Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article présente les activités qui vous aident à planifier, déployer et affiner votre déploiement Microsoft Sentinel.
Vue d’ensemble de la planification et de la préparation
Cette section présente les activités et les prérequis qui vous aident à planifier et à préparer avant de déployer Microsoft Sentinel.
La phase de planification et de préparation est généralement effectuée par un architecte SOC ou des rôles associés.
| Étape | Détails |
|---|---|
| 1. Planifier et préparer la vue d’ensemble et les prérequis | Passez en revue les prérequis du locataire Azure. |
| 2. Planifier l’architecture de l’espace de travail | Concevez votre espace de travail Log Analytics activé pour Microsoft Sentinel. Que vous soyez ou non intégré au portail Microsoft Defender, vous aurez toujours besoin d’un espace de travail Log Analytics. Tenez compte des paramètres tels que : - Si vous allez utiliser un seul locataire ou plusieurs locataires - Toutes les exigences de conformité que vous avez pour la collecte et le stockage des données - Comment contrôler l’accès aux données Microsoft Sentinel Consultez ces articles : 1. Concevoir l’architecture de l’espace de travail 3. Examiner les exemples de conceptions d’espace de travail 4. Préparer plusieurs espaces de travail |
| 3. Hiérarchiser les connecteurs de données | Déterminez les sources de données dont vous avez besoin et les exigences en matière de taille des données pour vous aider à projeter avec précision le budget et la chronologie de votre déploiement. Vous pouvez déterminer ces informations lors de la révision de votre cas d’usage professionnel ou en évaluant un SIEM actuel que vous avez déjà en place. Si vous avez déjà un SIEM en place, analysez vos données pour comprendre quelles sources de données fournissent le plus de valeur et doivent être ingérées dans Microsoft Sentinel. |
| 4. Planifier les rôles et les autorisations | Utilisez Azure contrôle d’accès en fonction du rôle (RBAC) pour créer et attribuer des rôles au sein de votre équipe des opérations de sécurité afin d’accorder l’accès approprié à Microsoft Sentinel. Les différents rôles vous donnent un contrôle précis sur ce que Microsoft Sentinel utilisateurs peuvent voir et faire. Azure rôles peuvent être attribués directement dans l’espace de travail, ou dans un abonnement ou un groupe de ressources auquel appartient l’espace de travail, dont Microsoft Sentinel hérite. |
| 5. Coûts du plan | Commencez à planifier votre budget, en tenant compte des implications en matière de coûts pour chaque scénario planifié. Assurez-vous que votre budget couvre le coût de l’ingestion des données pour Microsoft Sentinel et Azure Log Analytics, tous les playbooks qui seront déployés, etc. |
Vue d’ensemble du déploiement
La phase de déploiement est généralement effectuée par un analyste SOC ou des rôles associés.
| Étape | Détails |
|---|---|
| 1. Activer la Microsoft Sentinel, l’intégrité et l’audit, et le contenu | Activez Microsoft Sentinel, activez la fonctionnalité d’intégrité et d’audit, et activez les solutions et le contenu que vous avez identifiés en fonction des besoins de votre organization.
Pour intégrer à Microsoft Sentinel à l’aide de l’API, consultez la dernière version prise en charge de Sentinel Des états d’intégration. |
| 2. Configurer le contenu | Configurez les différents types de contenu de sécurité Microsoft Sentinel, qui vous permettent de détecter, de surveiller et de répondre aux menaces de sécurité sur vos systèmes : connecteurs de données, règles d’analyse, règles d’automatisation, playbooks, classeurs et watchlists. |
| 3. Configurer une architecture inter-espaces de travail | Si votre environnement nécessite plusieurs espaces de travail, vous pouvez désormais les configurer dans le cadre de votre déploiement. Dans cet article, vous allez apprendre à configurer Microsoft Sentinel pour s’étendre à plusieurs espaces de travail et locataires. |
| 4. Activer l’analyse du comportement des utilisateurs et des entités (UEBA) | Activez et utilisez la fonctionnalité UEBA pour simplifier le processus d’analyse. |
| 5. Configurer Microsoft Sentinel lac de données | Configurez les paramètres interactifs et de conservation des données pour vous assurer que votre organization conserve les données critiques à long terme, en tirant parti du lac de données Microsoft Sentinel pour un stockage économique, une visibilité améliorée et une intégration transparente aux outils d’analytique avancés. |
Réglage et révision : liste de vérification pour le post-déploiement
Passez en revue la liste de contrôle post-déploiement pour vous assurer que votre processus de déploiement fonctionne comme prévu et que le contenu de sécurité que vous avez déployé fonctionne et protège votre organization en fonction de vos besoins et de vos cas d’usage.
La phase d’optimisation et de révision est généralement effectuée par un ingénieur SOC ou des rôles connexes.
| Étape | Actions |
|---|---|
| ✅ Passer en revue les incidents et le processus d’incident | - Vérifiez si les incidents et le nombre d’incidents que vous voyez reflètent ce qui se passe réellement dans votre environnement. - Vérifiez si le processus d’incident de votre SOC fonctionne pour gérer efficacement les incidents : avez-vous affecté différents types d’incidents à différents niveaux/couches du SOC ? Apprenez-en davantage sur la navigation et l’examen des incidents et sur l’utilisation des tâches relatives aux incidents. |
| ✅ Examiner et affiner les règles d’analyse | - En fonction de votre examen des incidents, case activée si vos règles d’analyse sont déclenchées comme prévu et si les règles reflètent les types d’incidents qui vous intéressent. - Gérez les faux positifs, soit à l’aide de l’automatisation, soit en modifiant des règles d’analyse planifiées. - Microsoft Sentinel fournit des fonctionnalités de réglage précis intégrées pour vous aider à analyser vos règles d’analyse. Passez en revue ces insights intégrés et implémentez les recommandations pertinentes. |
| ✅ Passer en revue les règles d’automatisation et les playbooks | - Comme pour les règles d’analyse, case activée que vos règles d’automatisation fonctionnent comme prévu et reflètent les incidents qui vous intéressent et qui vous intéressent. - Vérifiez si vos playbooks répondent aux alertes et aux incidents comme prévu. |
| ✅ Ajouter des données à des watchlists | Vérifiez que vos watchlists sont à jour. Si des modifications se sont produites dans votre environnement, telles que de nouveaux utilisateurs ou des cas d’usage, mettez à jour vos watchlists en conséquence. |
| ✅ Passer en revue les niveaux d’engagement | Passez en revue les niveaux d’engagement que vous avez initialement configurés et vérifiez que ces niveaux reflètent votre configuration actuelle. |
| ✅ Effectuer le suivi des coûts d’ingestion | Pour suivre les coûts d’ingestion, utilisez l’un des classeurs suivants : - Le classeur Rapport d’utilisation de l’espace de travail fournit les statistiques de consommation, de coût et d’utilisation des données de votre espace de travail. Le classeur fournit l’ingestion des données de l’espace de travail status et la quantité de données gratuites et facturables. Vous pouvez utiliser la logique du classeur pour surveiller l’ingestion et les coûts des données, et pour créer des vues personnalisées et des alertes basées sur des règles. - Le classeur coût Microsoft Sentinel offre une vue plus ciblée des coûts Microsoft Sentinel, notamment les données d’ingestion et de rétention, les données d’ingestion pour les sources de données éligibles, les informations de facturation Logic Apps, etc. |
| ✅ Affiner les règles de collecte de données (DCR) | - Vérifiez que vos DCR reflètent vos besoins d’ingestion de données et vos cas d’usage. - Si nécessaire, implémentez une transformation au moment de l’ingestion pour filtrer les données non pertinentes avant même qu’elles ne soient stockées dans votre espace de travail. |
| ✅ Vérifier les règles d’analyse par rapport à l’infrastructure MITRE | Vérifiez votre couverture MITRE dans la page MITRE Microsoft Sentinel : affichez les détections déjà actives dans votre espace de travail et celles que vous pouvez configurer pour comprendre la couverture de sécurité de votre organization, en fonction des tactiques et techniques de l’infrastructure MITRE ATT&CK®. |
| ✅ Rechercher les activités suspectes | Assurez-vous que votre SOC dispose d’un processus de repérage proactif des menaces. La chasse est un processus dans lequel les analystes de sécurité recherchent des menaces et des comportements malveillants non détectés. En créant une hypothèse, en recherchant des données et en validant cette hypothèse, ils déterminent sur quoi agir. Les actions peuvent inclure la création de nouvelles détections, de nouvelles informations sur les menaces ou l’épinglage d’un nouvel incident. |
Articles connexes
Dans cet article, vous avez passé en revue les activités de chacune des phases qui vous aident à déployer Microsoft Sentinel.
Selon la phase dans laquelle vous vous trouvez, choisissez les étapes suivantes appropriées :
- Planifier et préparer - Prérequis pour déployer Azure Sentinel
- Déployer - Activer les fonctionnalités et le contenu Microsoft Sentinel et initiaux
- Ajuster et réviser - Naviguer et examiner les incidents dans Microsoft Sentinel
Lorsque vous avez terminé votre déploiement de Microsoft Sentinel, continuez à explorer Microsoft Sentinel fonctionnalités en consultant les didacticiels qui couvrent les tâches courantes :
- Qu’est-ce que Microsoft Sentinel lac de données ?
- Transférer des données Syslog vers un espace de travail Log Analytics avec Microsoft Sentinel à l’aide de l’agent Azure Monitor
- Configurer la rétention au niveau de la table
- Détecter les menaces à l’aide de règles d’analyse
- Case activée et enregistrer automatiquement les informations de réputation des adresses IP dans les incidents
- Répondre aux menaces à l’aide de l’automatisation
- Extraire des entités d’incident avec une action non native
- Examiner avec UEBA
- Générer et surveiller des Confiance nulle
Passez en revue le guide opérationnel Microsoft Sentinel pour les activités SOC régulières que nous vous recommandons d’effectuer quotidiennement, hebdomadairement et mensuellement.