Procedure consigliate per Microsoft Sentinel
Le indicazioni sulle procedure consigliate vengono fornite in tutta la documentazione tecnica per Microsoft Sentinel. Questo articolo illustra alcune indicazioni chiave da usare per la distribuzione, la gestione e l'uso di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Configurazione di Microsoft Sentinel
Iniziare con la guida alla distribuzione per Microsoft Sentinel. La guida alla distribuzione illustra i passaggi generali per pianificare, distribuire e ottimizzare la distribuzione di Microsoft Sentinel. In questa guida selezionare i collegamenti forniti per trovare indicazioni dettagliate per ogni fase della distribuzione.
Integrazioni del servizio di sicurezza Microsoft
Microsoft Sentinel è dotato dei componenti che inviano dati all'area di lavoro ed è reso più efficace grazie alle integrazioni con altri servizi Microsoft. Tutti i log inseriti in prodotti, ad esempio app Microsoft Defender per il cloud, Microsoft Defender per endpoint e Microsoft Defender per identità, consentono a questi servizi di creare rilevamenti e a loro volta forniscono tali rilevamenti a Microsoft Sentinel. I log possono anche essere inseriti direttamente in Microsoft Sentinel per fornire un quadro più completo per eventi ed eventi imprevisti.
Ad esempio, l'immagine seguente mostra come Microsoft Sentinel inserisce i dati da altre piattaforme di servizi Microsoft e multicloud e partner per fornire copertura per l'ambiente:
Oltre a inserire avvisi e log da altre origini, Microsoft Sentinel:
- Usa le informazioni che inserisce con Machine Learning che consente una migliore correlazione di eventi, aggregazione di avvisi, rilevamento anomalie e altro ancora.
- Compila e presenta oggetti visivi interattivi tramite cartelle di lavoro, con tendenze, informazioni correlate e dati chiave usati sia per le attività amministrative che per le indagini.
- Esegue playbook per agire sugli avvisi, raccogliere informazioni, eseguire azioni sugli elementi e inviare notifiche a diverse piattaforme.
- Si integra con le piattaforme partner, ad esempio ServiceNow e Jira, per fornire servizi essenziali per i team SOC.
- Inserisce e recupera i feed di arricchimento dalle piattaforme di intelligence per le minacce per portare dati preziosi per l'analisi.
Per altre informazioni sull'integrazione dei dati di altri servizi o provider, vedere Connettori dati di Microsoft Sentinel.
Prendere in considerazione l'onboarding di Microsoft Sentinel nel portale di Microsoft Defender per unificare le funzionalità con Microsoft Defender XDR, ad esempio la gestione degli eventi imprevisti e la ricerca avanzata. Per altre informazioni, vedere gli articoli seguenti:
- Connessione Microsoft Sentinel a Microsoft Defender XDR
- Microsoft Sentinel nel portale di Microsoft Defender
Gestione e risposta degli eventi imprevisti
L'immagine seguente mostra i passaggi consigliati in un processo di gestione e risposta degli eventi imprevisti.
La tabella seguente fornisce descrizioni generali per l'uso delle funzionalità di Microsoft Sentinel per la gestione e la risposta degli eventi imprevisti. Per altre informazioni, vedere Analizzare gli eventi imprevisti con Microsoft Sentinel.
Funzionalità | Procedura consigliata |
---|---|
Incidenti | Tutti gli eventi imprevisti generati vengono visualizzati nella pagina Eventi imprevisti , che funge da posizione centrale per la valutazione e l'analisi anticipata. La pagina Eventi imprevisti elenca il titolo, la gravità e gli avvisi correlati, i log e le entità di interesse. Gli eventi imprevisti forniscono anche un rapido passaggio ai log raccolti e agli strumenti correlati all'evento imprevisto. |
Grafico dell'indagine | La pagina Eventi imprevisti interagisce con il grafico indagine, uno strumento interattivo che consente agli utenti di esplorare e approfondire un avviso per mostrare l'ambito completo di un attacco. Gli utenti possono quindi costruire una sequenza temporale di eventi e individuare l'estensione di una catena di minacce. Individuare le entità chiave, ad esempio account, URL, indirizzo IP, nomi host, attività, sequenza temporale e altro ancora. Usare questi dati per capire se si dispone di un falso positivo , nel qual caso è possibile chiudere direttamente l'evento imprevisto. Se si scopre che l'evento imprevisto è un vero positivo, intervenire direttamente dalla pagina Eventi imprevisti per analizzare log, entità ed esplorare la catena di minacce. Dopo aver identificato la minaccia e creato un piano di azione, usare altri strumenti in Microsoft Sentinel e altri servizi di sicurezza Microsoft per continuare l'analisi. |
Visualizzazione delle informazioni | Per visualizzare e ottenere un'analisi di ciò che accade nell'ambiente, vedere prima di tutto il dashboard di panoramica di Microsoft Sentinel per avere un'idea del comportamento di sicurezza dell'organizzazione. Per altre informazioni, vedere Visualizzare i dati raccolti. Oltre alle informazioni e alle tendenze nella pagina di panoramica di Microsoft Sentinel, le cartelle di lavoro sono strumenti di indagine preziosi. Ad esempio, usare la cartella di lavoro di Investigation Insights per analizzare eventi imprevisti specifici insieme a eventuali entità e avvisi associati. Questa cartella di lavoro consente di approfondire le entità visualizzando log, azioni e avvisi correlati. |
Ricerca di minacce | Durante l'analisi e la ricerca di cause radice, eseguire query di ricerca delle minacce predefinite e verificare i risultati per eventuali indicatori di compromissione. Per altre informazioni, vedere Ricerca di minacce in Microsoft Sentinel. Durante un'indagine o dopo aver adottato misure per correggere ed eradicare la minaccia, usare livestream. Livestream consente di monitorare, in tempo reale, se ci sono eventi dannosi persistenti o se gli eventi dannosi continuano. |
Comportamento delle entità | Il comportamento delle entità in Microsoft Sentinel consente agli utenti di esaminare e analizzare azioni e avvisi per entità specifiche, ad esempio l'analisi di account e nomi host. Per altre informazioni, vedi: - Abilitare Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel - Analizzare gli eventi imprevisti con i dati UEBA - Informazioni di riferimento sull'arricchimento UEBA di Microsoft Sentinel |
Watchlist | Usare un watchlist che combina i dati di dati inseriti e origini esterne, ad esempio dati di arricchimento. Ad esempio, creare elenchi di intervalli di indirizzi IP usati dall'organizzazione o dipendenti terminati di recente. Usare watchlist con playbook per raccogliere dati di arricchimento, ad esempio l'aggiunta di indirizzi IP dannosi agli elenchi di controllo da usare durante il rilevamento, la ricerca delle minacce e le indagini. Durante un evento imprevisto, usare watchlist per contenere i dati di indagine e quindi eliminarli quando viene eseguita l'indagine per garantire che i dati sensibili non rimangano visualizzati. Per altre informazioni, vedere Watchlists in Microsoft Sentinel. |
Attività SOC regolari da eseguire
Pianificare regolarmente le attività di Microsoft Sentinel seguenti per garantire procedure consigliate per la sicurezza continua:
Attività quotidiane
Valutare e analizzare gli eventi imprevisti. Esaminare la pagina Eventi imprevisti di Microsoft Sentinel per verificare la presenza di nuovi eventi imprevisti generati dalle regole di analisi attualmente configurate e iniziare a esaminare eventuali nuovi eventi imprevisti. Per altre informazioni, vedere Analizzare gli eventi imprevisti con Microsoft Sentinel.
Esplorare le query di ricerca e i segnalibri. Esplorare i risultati per tutte le query predefinite e aggiornare le query di ricerca e i segnalibri esistenti. Generare manualmente nuovi eventi imprevisti o aggiornare gli eventi imprevisti precedenti, se applicabile. Per altre informazioni, vedi:
Regole di analisi. Esaminare e abilitare nuove regole di analisi in base alle esigenze, incluse le regole appena rilasciate o appena disponibili dai connettori dati connessi di recente.
Connettori dati. Esaminare lo stato, la data e l'ora dell'ultimo log ricevuto da ogni connettore dati per assicurarsi che i dati vengano trasmessi. Verificare la presenza di nuovi connettori ed esaminare l'inserimento per assicurarsi che i limiti impostati non vengano superati. Per altre informazioni, vedere Procedure consigliate per la raccolta dati e Connessione origini dati.
Agente di Log Analytics. Verificare che i server e le workstation siano connessi attivamente all'area di lavoro e risolvere i problemi e correggere eventuali connessioni non riuscite. Per altre informazioni, vedere Panoramica dell'agente di Log Analytics.
Errori del playbook. Verificare gli stati di esecuzione del playbook e risolvere eventuali errori. Per altre informazioni, vedere Esercitazione: Rispondere alle minacce usando playbook con regole di automazione in Microsoft Sentinel.
Attività settimanali
Revisione del contenuto di soluzioni o contenuto autonomo. Ottenere tutti gli aggiornamenti del contenuto per le soluzioni installate o il contenuto autonomo dall'hub contenuto. Esaminare nuove soluzioni o contenuti autonomi che potrebbero essere di valore per l'ambiente, ad esempio regole di analisi, cartelle di lavoro, query di ricerca o playbook.
Controllo di Microsoft Sentinel. Esaminare l'attività di Microsoft Sentinel per vedere chi ha aggiornato o eliminato risorse, ad esempio regole di analisi, segnalibri e così via. Per altre informazioni, vedere Controllare query e attività di Microsoft Sentinel.
Attività mensili
Esaminare l'accesso utente. Esaminare le autorizzazioni per gli utenti e verificare la presenza di utenti inattivi. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
Revisione dell'area di lavoro Log Analytics. Verificare che i criteri di conservazione dei dati dell'area di lavoro Log Analytics siano ancora allineati ai criteri dell'organizzazione. Per altre informazioni, vedere Criteri di conservazione dei dati e Integrare Azure Esplora dati per la conservazione dei log a lungo termine.
Contenuto correlato
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per