Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Aktivitäten vorgestellt, mit denen Sie Ihre Microsoft Sentinel Bereitstellung planen, bereitstellen und optimieren können.
Übersicht über Planung und Vorbereitung
In diesem Abschnitt werden die Aktivitäten und Voraussetzungen vorgestellt, die Ihnen bei der Planung und Vorbereitung helfen, bevor Sie Microsoft Sentinel bereitstellen.
Die Planung und Vorbereitungsphase wird in der Regel von einem SOC-Architekten oder verwandten Rollen durchgeführt.
| Schritt | Details |
|---|---|
| 1. Übersicht und Voraussetzungen planen und vorbereiten | Überprüfen Sie die Azure Mandantenvoraussetzungen. |
| 2. Planen der Arbeitsbereichsarchitektur | Entwerfen Sie Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist. Unabhängig davon, ob Sie das Onboarding in das Microsoft Defender-Portal durchführen, benötigen Sie weiterhin einen Log Analytics-Arbeitsbereich. Berücksichtigen Sie Parameter wie die folgenden: – Unabhängig davon, ob Sie einen einzelnen mandanten oder mehrere Mandanten verwenden - Alle Complianceanforderungen, die Sie für die Datenerfassung und -speicherung haben – Steuern des Zugriffs auf Microsoft Sentinel Daten Lesen Sie diese Artikel: 1. Entwerfen der Arbeitsbereichsarchitektur 3. Überprüfen von Beispielarbeitsbereichsentwürfen 4. Vorbereiten auf mehrere Arbeitsbereiche |
| 3. Priorisieren von Datenconnectors | Bestimmen Sie, welche Datenquellen Sie benötigen, und die Anforderungen an die Datengröße, damit Sie das Budget und die Zeitleiste Ihrer Bereitstellung genau projizieren können. Sie können diese Informationen während Ihrer Geschäftlichen Anwendungsfallüberprüfung oder durch Auswerten eines aktuellen SIEM ermitteln, den Sie bereits haben. Wenn Sie bereits über ein SIEM verfügen, analysieren Sie Ihre Daten, um zu verstehen, welche Datenquellen den größten Nutzen bieten und in Microsoft Sentinel erfasst werden sollten. |
| 4. Planen von Rollen und Berechtigungen | Verwenden Sie Azure rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Rollen innerhalb Ihres Sicherheitsbetriebsteams zu erstellen und zuzuweisen, um entsprechenden Zugriff auf Microsoft Sentinel zu gewähren. Die verschiedenen Rollen bieten Ihnen eine präzise Kontrolle darüber, was Microsoft Sentinel Benutzer sehen und tun können. Azure Rollen können direkt im Arbeitsbereich oder in einem Abonnement oder einer Ressourcengruppe zugewiesen werden, zu dem der Arbeitsbereich gehört, die Microsoft Sentinel erbt. |
| 5. Kosten planen | Beginnen Sie mit der Planung Ihres Budgets, und berücksichtigen Sie die Kostenauswirkungen für jedes geplante Szenario. Stellen Sie sicher, dass Ihr Budget die Kosten für die Datenerfassung sowohl für Microsoft Sentinel als auch für Azure Log Analytics, alle bereitgestellten Playbooks usw. abdeckt. |
Übersicht über die Bereitstellung
Die Bereitstellungsphase wird in der Regel von einem SOC-Analysten oder verwandten Rollen ausgeführt.
| Schritt | Details |
|---|---|
| 1. Aktivieren von Microsoft Sentinel, Integrität und Überwachung sowie Inhalten | Aktivieren Sie Microsoft Sentinel, aktivieren Sie die Integritäts- und Überwachungsfunktion, und aktivieren Sie die Lösungen und Inhalte, die Sie gemäß den Anforderungen Ihrer organization identifiziert haben.
Informationen zum Onboarding in Microsoft Sentinel mithilfe der API finden Sie in der neuesten unterstützten Version von Sentinel Onboarding States. |
| 2. Konfigurieren von Inhalten | Konfigurieren Sie die verschiedenen Arten von Microsoft Sentinel Sicherheitsinhalten, mit denen Sie Sicherheitsbedrohungen in Ihren Systemen erkennen, überwachen und darauf reagieren können: Datenconnectors, Analyseregeln, Automatisierungsregeln, Playbooks, Arbeitsmappen und Watchlists. |
| 3. Einrichten einer arbeitsbereichsübergreifenden Architektur | Wenn Ihre Umgebung mehrere Arbeitsbereiche erfordert, können Sie diese jetzt im Rahmen Ihrer Bereitstellung einrichten. In diesem Artikel erfahren Sie, wie Sie Microsoft Sentinel einrichten, um sie über mehrere Arbeitsbereiche und Mandanten hinweg zu erweitern. |
| 4. Aktivieren der Benutzer- und Entitätsverhaltensanalyse (UEBA) | Aktivieren und verwenden Sie das UEBA-Feature, um den Analyseprozess zu optimieren. |
| 5. Konfigurieren Microsoft Sentinel Data Lake | Konfigurieren Sie interaktive Einstellungen und Einstellungen für die Datenaufbewahrung, um sicherzustellen, dass Ihr organization wichtige langfristige Daten beibehält, und nutzen Sie den Microsoft Sentinel Data Lake für kostengünstige Speicherung, verbesserte Transparenz und nahtlose Integration in erweiterte Analysetools. |
Feinabstimmung und Überprüfung: Checkliste für die Bereitstellung nach der Bereitstellung
Überprüfen Sie die Prüfliste nach der Bereitstellung, um sicherzustellen, dass Ihr Bereitstellungsprozess wie erwartet funktioniert und dass die bereitgestellten Sicherheitsinhalte funktionieren und Ihre organization ihren Anforderungen und Anwendungsfällen entsprechend schützen.
Die Feinabstimmungs- und Überprüfungsphase wird in der Regel von einem SOC-Techniker oder verwandten Rollen durchgeführt.
| Schritt | Actions |
|---|---|
| ✅ Überprüfen von Incidents und Incidentprozess | – Überprüfen Sie, ob die Incidents und die Anzahl der angezeigten Vorfälle das tatsächliche Geschehen in Ihrer Umgebung widerspiegeln. - Überprüfen Sie, ob der Incidentprozess Ihres SOC funktioniert, um Incidents effizient zu behandeln: Haben Sie verschiedenen Ebenen/Ebenen des SOC verschiedene Arten von Vorfällen zugewiesen? Erfahren Sie mehr darüber, wie Sie in Incidents navigieren und untersuchen und wie Sie mit Incidentaufgaben arbeiten. |
| ✅ Überprüfen und Optimieren von Analyseregeln | – Überprüfen Sie basierend auf Ihrer Incidentüberprüfung, ob Ihre Analyseregeln wie erwartet ausgelöst werden und ob die Regeln die Arten von Vorfällen widerspiegeln, an denen Sie interessiert sind. - Behandeln Sie falsch positive Ergebnisse, entweder mithilfe der Automatisierung oder durch Ändern geplanter Analyseregeln. – Microsoft Sentinel bietet integrierte Optimierungsfunktionen, mit denen Sie Ihre Analyseregeln analysieren können. Überprüfen Sie diese integrierten Erkenntnisse, und implementieren Sie relevante Empfehlungen. |
| ✅ Überprüfen von Automatisierungsregeln und Playbooks | - Überprüfen Sie ähnlich wie bei Analyseregeln, ob Ihre Automatisierungsregeln wie erwartet funktionieren, und spiegeln sie die Vorfälle wider, über die Sie besorgt sind und an denen Sie interessiert sind. – Überprüfen Sie, ob Ihre Playbooks erwartungsgemäß auf Warnungen und Vorfälle reagieren. |
| ✅ Hinzufügen von Daten zu Watchlists | Überprüfen Sie, ob Ihre Watchlists auf dem neuesten Stand sind. Wenn in Ihrer Umgebung Änderungen vorgenommen wurden, z. B. neue Benutzer oder Anwendungsfälle, aktualisieren Sie Ihre Watchlists entsprechend. |
| ✅ Überprüfen der Mindestabnahmeebenen | Überprüfen Sie die anfänglich eingerichteten Mindestabnahmeebenen , und vergewissern Sie sich, dass diese Tarife Ihre aktuelle Konfiguration widerspiegeln. |
| ✅ Nachverfolgen der Erfassungskosten | Verwenden Sie eine der folgenden Arbeitsmappen, um die Erfassungskosten nachzuverfolgen: - Die Arbeitsmappe "Arbeitsbereichsnutzungsbericht" enthält die Datennutzungs-, Kosten- und Nutzungsstatistiken Ihres Arbeitsbereichs. Die Arbeitsmappe stellt die Datenerfassung des Arbeitsbereichs status und die Menge kostenloser und abrechenbarer Daten zur Verfügung. Sie können die Arbeitsmappenlogik verwenden, um die Datenerfassung und -kosten zu überwachen und benutzerdefinierte Ansichten und regelbasierte Warnungen zu erstellen. - Die Arbeitsmappe Microsoft Sentinel Kosten bietet eine fokussiertere Ansicht der Microsoft Sentinel Kosten, einschließlich Erfassungs- und Aufbewahrungsdaten, Erfassungsdaten für berechtigte Datenquellen, Logic Apps-Abrechnungsinformationen und mehr. |
| ✅ Optimieren von Datensammlungsregeln (DATA Collection Rules, DCRs) | – Überprüfen Sie, ob Ihre DCRs Ihren Anforderungen an die Datenerfassung und Ihren Anwendungsfällen entsprechen. – Implementieren Sie bei Bedarf die Transformation zur Erfassungszeit , um irrelevante Daten herauszufiltern, bevor sie zum ersten Mal in Ihrem Arbeitsbereich gespeichert werden. |
| ✅ Überprüfen von Analyseregeln mit dem MITRE-Framework | Überprüfen Sie ihre MITRE-Abdeckung auf der seite Microsoft Sentinel MITRE: Zeigen Sie die erkennungen an, die bereits in Ihrem Arbeitsbereich aktiv sind, und die verfügbaren, die Sie konfigurieren können, um die Sicherheitsabdeckung Ihrer organization basierend auf den Taktiken und Techniken des MITRE ATT&CK-Frameworks® zu verstehen. |
| ✅ Suchen nach verdächtigen Aktivitäten | Stellen Sie sicher, dass ihr SOC über einen Prozess für die proaktive Bedrohungssuche verfügt. Die Suche ist ein Prozess, bei dem Sicherheitsanalysten nach unerkannten Bedrohungen und böswilligen Verhaltensweisen suchen. Indem sie eine Hypothese erstellen, Daten durchsuchen und diese Hypothese überprüfen, bestimmen sie, worauf sie reagieren sollen. Aktionen können das Erstellen neuer Erkennungen, neue Threat Intelligence oder das Einrichten eines neuen Incidents umfassen. |
Verwandte Artikel
In diesem Artikel haben Sie die Aktivitäten in den einzelnen Phasen erläutert, die Ihnen bei der Bereitstellung von Microsoft Sentinel helfen.
Wählen Sie abhängig von der Phase, in der Sie sich befinden, die entsprechenden nächsten Schritte aus:
- Planen und Vorbereiten: Voraussetzungen für die Bereitstellung Azure Sentinel
- Bereitstellen: Aktivieren von Microsoft Sentinel und anfänglichen Features und Inhalten
- Optimieren und Überprüfen : Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel
Wenn Sie mit der Bereitstellung von Microsoft Sentinel fertig sind, erkunden Sie Microsoft Sentinel Funktionen, indem Sie tutorials zu allgemeinen Aufgaben lesen:
- Was ist Microsoft Sentinel Data Lake?
- Weiterleiten von Syslog-Daten an einen Log Analytics-Arbeitsbereich mit Microsoft Sentinel mithilfe des Azure Monitor-Agents
- Konfigurieren der Aufbewahrung auf Tabellenebene
- Erkennen von Bedrohungen mithilfe von Analyseregeln
- Automatisches Überprüfen und Aufzeichnen von Ip-Adress-Zuverlässigkeitsinformationen in Incidents
- Reagieren auf Bedrohungen mithilfe von Automatisierung
- Extrahieren von Incidententitäten mit nicht nativer Aktion
- Untersuchen mit UEBA
- Erstellen und Überwachen von Zero Trust
Lesen Sie den Microsoft Sentinel Betriebsleitfaden für die regulären SOC-Aktivitäten, die täglich, wöchentlich und monatlich ausgeführt werden sollten.