Microsoft Sentinel siirron seuraaminen työkirjan avulla

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Koska organisaatiosi suojaustoimintokeskus (SOC) käsittelee kasvavia tietomääriä, on tärkeää suunnitella käyttöönoton tila ja valvoa sitä. Vaikka voit seurata siirtoprosessia yleisillä työkaluilla, kuten Microsoft Projectilla, Microsoft Excelillä, Microsoft Teamsilla tai Azure DevOpsissa, nämä työkalut eivät ole erityisiä suojaustietojen ja tapahtumien hallinnan (SIEM) siirron seurannan osalta. Seuraamisen helpottamiseksi tarjoamme erillisen työkirjan Microsoft Sentinel nimeltä Microsoft Sentinel Käyttöönotto ja siirto.

Työkirjan avulla voit

  • Visualisoi siirron edistyminen
  • Ota käyttöön ja seuraa tietolähteitä
  • Analytiikkasääntöjen ja -tapausten käyttöönotto ja seuranta
  • Työkirjojen ottaminen käyttöön ja käyttäminen
  • Automaation käyttöönotto ja suorittaminen
  • Käyttäjän ja entiteetin käyttäytymisanalytiikan käyttöönotto ja mukauttaminen (U E B A)

Tässä artikkelissa kerrotaan, miten voit seurata siirtymistä Microsoft Sentinel käyttöönotto- ja siirtotyökirjassa, miten voit mukauttaa ja hallita työkirjaa sekä ottaa käyttöön ja valvoa tietoyhdistimiä, analyyseja, tapahtumia, toistokirjoja, automaatiosääntöjä, UE A:a ja tietojen hallintaa työkirjavälilehtien avulla. Lue lisätietoja siitä, miten voit käyttää Azure Työkirjojen valvonta Microsoft Sentinel.

Ota työkirjan sisältö käyttöön ja tarkastele työkirjaa

Saat työkirjan asentamalla erillisen kohteen ensin sisältökeskuksesta Microsoft Sentinel.

  1. Suodata sisältökeskuksen Microsoft Sentinel luetteloitu sisältö sisältötyypin = työkirjojen mukaan ja kirjoita sitten siirto hakupalkkiin.

  2. Valitse hakutuloksista käyttöönotto- ja siirtotyökirja Microsoft Sentinel ja valitse sitten Asenna. Microsoft Sentinel ottaa työkirjan käyttöön ja tallentaa työkirjan ympäristöösi.

  3. Valitse Microsoft Sentinel Kohdassa UhkienhallintaTyökirjat>Mallit.

  4. Valitse käyttöönotto- ja siirtotyökirja Microsoft Sentinel ja näytä malli.

Ota katseluluettelo käyttöön

Seuraava vaihe on ottaa käyttöön aiheeseen liittyvä katseluluettelo Microsoft Sentinel GitHub-säilöstä.

  1. Valitse Microsoft Sentinel GitHub-säilöstäDeploymentandMigration-kansio ja valitse Ota käyttöön Azure aloittaaksesi mallin käyttöönoton Azure.
  2. Anna Microsoft Sentinel resurssiryhmän ja työtilan nimi. Näyttökuva katseluluettelon käyttöönotosta Azure.
  3. Valitse Tarkista ja luo.
  4. Kun tiedot on vahvistettu, valitse Luo.

Käyttöönotto- ja siirtotoimintojen päivittäminen katseluluetteloon

Tämä vaihe on tärkeä seurannan määritysprosessin kannalta. Jos ohitat tämän vaiheen, työkirja ei sisällä seurantakohteita.

Voit päivittää katseluluetteloon käyttöönotto- ja siirtotoiminnot seuraavasti:

  1. Valitse Azure- tai Microsoft Defender-portaalissa Microsoft Sentinel ja valitse sitten Katseluluettelo.
  2. Valitse katseluluettelo käyttöönottotunnuksella.
  3. Valitse sitten Päivitä katseluluettelo > ja muokkaa katseluluettelon kohteita.
  4. Anna tiedot käyttöönotossa ja siirtämisessä tarvittavista toiminnoista. Näyttökuva katseluluettelon kohteiden päivittämisestä käyttöönotto- ja siirtotoiminnoilla.
  5. Valitse Tallenna.

Voit nyt tarkastella katseluluetteloa siirron seurannan työkirjassa. Lue, miten voit hallita katseluluetteloita.

Lisäksi työryhmäsi saattaa päivittää tai suorittaa tehtäviä käyttöönottoprosessin aikana. Voit ratkaista nämä muutokset päivittämällä olemassa olevia toimintoja tai lisäämällä uusia toimintoja, kun tunnistat uusia käyttötapauksia tai määrität uusia vaatimuksia. Jos haluat päivittää tai lisätä toimintoja, muokkaa käyttöönoton katseluluetteloa, jonka otit käyttöön. Voit yksinkertaistaa prosessia valitsemalla työkirjassa Muokkaa käyttöönoton katseluluetteloa avataksesi katseluluettelon suoraan työkirjasta.

Näytä käyttöönoton tila

Jos haluat tarkastella käyttöönoton edistymistä nopeasti, valitse Microsoft Sentinel Käyttöönotto ja siirto -työkirjassa Käyttöönotto ja vieritä alaspäin, jotta löydät edistymisen yhteenvedon. Tämä alue näyttää käyttöönoton tilan, mukaan lukien seuraavat tiedot:

  • Taulukoiden tietojen raportointi
  • Tietoja raportoivien taulukoiden määrä
  • Ilmoitettujen lokien määrä ja mitkä taulukot ilmoittavat lokitiedot
  • Käyttöön otettujen sääntöjen määrä vs. poistamattomat säännöt
  • Suositellut työkirjat otettu käyttöön
  • Käyttöön otettujen työkirjojen kokonaismäärä
  • Käyttöön otettujen pelikirjojen kokonaismäärä

Ota käyttöön ja valvo tietoyhdistimiä

Jos haluat valvoa käyttöön otettuja resursseja ja ottaa käyttöön uusia liittimiä, valitse Microsoft Sentinel Käyttöönotto ja siirto -työkirjasta Tietoyhdistimien > valvonta. Näyttönäkymän luettelo:

  • Nykyiset käsittelytrendit
  • Tietoja keräävät taulukot
  • Kuinka paljon tietoja kukin taulukko raportoi
  • Azure Monitor Agentin (AMA) päätepisteraportointi
  • Tietojen keräyssäännöt resurssiryhmässä ja sääntöihin linkitetyissä laitteissa
  • Tietoyhdistimen kunto (muutokset ja virheet)
  • Kuntolokit määritetyllä aikavälillä

Näyttökuva työkirjan Tietoyhdistimet-välilehden Näyttö-näkymästä.

Tietoyhdistimen määrittäminen:

  1. Valitse Määritä näkymä.
  2. Valitse painike, jolla on määritettävän liittimen nimi.
  3. Määritä liitin avautuvassa liittimen tilanäytössä. Jos et löydä tarvitsemaasi liitintä, avaa liitinvalikoima tai ratkaisuvalikoima valitsemalla liittimen nimi. Näyttökuva työkirjan Määritä-näkymästä.

Analyysien ja tapausten käyttöönotto ja seuranta

Kun tiedot raportoidaan työtilassa, määritä ja valvo analytiikkasääntöjä. Valitse Microsoft Sentinel käyttöönotto- ja siirtotyökirjastaAnalytiikka-välilehti, jotta näet kaikki käyttöönotetut sääntömallit ja luettelot. Tämä näkymä ilmaisee, mitkä säännöt ovat tällä hetkellä käytössä ja kuinka usein säännöt aiheuttavat tapauksia.

Näyttökuva työkirjan Analytiikka-välilehdestä.

Jos tarvitset enemmän kattavuutta, valitse Tarkista MITRE-kattavuus vasemmalla olevan taulukon alapuolelta. Tämän asetuksen avulla voit määrittää, mitkä alueet saavat enemmän kattavuutta ja mitkä säännöt otetaan käyttöön siirtoprojektin missä tahansa vaiheessa.

Näyttökuva työkirjan MITRE-kattavuusnäkymästä.

Kun otat käyttöön analytiikkasääntöjä ja Defenderin tuoteliitin on määritetty lähettämään hälytykset, valvomaan tapausten luontia ja tiheyttä kohdassa Käyttöönoton > yhteenveto edistymisestä. Tämä alue näyttää hälytysten luontia koskevat mittausarvot tuotteen, otsikon ja luokituksen mukaan, mikä osoittaa SOC:n kunnon ja sen, mitkä hälytykset vaativat eniten huomiota. Jos ilmoitukset tuottavat liikaa äänenvoimakkuutta, palaa Analytiikka-välilehteen muokkaamaan logiikkaa.

Näyttökuva edistymisen yhteenvedosta työkirjan Analytiikka-välilehdellä.

Työkirjojen ottaminen käyttöön ja käyttäminen

Jos haluat visualisoida tietoja tietojen käsittelystä ja havaitsemisista, joita Microsoft Sentinel suorittaa, valitse Microsoft Sentinel Käyttöönotto ja siirto -työkirjasta Työkirjat. Kuten Tietoyhdistimet-välilehdessä , voit tarkastella valvonta- ja määritystietoja Näyttö - ja Määritä näkymät - toiminnolla.

Tässä on joitakin hyödyllisiä tehtäviä, jotka on tehtävä Työkirjat-välilehdessä :

  • Jos haluat tarkastella luettelon kaikista ympäristössä olevista työkirjoista ja siitä, kuinka monta työkirjaa on otettu käyttöön, valitse Valvo.

  • Jos haluat tarkastella tiettyä työkirjaa käyttöönotto- ja siirtotyökirjassa Microsoft Sentinel, valitse työkirja ja valitse sitten Avaa valittu työkirja.

    Näyttökuva työkirjan valitsemisesta Työkirja-välilehdessä.

  • Jos et ole vielä ottanut työkirjoja käyttöön, valitse Määritä , jos haluat tarkastella luetteloa yleisesti käytetyistä ja suositelluista työkirjoista. Jos työkirjaa ei näy luettelossa, valitse Siirry työkirjavalikoimaan tai Siirry sisältökeskukseen , jos haluat ottaa käyttöön asianmukaisen työkirjan.

    Näyttökuva työkirjan tarkastelemisesta Työkirja-välilehdessä.

Pelikirjojen ja automaatiosääntöjen käyttöönotto ja valvonta

Kun määrität tietojen käsittelyn, tunnistuksen ja visualisoinnit, voit nyt tutkia automaatiota. Valitse käyttöönotto- ja siirtotyökirjasta Microsoft SentinelAutomaatio, niin käyttöönotetut toistokirjat näkyvät ja näet, mitkä toistokirjat on tällä hetkellä yhdistetty automaatiosääntöön. Jos automaatiosääntöjä on olemassa, työkirja korostaa seuraavat kutakin sääntöä koskevat tiedot:

  • Nimi
  • Tila
  • Säännön toiminto tai toiminnot
  • Säännön viimeisimmän muokkauspäivämäärän ja sääntöä muokanneen käyttäjä
  • Päivämäärä, jolloin sääntö luotiin

Jos haluat tarkastella, ottaa käyttöön ja testata automaatiota työkirjan nykyisessä osassa, valitse vasemmasta alakulmasta Ota automaatioresurssit käyttöön .

Lue lisätietoja Microsoft Sentinel SOAR-ominaisuuksista toistokirjoihin ja automaatiosääntöihin.

Näyttökuva työkirjan Automaatio-välilehdestä.

U E B A:n käyttöönotto ja valvonta

Koska tietojen raportointi ja havaitseminen tapahtuu entiteettitasolla, on tärkeää valvoa entiteetin toimintaa ja trendejä. Jos haluat ottaa U E B A -ominaisuuden käyttöön Microsoft Sentinel sisällä, valitse Microsoft Sentinel Käyttöönotto ja siirto -työkirjassa UEBA. Tässä voit mukauttaa entiteettisivujen aikajanat ja tarkastella, mitkä entiteettiin liittyvät taulukot täytetään tiedoilla.

Näyttökuva työkirjan UE B A -välilehdestä.

Ota U E B A käyttöön:

  1. Valitse Taulukkoluettelon yläpuolelta Ota UEBA käyttöön .
  2. Jos haluat ottaa U E B A:n käyttöön, valitse Käytössä.
  3. Valitse tietolähteet, joiden avulla haluat luoda merkityksellisiä tietoja.
  4. Valitse Käytä.

Kun olet ottanut U E B A:n käyttöön, valvo ja varmista, että Microsoft Sentinel luo UE B A -tietoja.

Aikajanan mukauttaminen:

  1. Valitse Taulukkoluettelon yläpuolelta Mukauta entiteettiaikajanaa .
  2. Luo mukautettu kohde tai valitse jokin valmiista malleista.
  3. Jos haluat ottaa mallin käyttöön ja suorittaa ohjatun toiminnon, valitse Luo.

Lue lisätietoja UE B A: sta tai opi mukauttamaan aikajanaa.

Tietojen elinkaaren määrittäminen ja hallinta

Kun otat käyttöön tai siirryt Microsoft Sentinel, on tärkeää hallita saapuvien lokien käyttöä ja elinkaarta. Valitse Microsoft Sentinel käyttöönotto- ja siirtotyökirjastaTiedonhallinta, jos haluat tarkastella ja määrittää taulukon säilytystä ja arkistointia.

Näyttökuva työkirjan Tiedonhallinta välilehdestä.

Näytä tietoja, jotka liittyvät:

  • Lokin peruskiertoa varten määritetyt taulukot
  • Taulukot, jotka on määritetty analysointitason käsittelylle
  • Arkistoitavaksi määritetyt taulukot
  • Työtilan oletuspidätyksen taulukot

Voit muokata taulukoiden olemassa olevaa säilytyskäytäntöä seuraavasti:

  1. Valitse Oletus säilytystaulukot -näkymä.
  2. Valitse taulukko, jota haluat muokata, ja valitse Päivitä säilytys. Muokkaa seuraavia tietoja tarpeen mukaan:
    • Nykyinen säilytys työtilassa
    • Arkiston nykyinen säilytys
    • Päivien kokonaismäärä, jonka tiedot elävät ympäristössä
  3. Muokkaa TotalRetention-arvoa ja määritä uusi päivien määrä, jonka tiedot tulisi olla ympäristössä.

ArchiveRetention-arvo lasketaan vähentämällä TotalRetention-arvoInteractiveRetention-arvosta. Jos työtilan säilytystä on muutettava, muutos ei vaikuta taulukoihin, jotka sisältävät määritettyjä arkistoja ja tietoja, ei menetetä. Jos muokkaat InteractiveRetention-arvoa eikä TotalRetention-arvo muutu, Azure Log Analytics säätää arkistointisäilytystä kompensoidakseen muutoksen.

Jos haluat tehdä muutoksia käyttöliittymässä, avaa kyseinen sivu valitsemalla Päivitä säilytys käyttöliittymässä .

Lue lisätietoja tietojen elinkaaren hallinnasta.

Ota käyttöön siirtovinkkejä ja -ohjeita

Käyttöönoton ja siirtämisen helpottamiseksi työkirja sisältää vihjeitä, joissa kerrotaan eri välilehtien käyttämisestä, sekä linkkejä asianmukaisiin resursseihin. Vinkit perustuvat Microsoft Sentinel siirtodokumentaatioon ja liittyvät nykyiseen SIEM:ään. Ota vinkit ja ohjeet käyttöön määrittämällä Microsoft Sentinel käyttöönotto- ja siirtotyökirjasta oikeasta yläkulmasta Siirtovihjeet ja Ohjeet-asetukseksiKyllä.

Näyttökuva työkirjan siirtovihjeistä ja -ohjeista.

Seuraavat vaiheet

Tässä artikkelissa olet oppinut seuraamaan siirtoa Microsoft Sentinel käyttöönotto- ja siirtotyökirjan avulla.

  • Last updated on