Configurare il contenuto di Microsoft Sentinel
Nel passaggio di distribuzione precedente sono stati abilitati Microsoft Sentinel, il monitoraggio dell'integrità e le soluzioni necessarie. Questo articolo illustra come configurare i diversi tipi di contenuti di sicurezza di Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi. Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.
Configurare i contenuti di sicurezza
| Procedi | Descrizione |
|---|---|
| Configurare i connettori dati | In base alle origini dati selezionate quando è stata pianificata la distribuzione, e dopo aver abilitato le soluzioni pertinenti, è ora possibile installare o configurare i connettori dati. - Se si usa un connettore esistente, trovare il connettore da questo elenco completo dei connettori dati. - Se si sta creando un connettore personalizzato, usare queste risorse. - Se si configura un connettore per l'inserimento di log CEF o Syslog, esaminare queste opzioni. |
| Configurare le regole di analisi | Dopo aver configurato Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è possibile iniziare a usare le regole di analisi per rilevare le minacce. Selezionare i passaggi necessari per definire e configurare le regole di analisi: - Creare regole pianificate da modelli o da zero: creare regole di analisi per individuare minacce e comportamenti anomali nell'ambiente. - Eseguire il mapping dei campi dati alle entità: aggiungere o modificare mapping di entità in una regola di analisi. - Dettagli personalizzati di Surface negli avvisi: aggiungere o modificare i dettagli personalizzati in una regola di analisi. - Personalizzare i dettagli degli avvisi: eseguire l'override delle proprietà predefinite degli avvisi con il contenuto dei risultati della query sottostante. - Esportare e importare regole di analisi: esportare le regole di analisi nei file di modello di Azure Resource Manager (ARM) e importare regole da questi file. L'azione di esportazione crea un file JSON nel percorso di download del browser, che è quindi possibile rinominare, spostare e gestire in altro modo come qualsiasi altro file. - Creare regole di analisi di rilevamento in tempo quasi reale (NRT): creare regole di analisi in tempo quasi reale per il rilevamento automatico delle minacce quasi al minuto. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di un minuto. - lavorare con regole di analisi del rilevamento anomalie: usare modelli di anomalie predefiniti che sfruttano migliaia di origini dati e milioni di eventi, oppure modificare soglie e parametri per le anomalie all'interno dell'interfaccia utente. - Gestire le versioni dei modelli per le regole di analisi pianificate: tenere traccia delle versioni dei modelli di regole di analisi e ripristinare le regole attive alle versioni dei modelli esistenti o aggiornarle a quelle nuove. - Gestire il ritardo di inserimento nelle regole di analisi pianificate: informazioni su come il ritardo di inserimento potrebbe influire sulle regole di analisi pianificate e su come risolverli per coprire queste lacune. |
| Configurare le regole di automazione | Creare le regole di automazione. Definire i trigger e le condizioni che determinano quando viene eseguita la regola di automazione, le varie azioni che è possibile far eseguire alla regola e le funzionalità rimanenti. |
| Configurare i playbook | Un playbook è una raccolta di azioni correttive eseguite da Microsoft Sentinel come routine per contribuire ad automatizzare e orchestrare la risposta alle minacce. Per configurare i playbook: - Esaminare i playbook consigliati - Creare playbook da modelli: un modello di playbook è un flusso di lavoro predefinito, testato e pronto per l'uso che può essere personalizzato per soddisfare le proprie esigenze. I modelli possono anche fungere da riferimento per le procedure consigliate quando si sviluppano playbook da zero, o come ispirazione per i nuovi scenari di automazione. - Esaminare questi passaggi per la creazione di un playbook |
| Configurare le cartelle di lavoro | Le cartelle di lavoro offrono un canvas flessibile per l'analisi dei dati e la creazione di report visivi avanzati in Microsoft Sentinel. I modelli di cartella di lavoro consentono di ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati. Per configurare le cartelle di lavoro: - Esaminare le cartelle di lavoro di uso comune di Microsoft Sentinel - Usare i modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto - Creare cartelle di lavoro personalizzate tra i dati |
| Configurare watchlist | Le watchlist consentono di correlare i dati da un'origine dati fornita con gli eventi nell'ambiente di Microsoft Sentinel. Per configurare watchlist: - Creare watchlist - Compilare query o regole di rilevamento con watchlist: eseguire query sui dati in qualsiasi tabella rispetto ai dati di una watchlist trattando l'elenco di controllo come tabella per join e ricerche. Quando si crea una watchlist, si definisce la chiave di ricerca. La chiave di ricerca è il nome di una colonna nella watchlist che si prevede di usare come join con altri dati o come oggetto frequente di ricerche. |
Passaggi successivi
In questo articolo si è appreso come configurare i diversi tipi di contenuti di sicurezza di Microsoft Sentinel.