microsoft Sentinel nedarver. |
| 5. Planlæg omkostninger | Begynd at planlægge dit budget med hensyntagen til omkostningskonsekvenser for hvert planlagt scenarie. Sørg for, at dit budget dækker omkostningerne ved dataindtagelse for både Microsoft Sentinel og Azure Log Analytics, eventuelle playbooks, der udrulles osv. |
Oversigt over installation
Udrulningsfasen udføres typisk af en SOC-analytiker eller relaterede roller.
| Trin | Detaljer |
|---|---|
| 1. Aktivér Microsoft Sentinel, tilstand, overvågning og indhold | Aktivér Microsoft Sentinel, aktivér tilstands- og overvågningsfunktionen, og aktivér de løsninger og det indhold, du har identificeret i henhold til organisationens behov.
Hvis du vil onboarde til Microsoft Sentinel ved hjælp af API'en, skal du se den nyeste understøttede version af Sentinel Onboarding States. |
| 2. Konfigurer indhold | Konfigurer de forskellige typer Microsoft Sentinel sikkerhedsindhold, som giver dig mulighed for at registrere, overvåge og reagere på sikkerhedstrusler på tværs af dine systemer: dataconnectors, analyseregler, automatiseringsregler, playbooks, projektmapper og visningslister. |
| 3. Konfigurer en arkitektur på tværs af arbejdsområder | Hvis dit miljø kræver flere arbejdsområder, kan du nu konfigurere dem som en del af udrulningen. I denne artikel får du mere at vide om, hvordan du konfigurerer Microsoft Sentinel til at udvide på tværs af flere arbejdsområder og lejere. |
| 4. Aktivér UEBA (User and Entity Behavior Analytics) | Aktivér og brug UEBA-funktionen til at strømline analyseprocessen. |
| 5. Konfigurer Microsoft Sentinel datasø | Konfigurer indstillinger for interaktiv dataopbevaring og dataopbevaring for at sikre, at din organisation bevarer vigtige langsigtede data og udnytter den Microsoft Sentinel datasø til omkostningseffektiv lagring, forbedret synlighed og problemfri integration med avancerede analyseværktøjer. |
Finjuster og gennemse: Tjekliste til efterudrulning
Gennemse tjeklisten efter udrulningen for at sikre, at udrulningsprocessen fungerer som forventet, og at det sikkerhedsindhold, du udrullede, fungerer og beskytter din organisation i henhold til dine behov og use cases.
Finjusterings- og gennemgangsfasen udføres typisk af en SOC-tekniker eller relaterede roller.
| Trin | Handlinger |
|---|---|
| ✅ Gennemse hændelser og hændelsesproces | – Kontrollér, om hændelserne og antallet af hændelser, du ser, afspejler, hvad der rent faktisk sker i dit miljø. – Kontrollér, om din SOC-hændelsesproces fungerer til effektivt at håndtere hændelser: Har du tildelt forskellige typer hændelser til forskellige lag/niveauer i SOC? Få mere at vide om, hvordan du navigerer og undersøger hændelser, og hvordan du arbejder med hændelsesopgaver. |
| ✅ Gennemse og finjuster analyseregler | – På baggrund af din gennemgang af hændelser skal du kontrollere, om dine analyseregler udløses som forventet, og om reglerne afspejler de typer hændelser, du er interesseret i. - Håndter falske positiver enten ved hjælp af automatisering eller ved at ændre planlagte analyseregler. – Microsoft Sentinel indeholder indbyggede finjusteringsfunktioner, der kan hjælpe dig med at analysere dine analyseregler. Gennemse disse indbyggede indsigter, og implementer relevante anbefalinger. |
| ✅ Gennemse automatiseringsregler og -strategibøger | – På samme måde som med analyseregler skal du kontrollere, at dine automatiseringsregler fungerer som forventet, og afspejle de hændelser, du er bekymret for og er interesseret i. – Kontrollér, om dine playbooks svarer på beskeder og hændelser som forventet. |
| ✅ Føj data til visningslister | Kontrollér, at dine visningslister er opdaterede. Hvis der er foretaget ændringer i dit miljø, f.eks. nye brugere eller use cases, skal du opdatere dine visningslister i overensstemmelse hermed. |
| ✅ Gennemse forpligtelsesniveauer | Gennemse de forpligtelsesniveauer , du konfigurerede indledningsvist, og kontrollér, at disse niveauer afspejler din aktuelle konfiguration. |
| ✅ Hold styr på indtagelsesomkostninger | Hvis du vil holde styr på omkostningerne ved indtagelse, skal du bruge en af disse projektmapper: – Projektmappen Anvendelsesrapport for arbejdsområdet indeholder dataforbrug, omkostninger og forbrugsstatistikker for dit arbejdsområde. Projektmappen giver arbejdsområdets dataindtagelsesstatus og mængden af gratis og fakturerbare data. Du kan bruge projektmappelogikken til at overvåge dataindtagelse og -omkostninger og til at oprette brugerdefinerede visninger og regelbaserede beskeder. – Projektmappen Microsoft Sentinel Omkostninger giver et mere fokuseret overblik over Microsoft Sentinel omkostninger, herunder data om indtagelse og opbevaring, data om indtagelse for berettigede datakilder, Faktureringsoplysninger for Logic Apps og meget mere. |
| ✅ Finjuster regler for dataindsamling (DCR'er) | – Kontrollér, at dine DCR'er afspejler dine behov for dataindtagelse og use cases. – Implementer om nødvendigt transformation af indtagelsestid for at filtrere irrelevante data fra, før de først gemmes i dit arbejdsområde. |
| ✅ Kontrollér analyseregler i forhold til MITRE-strukturen | Kontrollér din MITRE-dækning på siden Microsoft Sentinel MITRE: Se de registreringer, der allerede er aktive i dit arbejdsområde, og dem, du kan konfigurere, så du kan forstå din organisations sikkerhedsdækning, baseret på taktikker og teknikker fra MITRE ATT&CK-strukturen®. |
| ✅ Jagt efter mistænkelig aktivitet | Sørg for, at din SOC har en proces på plads til proaktiv trusselsjagt. Jagt er en proces, hvor sikkerhedsanalytikere opsøger uopdagede trusler og ondsindet adfærd. Ved at oprette en hypotese, søge efter data og validere denne hypotese bestemmer de, hvad der skal reageres på. Handlinger kan omfatte oprettelse af nye opdagelser, ny trusselsintelligens eller oprettelse af en ny hændelse. |
Relaterede artikler
I denne artikel har du gennemset aktiviteterne i hver af de faser, der hjælper dig med at udrulle Microsoft Sentinel.
Afhængigt af hvilken fase du er i, skal du vælge de relevante næste trin:
- Planlæg og forbered – forudsætninger for installation af Azure Sentinel
- Installér – aktivér Microsoft Sentinel og indledende funktioner og indhold
- Finjuster og gennemse – Naviger, og undersøg hændelser i Microsoft Sentinel
Når du er færdig med udrulningen af Microsoft Sentinel, kan du fortsætte med at udforske Microsoft Sentinel funktioner ved at gennemgå selvstudier, der dækker almindelige opgaver:
- Hvad er Microsoft Sentinel datasø?
- Videresend Syslog-data til et Log Analytics-arbejdsområde med Microsoft Sentinel ved hjælp af Azure overvågningsagent
- Konfigurer opbevaring på tabelniveau
- Registrer trusler ved hjælp af analyseregler
- Kontrollér og registrer automatisk oplysninger om IP-adresses omdømme i hændelser
- Reager på trusler ved hjælp af automatisering
- Udtræk hændelsesenheder med ikke-oprindelig handling
- Undersøg med UEBA
- Byg og overvåg Zero Trust
Gennemse Microsoft Sentinel driftsvejledning for de almindelige SOC-aktiviteter, som vi anbefaler, at du udfører dagligt, ugentligt og månedligt.