A Microsoft Sentinel migrálásának nyomon követése munkafüzettel
Mivel a szervezet biztonsági üzemeltetési központja (SOC) egyre több adatot kezel, elengedhetetlen az üzembe helyezés állapotának megtervezése és monitorozása. Bár az áttelepítési folyamatot olyan általános eszközökkel követheti nyomon, mint a Microsoft Project, a Microsoft Excel, a Microsoft Teams vagy az Azure DevOps, ezek az eszközök nem a biztonsági információkra és az eseménykezelésre (SIEM) vonatkozó migrálás nyomon követésére vonatkoznak. A nyomon követés érdekében egy dedikált munkafüzetet biztosítunk a Microsoft Sentinelben a Microsoft Sentinel üzembe helyezése és áttelepítése néven.
A munkafüzet segítséget nyújt a következőkben:
- A migrálás előrehaladásának megjelenítése
- Adatforrások üzembe helyezése és nyomon követése
- Elemzési szabályok és incidensek üzembe helyezése és monitorozása
- Munkafüzetek üzembe helyezése és használata
- Automatizálás üzembe helyezése és végrehajtása
- Felhasználók és entitások viselkedéselemzésének üzembe helyezése és testreszabása (U E B A)
Ez a cikk bemutatja, hogyan követheti nyomon a migrálást a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetével, hogyan szabhatja testre és kezelheti a munkafüzetet, és hogyan használhatja a munkafüzet füleit adatösszekötők, elemzések, incidensek, forgatókönyvek, automatizálási szabályok, U E B A és adatkezelés üzembe helyezésére és figyelésére. További információ az Azure Monitor-munkafüzetek Microsoft Sentinelben való használatáról.
A munkafüzet tartalmának üzembe helyezése és a munkafüzet megtekintése
A munkafüzet beszerzéséhez először telepítse az önálló elemet a Microsoft Sentinel Tartalomközpontjából .
A Microsoft Sentinel Tartalomközpontban szűrje a Munkafüzetek tartalomtípus = szerint felsorolt tartalmakat, majd írja be a migrálást a keresősávba.
A keresési eredmények között válassza ki a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetét, majd válassza a Telepítés lehetőséget. A Microsoft Sentinel üzembe helyezi a munkafüzetet, és menti a munkafüzetet a környezetében.
A Microsoft Sentinel Fenyegetéskezelés területén válassza a Munkafüzetsablonok>lehetőséget.
Válassza ki a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetét, és tekintse meg a sablont.
A figyelőlista üzembe helyezése
A következő lépés a kapcsolódó figyelőlista üzembe helyezése a Microsoft Sentinel GitHub-adattárból.
- A Microsoft Sentinel GitHub-adattárban válassza a DeploymentandMigration mappát, majd az Üzembe helyezés az Azure-ban lehetőséget a sablon üzembe helyezésének megkezdéséhez az Azure-ban.
- Adja meg a Microsoft Sentinel erőforráscsoportot és a munkaterület nevét.
- Válassza a Véleményezés és létrehozás lehetőséget.
- Az adatok ellenőrzése után válassza a Létrehozás lehetőséget.
A figyelőlista frissítése üzembe helyezési és migrálási műveletekkel
Ez a lépés kulcsfontosságú a nyomkövetési beállítási folyamat szempontjából. Ha kihagyja ezt a lépést, a munkafüzet nem tükrözi a nyomon követés elemeit.
A figyelőlista frissítése üzembe helyezési és migrálási műveletekkel:
- Az Azure-ban vagy a Microsoft Defender portálon válassza a Microsoft Sentinel, majd a Figyelőlista lehetőséget.
- Válassza ki az üzembehelyezési aliast tartalmazó figyelőlistát.
- Ezután válassza az Update watchlist edit watchlist items (Figyelőlista > frissítése) lehetőséget.
- Adja meg az üzembe helyezéshez és a migráláshoz szükséges műveleteket.
- Válassza a Mentés lehetőséget.
Most már megtekintheti a figyelőlistát a migrálás-követő munkafüzetben. Megtudhatja, hogyan kezelheti az figyelőlistákat.
Emellett a csapat frissítheti vagy elvégezheti a feladatokat az üzembe helyezési folyamat során. A módosítások kezeléséhez frissítse a meglévő műveleteket, vagy adjon hozzá új műveleteket az új használati esetek azonosításakor vagy új követelmények beállításakor. Műveletek frissítéséhez vagy hozzáadásához szerkessze az üzembe helyezett üzembe helyezési figyelőlistát. A folyamat egyszerűsítése érdekében a munkafüzetben válassza az Üzembehelyezési figyelőlista szerkesztése lehetőséget, hogy közvetlenül a munkafüzetből nyissa meg a figyelőlistát.
Az üzembe helyezés állapotának megtekintése
Az üzembe helyezés előrehaladásának gyors megtekintéséhez a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében válassza az Üzembe helyezés lehetőséget, és görgessen le a folyamat összegzésének megkereséséhez. Ez a terület az üzembe helyezés állapotát jeleníti meg, beleértve a következő információkat:
- Táblák jelentési adatai
- Adatok jelentésére szolgáló táblák száma
- A jelentett naplók száma, és hogy mely táblák jelentik a naplóadatokat
- Engedélyezett szabályok és nem üzembe helyezési szabályok száma
- Ajánlott munkafüzetek üzembe helyezése
- Üzembe helyezett munkafüzetek teljes száma
- Üzembe helyezett forgatókönyvek teljes száma
Adatösszekötők üzembe helyezése és monitorozása
Az üzembe helyezett erőforrások monitorozásához és az új összekötők üzembe helyezéséhez válassza a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében az Adatösszekötők monitorozása >lehetőséget. A Monitor nézet listái:
- Aktuális betöltési trendek
- Adatbetöltési táblák
- Az egyes táblák adatainak jelentése
- Végpontok jelentéskészítése a Microsoft Monitoring Agenttel (MMA)
- Végpontok jelentéskészítése az Azure Monitoring Agenttel (AMA)
- Végpontok jelentéskészítése az MMA- és az AMA-ügynökökkel
- Adatgyűjtési szabályok az erőforráscsoportban és a szabályokhoz társított eszközök
- Adatösszekötő állapota (változások és hibák)
- Állapotnaplók a megadott időtartományon belül
Adatösszekötő konfigurálása:
- Válassza a Konfigurálás nézetet .
- Válassza ki a konfigurálni kívánt összekötő nevét tartalmazó gombot.
- Konfigurálja az összekötőt a megnyíló összekötő állapotképernyőjén. Ha nem találja a szükséges összekötőt, válassza ki az összekötő nevét az összekötő katalógusának vagy megoldásgyűjteményének megnyitásához.
Elemzések és incidensek üzembe helyezése és monitorozása
Amikor az adatok a munkaterületen jelentkeznek, konfigurálja és monitorozza az elemzési szabályokat. A Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében válassza az Elemzés lapot az összes üzembe helyezett szabálysablon és -lista megtekintéséhez. Ez a nézet azt jelzi, hogy mely szabályok vannak jelenleg használatban, és milyen gyakran generálnak incidenseket a szabályok.
Ha további lefedettségre van szüksége, válassza a MITRE-lefedettség áttekintése lehetőséget a bal oldali táblázat alatt. Ezzel a beállítással meghatározhatja, hogy mely területek kapnak nagyobb lefedettséget, és mely szabályok legyenek üzembe helyezve a migrálási projekt bármely szakaszában.
Amikor üzembe helyezi az elemzési szabályokat, és a Defender termékösszekötő a riasztások küldéséhez van konfigurálva, figyelje az incidensek létrehozását és gyakoriságát az üzembe helyezési > folyamat összefoglalása alatt. Ezen a területen a riasztások termék, cím és besorolás szerinti generálásával kapcsolatos metrikákat jelenít meg, amelyek jelzik az SOC állapotát, és hogy mely riasztások igényelnek a legnagyobb figyelmet. Ha a riasztások túl sok kötetet hoznak létre, térjen vissza az Elemzés lapra a logika módosításához.
Munkafüzetek üzembe helyezése és használata
A Microsoft Sentinel által végzett adatbetöltéssel és észleléssel kapcsolatos információk megjelenítéséhez válassza a Munkafüzetek lehetőséget a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében. Az Adatösszekötők laphoz hasonlóan a Monitorozás és konfigurálás nézetekkel tekintheti meg a figyelési és konfigurációs információkat.
Íme néhány hasznos feladat a Munkafüzetek lapon:
Ha meg szeretné tekinteni a környezet összes munkafüzetének listáját, és hogy hány munkafüzet van üzembe helyezve, válassza a Figyelés lehetőséget.
Ha meg szeretne tekinteni egy adott munkafüzetet a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében, jelöljön ki egy munkafüzetet, majd válassza a Kijelölt munkafüzet megnyitása lehetőséget.
Ha még nem telepített munkafüzeteket, válassza a Konfigurálás lehetőséget a gyakran használt és ajánlott munkafüzetek listájának megtekintéséhez. Ha egy munkafüzet nem szerepel a listában, a megfelelő munkafüzet üzembe helyezéséhez válassza a Munkafüzettár megnyitása vagy a Tartalomközpont megnyitása lehetőséget.
Forgatókönyvek és automatizálási szabályok üzembe helyezése és monitorozása
Az adatbetöltés, az észlelések és a vizualizációk konfigurálásakor most már az automatizálást is megvizsgálhatja. A Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében válassza az Automation lehetőséget az üzembe helyezett forgatókönyvek megtekintéséhez, valamint annak megtekintéséhez, hogy mely forgatókönyvek csatlakoznak jelenleg egy automatizálási szabályhoz. Ha léteznek automatizálási szabályok, a munkafüzet a következő információkat emeli ki az egyes szabályokkal kapcsolatban:
- Név
- Állapot
- A szabály művelete vagy műveletei
- A szabály utolsó módosításának dátuma és a szabályt módosító felhasználó
- A szabály létrehozásának dátuma
Ha a munkafüzet aktuális szakaszában szeretné megtekinteni, üzembe helyezni és tesztelni az automatizálást, válassza a bal alsó sarokban található Automation-erőforrások üzembe helyezése lehetőséget.
Ismerje meg a Microsoft Sentinel SOAR képességeit forgatókönyvekhez és automatizálási szabályokhoz.
Az U E B A üzembe helyezése és monitorozása
Mivel az adatjelentések és észlelések entitásszinten történnek, elengedhetetlen az entitások viselkedésének és trendjeinek monitorozása. Az U E B A funkció Microsoft Sentinelen belüli engedélyezéséhez a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében válassza az UEBA lehetőséget. Itt testre szabhatja az entitásoldalak entitás-idővonalait, és megtekintheti, hogy mely entitásokhoz kapcsolódó táblák vannak feltöltve adatokkal.
Az U E B A engedélyezése:
- Válassza az UEBA engedélyezése lehetőséget a táblák listája fölött.
- Az U E B A engedélyezéséhez válassza a Be lehetőséget.
- Válassza ki azokat az adatforrásokat, amelyeket elemzések létrehozásához szeretne használni.
- Válassza az Alkalmazás lehetőséget.
Az U E B A engedélyezése után figyelje meg és győződjön meg arról, hogy a Microsoft Sentinel U E B A-adatokat hoz létre.
Az ütemterv testreszabása:
- Válassza az Entitás ütemtervének testreszabása lehetőséget a táblák listája fölött.
- Hozzon létre egy egyéni elemet, vagy válasszon egy beépített sablont.
- A sablon üzembe helyezéséhez és a varázsló befejezéséhez válassza a Létrehozás lehetőséget.
További információ az U E B A-ról vagy az ütemterv testreszabásáról.
Az adatéletciklus konfigurálása és kezelése
A Microsoft Sentinel üzembe helyezésekor vagy migrálásakor elengedhetetlen a bejövő naplók használatának és életciklusának kezelése. A Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében válassza a adatkezelés a táblák megőrzésének és archiválásának megtekintéséhez és konfigurálásához.
Információk megtekintése a következőkkel kapcsolatban:
- Az alapszintű naplóbetöltéshez konfigurált táblák
- Az elemzési szintek betöltéséhez konfigurált táblák
- Archiválásra konfigurált táblák
- Táblák az alapértelmezett munkaterület-megőrzésről
A táblák meglévő adatmegőrzési szabályzatának módosítása:
- Válassza ki az Alapértelmezett adatmegőrzési táblák nézetet .
- Jelölje ki a módosítani kívánt táblát, és válassza az Adatmegőrzés frissítése lehetőséget. Szükség szerint szerkessze a következő információkat:
- Aktuális megőrzés a munkaterületen
- Aktuális megőrzés az archívumban
- Az adatok által a környezetben töltött napok teljes száma
- Szerkessze a TotalRetention értéket úgy, hogy beállítsa az adatoknak a környezetben való létezésének új teljes számát.
Az ArchiveRetention érték kiszámítása úgy történik, hogy kivonja a TotalRetention értéket az InteractiveRetention értékből. Ha módosítania kell a munkaterület adatmegőrzését, a módosítás nem befolyásolja a konfigurált archívumokat és adatokat tartalmazó táblákat. Ha szerkessze az InteractiveRetention értéket, és a TotalRetention érték nem változik, az Azure Log Analytics a módosítás kompenzálása érdekében módosítja az archív adatmegőrzést.
Ha a felhasználói felületen szeretne módosításokat végezni, a megfelelő lap megnyitásához válassza a Felhasználói felületen a megőrzés frissítése lehetőséget.
Tudnivalók az adatéletciklus-kezelésről.
Migrálási tippek és utasítások engedélyezése
Az üzembe helyezési és migrálási folyamat segítése érdekében a munkafüzet tippeket tartalmaz, amelyek ismertetik a különböző lapok használatát, valamint a kapcsolódó erőforrásokra mutató hivatkozásokat. A tippek a Microsoft Sentinel migrálási dokumentációján alapulnak, és relevánsak az aktuális SIEM-hez. A tippek és utasítások engedélyezéséhez a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetében a jobb felső sarokban állítsa a Migrálási tippeket és utasításokat igen értékre.
Következő lépések
Ebben a cikkben megtanulta, hogyan követheti nyomon a migrálást a Microsoft Sentinel üzembe helyezési és migrálási munkafüzetével.