Nachverfolgen der Microsoft Sentinel-Migration mit einer Arbeitsmappe
Während das Security Operations Center (SOC) Ihrer Organisation wachsende Datenmengen verarbeitet, ist es von entscheidender Bedeutung, Ihren Bereitstellungsstatus zu planen und zu überwachen. Sie können Ihren Migrationsprozess mit allgemeinen Tools wie Microsoft Project, Microsoft Excel, Microsoft Teams oder Azure DevOps nachverfolgen. Diese Tools sind jedoch nicht auf die Migrationsnachverfolgung für Security Information & Event Management (SIEM) ausgelegt. Um Ihnen bei der Nachverfolgung zu helfen, bieten wir in Microsoft Sentinel eine dedizierte Arbeitsmappe mit dem Namen Microsoft Sentinel-Bereitstellung und -Migration.
Mit dieser Arbeitsmappe können Sie Folgendes tun:
- Den Migrationsprozess visualisieren
- Datenquellen bereitstellen und nachverfolgen
- Analyseregeln und Incidents bereitstellen und überwachen
- Arbeitsmappen bereitstellen und nutzen
- Automatisierungen bereitstellen und durchführen
- User and Entity Behavior Analytics (UEBA) bereitstellen und anpassen
In diesem Artikel wird beschrieben, wie Sie Ihre Migration mit der Arbeitsmappe Microsoft Sentinel Deployment and Migration nachverfolgen, die Arbeitsmappe anpassen und verwalten und wie Sie die Registerkarten der Arbeitsmappe zum Bereitstellen und Überwachen von Datenconnectors, Analysen, Incidents, Playbooks, Automatisierungsregeln, UEBA und der Datenverwaltung verwenden können. Hier erfahren Sie mehr über die Verwendung von Azure Monitor-Arbeitsmappen in Microsoft Sentinel.
Bereitstellen des Arbeitsmappeninhalts und Anzeigen der Arbeitsmappe
Um die Arbeitsmappe abzurufen, installieren Sie zuerst das eigenständige Element aus dem Content Hub in Microsoft Sentinel.
Filtern Sie im Microsoft Sentinel Content Hub den Inhalt, aufgeführt nach Inhaltstyp = Arbeitsmappen, und geben Sie dann Migration in die Suchleiste ein.
Wählen Sie in den Suchergebnissen die Arbeitsmappe Microsoft Sentinel Deployment and Migration aus, und wählen Sie dann Installieren aus. Microsoft Sentinel stellt die Arbeitsmappe bereit und speichert die Arbeitsmappe in Ihrer Umgebung.
Wählen Sie in Microsoft Sentinel unter Berohungsmanagement die Optionen Arbeitsmappen>Vorlagen aus.
Wählen Sie die Arbeitsmappe Microsoft Sentinel-Bereitstellung und -Migration und dann Vorlage anzeigen aus.
Bereitstellen der Watchlist
Der nächste Schritt besteht darin, die zugehörige Watchlist aus dem Microsoft Sentinel GitHub-Repository bereitzustellen.
- Wählen Sie im GitHub-Repository für Microsoft Sentinel den Ordner DeploymentandMigration aus, und wählen Sie Bereitstellung in Azure aus, um die Vorlage in Azure bereitzustellen.
- Geben Sie den Namen der Ressourcengruppe und des Arbeitsbereichs in Microsoft Sentinel an.
- Klicken Sie auf Überprüfen und erstellen.
- Wählen Sie Erstellen aus, nachdem die Informationen überprüft wurden.
Aktualisieren der Watchlist mit Bereitstellungs- und Migrationsaktionen
Dieser Schritt ist beim Einrichten der Nachverfolgung von entscheidender Bedeutung. Wenn Sie diesen Schritt überspringen, werden die Elemente für die Nachverfolgung nicht in der Arbeitsmappe angezeigt.
So können Sie die Watchlist mit Bereitstellungs- und Migrationsaktionen aktualisieren:
- Wählen Sie im Azure- oder Microsoft Defender-Portal erst Microsoft Sentinel und dann Watchlist aus.
- Wählen Sie die Watchlist mit dem Alias Bereitstellung aus.
- Wählen Sie dann Watchlist aktualisieren > Watchlist-Elemente bearbeiten.
- Geben Sie die Informationen für die erforderlichen Aktionen für die Bereitstellung und Migration an.
- Wählen Sie Speichern.
Sie können nun die Watchlist in der Arbeitsmappe der Migrationsnachverfolgung anzeigen. Hier erfahren Sie, wie Sie Watchlists verwalten können.
Darüber hinaus kann Ihr Team Aufgaben während des Bereitstellungsprozesses aktualisieren oder abschließen. Um diese Änderungen zu berücksichtigen, aktualisieren Sie vorhandene Aktionen oder fügen Sie neue Aktionen hinzu, wenn Sie neue Anwendungsfälle identifizieren oder neue Anforderungen festlegen. Um Aktionen zu aktualisieren oder hinzuzufügen, bearbeiten Sie die bereitgestellte Watchlist Bereitstellung. Wenn Sie den Prozess vereinfachen möchten, wählen Sie in der Arbeitsmappe die Option Bereitstellungswatchlist bearbeiten aus, um die Watchlist direkt aus der Arbeitsmappe zu öffnen.
Anzeigen des Bereitstellungsstatus
Wenn Sie den Bereitstellungsfortschritt schnell anzeigen möchten, wählen Sie in der Arbeitsmappe Microsoft Sentinel Deployment and MigrationBereitstellung aus, und scrollen Sie nach unten, um die Summary of progress (Zusammenfassung des Fortschritts) zu finden. In diesem Bereich werden der Bereitstellungsstatus sowie die folgenden Informationen angezeigt:
- Tabellen, die Daten enthalten
- Anzahl der Tabellen, die Daten enthalten
- Anzahl der gemeldeten Protokolle sowie welche Tabellen die Protokolldaten enthalten
- Anzahl der aktivierten Regeln und der nicht bereitgestellten Regeln
- Die empfohlenen bereitgestellten Arbeitsmappen
- Gesamtzahl der bereitgestellten Arbeitsmappen
- Gesamtzahl der bereitgestellten Playbooks
Bereitstellen und Überwachen von Datenconnetors
Wählen Sie in der Arbeitsmappe Microsoft Sentinel Deployment and MigrationDatenconnectors > Überwachen aus, um die bereitgestellten Ressourcen zu überwachen und neue Connectors bereitzustellen. In der Ansicht Überwachen wird Folgendes aufgeführt:
- Aktuelle Erfassungstrends
- Tabellen, die Daten erfassen
- Wie viele Daten jede Tabelle enthält
- Endpunkte, die mit Azure Monitor-Agent (AMA) berichten
- Datensammlungsregeln in der Ressourcengruppe und die mit den Regeln verknüpften Geräte
- Integrität des Datenconnecotrs (Änderungen und Fehler)
- Integritätsprotokolle innerhalb des angegebenen Zeitbereichs
So konfigurieren Sie einen Datenconnector:
- Wählen Sie die Ansicht Konfigurieren aus.
- Wählen Sie die Schaltfläche mit dem Namen des Connectors aus, den Sie konfigurieren möchten.
- Konfigurieren Sie den Connector auf dem Bildschirm mit dem Connectorstatus, der geöffnet wird. Wenn Sie einen benötigten Connector nicht finden können, wählen Sie den Connectornamen aus, um den Connectorkatalog oder den Lösungskatalog zu öffnen.
Bereitstellen und Überwachen von Analysen und Incidents
Wenn die Daten im Arbeitsbereich gemeldet werden, konfigurieren und überwachen Sie die Analyseregeln. Wählen Sie in der Arbeitsmappe Microsoft Sentinel-Bereitstellung und -Migration die Registerkarte Analysen aus, um alle bereitgestellten Regelvorlagen und Listen anzuzeigen. In dieser Ansicht sehen Sie, welche Regeln derzeit aktiv sind und wie oft diese Regeln Incidents generieren.
Wenn Sie mehr Abdeckung benötigen, wählen Sie unterhalb der Tabelle auf der linken Seite Review MITRE coverage (MITRE-Abdeckung überprüfen) aus. Verwenden Sie diese Option, um in jedem Stadium des Migrationsprojekts zu definieren, welche Bereiche mehr Abdeckung erhalten und welche Regeln bereitgestellt werden.
Wenn Sie die Analyseregeln bereitstellen und der Defender-Produktkonnektor so konfiguriert ist, dass Benachrichtigungen gesendet werden, überwachen Sie die Erstellung und Häufigkeit von Vorfällen unter Bereitstellung > Zusammenfassung des Fortschritts. In diesem Bereich werden Metriken zur Benachrichtigungsgenerierung nach Produkt, Titel und Klassifizierung angezeigt. Dadurch wird die Integrität des SOC angegeben und verdeutlicht, welche Warnungen am meisten Aufmerksamkeit erfordern. Wenn Warnungen zu viel Volumen generieren, kehren Sie zur Registerkarte Analysen zurück, um die Logik zu bearbeiten.
Bereitstellen und Verwenden von Arbeitsmappen
Wählen Sie in der Arbeitsmappe Microsoft Sentinel Deployment and Migration die Option Arbeitsmappen aus, um Informationen zur Datenerfassung und zu von Microsoft Sentinel durchgeführten Erkennungen zu visualisieren. Ähnlich wie auf der Registerkarte Datenconnectors verwenden Sie die Ansichten Überwachen und Konfigurieren, um die Überwachungs- und Konfigurationsinformationen anzuzeigen.
Dies sind einige nützliche Aufgaben, die Sie auf der Registerkarte Arbeitsmappen ausführen können:
Um eine Liste aller Arbeitsmappen in der Umgebung anzuzeigen und zu erfahren, wie viele Arbeitsmappen bereitgestellt wurden, wählen Sie Überwachen aus.
Wenn Sie eine bestimmte Arbeitsmappe in der Arbeitsmappe Microsoft Sentinel Deployment and Migration anzeigen möchten, wählen Sie eine Arbeitsmappe und dann Open Selected Workbook (Ausgewählte Arbeitsmappe öffnen) aus.
Wenn Sie noch keine Arbeitsmappen bereitgestellt haben, wählen Sie Konfigurieren aus, um eine Liste der häufig verwendeten und empfohlenen Arbeitsmappen anzuzeigen. Wenn eine Arbeitsmappe nicht aufgeführt ist, wählen Sie Go to Workbook Gallery (Zum Arbeitsmappenkatalog wechseln) oder Go to Content Hub (Zum Inhaltshub wechseln) aus, um die relevante Arbeitsmappe bereitzustellen.
Bereitstellen und Überwachen von Playbooks und Automatisierungsregeln
Wenn Sie die Datenerfassung, Erkennungen und Visualisierungen konfigurieren, können Sie sich jetzt mit der Automatisierung beschäftigen. Wählen Sie in der Arbeitsmappe Microsoft Sentinel Deployment and Migration die Option Automatisierung aus, um bereitgestellte Playbooks anzuzeigen und zu erfahren, welche Playbooks derzeit mit einer Automatisierungsregel verbunden sind. Wenn Automatisierungsregeln vorhanden sind, hebt die Arbeitsmappe die folgenden Informationen zu jeder Regel hervor:
- Name
- Status
- Aktion oder Aktionen der Regel
- Das letzte Datum, an dem die Regel bearbeitet wurde sowie der*die Benutzer*in, der*die die Regel bearbeitet hat
- Das Datum, an dem die Regel erstellt wurde
Wenn Sie die Automatisierung innerhalb des aktuellen Abschnitts der Arbeitsmappe anzeigen, bereitstellen oder testen möchten, wählen Sie unten links Deploy automation resources (Automatisierungsressourcen bereitstellen) aus.
Hier erfahren Sie mehr über die SOAR-Funktionen von Microsoft Sentinel für Playbooks und Automatisierungsregeln.
Bereitstellen und Überwachen von UEBA
Da Datenberichte und Erkennungen auf Entitätsebene erstellt und durchgeführt werden, ist es wichtig, das Entitätsverhalten und die Trends zu überwachen. Wenn Sie das UEBA-Feature in Microsoft Sentinel aktivieren möchten, wählen Sie in der Arbeitsmappe Microsoft Sentinel Deployment and Migration die Option UEBA aus. Hier können Sie die Entitätszeitachsen für Entitätsseiten anpassen und anzeigen, welche entitätsbezogenen Tabellen mit Daten gefüllt sind.
So können Sie UEBA aktivieren:
- Wählen Sie über der Liste der Tabellen Enable UEBA (UEBA aktivieren) aus.
- Wählen Sie Ein aus, um UEBA zu aktivieren.
- Wählen Sie die Datenquellen aus, die Sie zum Generieren von Erkenntnissen verwenden möchten.
- Wählen Sie Übernehmen.
Nachdem Sie UEBA aktiviert haben, überwachen Sie das System, um sicherzustellen, dass Microsoft Sentinel UEBA-Daten generiert.
So können Sie die Zeitachse anpassen:
- Wählen Sie über der Liste der Tabellen Customize Entity Timeline (Entitätszeitachse anpassen) aus.
- Erstellen Sie ein benutzerdefiniertes Element, oder wählen Sie eine der vorgefertigten Vorlagen aus.
- Wählen Sie Erstellen aus, um die Vorlage bereitzustellen und den Assistenten abzuschließen.
Hier erfahren Sie mehr über UEBA oder wie Sie die Zeitachse anpassen können.
Konfigurieren und Verwalten des Datenlebenszyklus
Wenn Sie in Microsoft Sentinel bereitstellen oder migrieren, müssen Sie den Verbrauch und den Lebenszyklus der eingehenden Protokolle verwalten. Wählen Sie in der Arbeitsmappe Microsoft Sentinel-Bereitstellung und -Migration die Option Datenverwaltung aus, um die Aufbewahrung und Archivierung von Tabellen anzuzeigen und zu konfigurieren.
Zeigen Sie die folgenden Informationen an:
- Tabellen, die für die einfache Protokollerfassung konfiguriert sind
- Tabellen, die für die Erfassung der Analyseebene konfiguriert sind
- Für die Archivierung konfigurierte Tabellen
- Tabellen in der Standard-Arbeitsbereichsaufbewahrung
So können Sie die vorhandene Aufbewahrungsrichtlinie für Tabellen ändern:
- Wählen Sie die Ansicht Default Retention Tables (Standardaufbewahrungstabellen) aus.
- Wählen Sie die Tabelle aus, die Sie ändern möchten, und wählen Sie Update Retention (Aufbewahrung aktualisieren) aus. Bearbeiten Sie die folgenden Informationen nach Bedarf:
- Aktuelle Aufbewahrung im Arbeitsbereich
- Aktuelle Aufbewahrung im Archiv
- Gesamtzahl der Tage, die die Daten in der Umgebung gespeichert werden
- Bearbeiten Sie den Wert TotalRetention, um eine neue Gesamtzahl der Tage festzulegen, die die Daten in der Umgebung gespeichert werden sollen.
Der Wert ArchiveRetention wird berechnet, indem der Wert TotalRetention von dem Wert InteractiveRetention abgezogen wird. Wenn Sie die Arbeitsbereichsaufbewahrung anpassen müssen, wirkt sich die Änderung nicht auf Tabellen aus, die konfigurierte Archive enthalten, und die Daten gehen nicht verloren. Wenn Sie den Wert InteractiveRetention bearbeiten und den Wert TotalRetention nicht ändern, passt Azure Log Analytics die Archivaufbewahrung an, um die Änderung auszugleichen.
Wenn Sie Änderungen lieber in der Benutzeroberfläche vornehmen möchten, wählen Sie die Option Aufbewahrung in der Benutzeroberfläche aktualisieren aus, um die relevante Seite zu öffnen.
Hier erfahren Sie mehr über die Verwaltung des Datenlebenszyklus.
Aktivieren von Migrationstipps und Anweisungen
Die Arbeitsmappe enthält Tipps zur Verwendung der verschiedenen Registerkarten und Links zu relevanten Ressourcen, um den Bereitstellungs- und Migrationsprozess zu unterstützen. Diese Tipps basieren auf der Migrationsdokumentation zu Microsoft Sentinel und sind für Ihre aktuellen SIEM-Technologien relevant. Wenn Sie die Tipps und Anweisungen aktivieren möchten, legen Sie MigrationTips und Anweisung oben rechts in der Arbeitsmappe Microsoft Sentinel Deployment and Migration auf Ja fest.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre Migration mit der Arbeitsmappe Microsoft Sentinel Deployment and Migration nachverfolgen können.