Microsoft Sentinel–Betriebsleitfaden
In diesem Artikel werden die operativen Aktivitäten aufgeführt, die Wir empfehlen, SoC-Teams und Sicherheitsadministratoren im Rahmen ihrer regelmäßigen Sicherheitsaktivitäten mit Microsoft Sentinel zu planen und auszuführen. Weitere Informationen zum Verwalten Ihrer Sicherheitsvorgänge finden Sie in der Übersicht über Sicherheitsvorgänge.
Tägliche Aufgaben
Planen Sie die folgenden Aktivitäten täglich.
| Aufgabe | Beschreibung |
|---|---|
| Triage und Untersuchung von Vorfällen | Überprüfen Sie die Seite Vorfälle von Microsoft Sentinel, um nach neuen Vorfällen zu suchen, die von den derzeit konfigurierten Analyseregeln generiert wurden, und beginnen Sie mit der Untersuchung neuer Vorfälle. Weitere Informationen finden Sie unter Untersuchen von Vorfällen mit Microsoft Sentinel. |
| Durchsuchen von Suchabfragen und Lesezeichen | Untersuchen Sie die Ergebnisse für alle integrierten Abfragen, und aktualisieren Sie vorhandene Hunting-Abfragen und Textmarken. Generieren Sie manuell neue Incidents, oder aktualisieren Sie ggf. alte Incidents. Weitere Informationen finden Sie unter: - Automatisches Erstellen von Vorfällen aus Microsoft-Sicherheitswarnungen- Suche nach Bedrohungen mit Microsoft Sentinel - Verfolgen von Daten während der Suche mit Microsoft Sentinel |
| Analyseregeln | Überprüfen und aktivieren Sie ggf. neue Analyseregeln, einschließlich neu veröffentlichter oder neu verfügbarer Regeln von kürzlich verbundenen Datenconnectors. |
| Datenconnectors | Überprüfen Sie den Status, das Datum und die Uhrzeit des letzten Protokolls, das von jedem Datenconnector empfangen wurde, um sicherzustellen, dass Daten fließen. Überprüfen Sie, ob neue Connectors verfügbar sind, und überprüfen Sie die Erfassung, um sicherzustellen, dass die festgelegten Grenzwerte nicht überschritten wurden. Weitere Informationen finden Sie unter Bewährte Methoden für Datensammlungen und Verbinden von Datenquellen. |
| Log Analytics-Agent | Stellen Sie sicher, dass Server und Arbeitsstationen aktiv mit dem Arbeitsbereich verbunden sind, und behandeln und beheben Sie Verbindungsfehler. Weitere Informationen finden Sie unter Log Analytics – Übersicht über Agents. |
| Playbook-Fehler | Überprüfen Sie den Status der Playbook-Ausführung, und beheben Sie Fehler. Weitere Informationen finden Sie im Tutorial: Reagieren auf Bedrohungen mithilfe von Playbooks mit Automatisierungsregeln in Microsoft Sentinel. |
Wöchentliche Aufgaben
Planen Sie die folgenden Aktivitäten wöchentlich.
| Aufgabe | Beschreibung |
|---|---|
| Inhaltsüberprüfung von Lösungen oder eigenständigen Inhalten | Rufen Sie alle Inhaltsupdates für Ihre installierten Lösungen oder eigenständigen Inhalte vom Content Hub ab. Überprüfen Sie neue Lösungen oder eigenständige Inhalte, die für Ihre Umgebung von Bedeutung sein könnten, z. B. Analyseregeln, Arbeitsmappen, Suchabfragen oder Playbooks. |
| Microsoft Sentinel-Überwachung | Überprüfen Sie die Aktivitäten von Microsoft Sentinel, um festzustellen, wer Ressourcen wie Analyseregeln, Lesezeichen usw. aktualisiert oder gelöscht hat. Weitere Informationen finden Sie unter Audit Microsoft Sentinel Abfragen und Aktivitäten. |
Monatliche Aufgaben
Planen Sie die folgenden Aktivitäten monatlich.
| Aufgabe | Beschreibung |
|---|---|
| Überprüfen des Benutzerzugriffs | Überprüfen Sie Berechtigungen für Ihre Benutzer, und prüfen Sie auf inaktive Benutzer. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel. |
| Überprüfung des Log Analytics-Arbeitsbereichs | Überprüfen Sie, ob die Datenaufbewahrungsrichtlinie des Log Analytics-Arbeitsbereichs weiterhin mit der Richtlinie Ihrer Organisation in Einklang steht. Weitere Informationen finden Sie unter Datenaufbewahrungsrichtlinie und Integrieren von Azure Data Explorer für die langfristige Protokollaufbewahrung. |