Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo presenta le attività che consentono di pianificare, distribuire e ottimizzare la distribuzione Microsoft Sentinel.
Panoramica della pianificazione e della preparazione
Questa sezione presenta le attività e i prerequisiti che consentono di pianificare e preparare prima di distribuire Microsoft Sentinel.
La fase di pianificazione e preparazione viene in genere eseguita da un architetto SOC o da ruoli correlati.
| Passaggio | Dettagli |
|---|---|
| 1. Pianificare e preparare la panoramica e i prerequisiti | Esaminare i prerequisiti del tenant Azure. |
| 2. Pianificare l'architettura dell'area di lavoro | Progettare l'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Indipendentemente dal fatto che si stia eseguendo l'onboarding nel portale di Microsoft Defender, sarà comunque necessaria un'area di lavoro Log Analytics. Prendere in considerazione parametri come: - Se si userà un singolo tenant o più tenant - Tutti i requisiti di conformità per la raccolta e l'archiviazione dei dati - Come controllare l'accesso ai dati Microsoft Sentinel Esaminare questi articoli: 1. Progettare l'architettura dell'area di lavoro 3. Esaminare le progettazioni di aree di lavoro di esempio 4. Preparare più aree di lavoro |
| 3. Assegnare priorità ai connettori dati | Determinare le origini dati necessarie e i requisiti relativi alle dimensioni dei dati per pianificare in modo accurato il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già esistente. Se si dispone già di un SIEM, analizzare i dati per comprendere quali origini dati forniscono il valore maggiore e devono essere inserite in Microsoft Sentinel. |
| 4. Pianificare ruoli e autorizzazioni | Usare Azure controllo degli accessi in base al ruolo per creare e assegnare ruoli all'interno del team delle operazioni di sicurezza per concedere l'accesso appropriato a Microsoft Sentinel. I diversi ruoli offrono un controllo granulare su ciò che Microsoft Sentinel utenti possono visualizzare e fare. Azure ruoli possono essere assegnati direttamente nell'area di lavoro o in una sottoscrizione o in un gruppo di risorse a cui appartiene l'area di lavoro, che Microsoft Sentinel eredita. |
| 5. Pianificare i costi | Iniziare a pianificare il budget, considerando le implicazioni sui costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dei dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. |
Panoramica della distribuzione
La fase di distribuzione viene in genere eseguita da un analista SOC o da ruoli correlati.
| Passaggio | Dettagli |
|---|---|
| 1. Abilitare Microsoft Sentinel, integrità e controllo e contenuto | Abilitare Microsoft Sentinel, abilitare la funzionalità di integrità e controllo e abilitare le soluzioni e i contenuti identificati in base alle esigenze dell'organizzazione.
Per eseguire l'onboarding in Microsoft Sentinel usando l'API, vedere la versione più recente supportata di Sentinel Stati di onboarding. |
| 2. Configurare il contenuto | Configurare i diversi tipi di contenuti di sicurezza Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi: connettori dati, regole di analisi, regole di automazione, playbook, cartelle di lavoro e watchlist. |
| 3. Configurare un'architettura tra aree di lavoro | Se l'ambiente richiede più aree di lavoro, è ora possibile configurarle come parte della distribuzione. Questo articolo illustra come configurare Microsoft Sentinel da estendere tra più aree di lavoro e tenant. |
| 4. Abilitare User and Entity Behavior Analytics (UEBA) | Abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. |
| 5. Configurare Microsoft Sentinel data lake | Configurare le impostazioni interattive e di conservazione dei dati per garantire che l'organizzazione conservi i dati critici a lungo termine, sfruttando il data lake Microsoft Sentinel per un'archiviazione conveniente, una visibilità migliorata e un'integrazione senza problemi con strumenti di analisi avanzati. |
Ottimizzazione e revisione: Elenco di controllo per la post-distribuzione
Esaminare l'elenco di controllo post-distribuzione per assicurarsi che il processo di distribuzione funzioni come previsto e che il contenuto di sicurezza distribuito funzioni e protegga l'organizzazione in base alle esigenze e ai casi d'uso.
La fase di ottimizzazione e revisione viene in genere eseguita da un tecnico SOC o da ruoli correlati.
| Passaggio | Azioni |
|---|---|
| ✅ Esaminare gli eventi imprevisti e il processo degli eventi imprevisti | - Controllare se gli eventi imprevisti e il numero di eventi imprevisti visualizzati riflettono ciò che sta effettivamente accadendo nell'ambiente. - Verificare se il processo degli eventi imprevisti del SOC funziona per gestire in modo efficiente gli eventi imprevisti: sono stati assegnati diversi tipi di eventi imprevisti a livelli/livelli diversi del SOC? Altre informazioni su come esplorare e analizzare gli eventi imprevisti e su come usare le attività degli eventi imprevisti. |
| ✅ Rivedere e ottimizzare le regole di analisi | - In base alla verifica degli eventi imprevisti, verificare se le regole di analisi vengono attivate come previsto e se le regole riflettono i tipi di eventi imprevisti a cui si è interessati. - Gestire i falsi positivi, usando l'automazione o modificando le regole di analisi pianificata. - Microsoft Sentinel offre funzionalità di ottimizzazione predefinite che consentono di analizzare le regole di analisi. Esaminare queste informazioni dettagliate predefinite e implementare le raccomandazioni pertinenti. |
| ✅ Esaminare le regole di automazione e i playbook | - Analogamente alle regole di analisi, verificare che le regole di automazione funzionino come previsto e riflettere gli eventi imprevisti a cui si è interessati. - Controllare se i playbook rispondono agli avvisi e agli eventi imprevisti come previsto. |
| ✅ Aggiungere dati agli elenchi di controllo | Verificare che le watchlist siano aggiornate. Se si sono verificate modifiche nell'ambiente, ad esempio nuovi utenti o casi d'uso, aggiornare le watchlist di conseguenza. |
| ✅ Esaminare i livelli di impegno | Esaminare i livelli di impegno configurati inizialmente e verificare che questi livelli riflettano la configurazione corrente. |
| ✅ Tenere traccia dei costi di inserimento | Per tenere traccia dei costi di inserimento, usare una di queste cartelle di lavoro: - La cartella di lavoro Report utilizzo area di lavoro fornisce le statistiche sull'utilizzo dei dati, sui costi e sull'utilizzo dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dei dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento dei dati e i costi e creare visualizzazioni personalizzate e avvisi basati su regole. - La cartella di lavoro costo Microsoft Sentinel offre una visualizzazione più mirata dei costi di Microsoft Sentinel, inclusi i dati di inserimento e conservazione, i dati di inserimento per le origini dati idonee, le informazioni di fatturazione di App per la logica e altro ancora. |
| ✅ Ottimizzare le regole di raccolta dati (DCR) | - Verificare che i dcr riflettano le esigenze di inserimento dei dati e i casi d'uso. - Se necessario, implementare la trasformazione in fase di inserimento per filtrare i dati irrilevanti anche prima che vengano archiviati per la prima volta nell'area di lavoro. |
| ✅ Controllare le regole di analisi rispetto al framework MITRE | Controllare la copertura MITRE nella pagina Microsoft Sentinel MITRE: visualizzare i rilevamenti già attivi nell'area di lavoro e quelli disponibili per la configurazione, per comprendere la copertura di sicurezza dell'organizzazione, in base alle tattiche e alle tecniche del framework MITRE ATT&CK®. |
| ✅ Cercare attività sospette | Assicurarsi che il soc disponga di un processo per la ricerca proattiva delle minacce. La ricerca è un processo in cui gli analisti della sicurezza cercano minacce non rilevate e comportamenti dannosi. Creando un'ipotesi, cercando i dati e convalidando tale ipotesi, determinano su cosa agire. Le azioni possono includere la creazione di nuovi rilevamenti, una nuova intelligence sulle minacce o la creazione di un nuovo evento imprevisto. |
Articoli correlati
In questo articolo sono state esaminate le attività in ognuna delle fasi che consentono di distribuire Microsoft Sentinel.
A seconda della fase in cui ci si sta, scegliere i passaggi successivi appropriati:
- Pianificare e preparare : prerequisiti per la distribuzione di Azure Sentinel
- Distribuisci: abilitare Microsoft Sentinel e le funzionalità iniziali e il contenuto
- Ottimizzare e rivedere: esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
Al termine della distribuzione di Microsoft Sentinel, continuare a esplorare le funzionalità di Microsoft Sentinel esaminando le esercitazioni che illustrano le attività comuni:
- Che cos'è Microsoft Sentinel data lake?
- Inoltrare i dati di Syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando Azure'agente di monitoraggio
- Configurare la conservazione a livello di tabella
- Rilevare le minacce usando le regole di analisi
- Controllare e registrare automaticamente le informazioni sulla reputazione degli indirizzi IP negli eventi imprevisti
- Rispondere alle minacce usando l'automazione
- Estrarre entità evento imprevisto con un'azione non nativa
- Analizzare con UEBA
- Compilare e monitorare Zero Trust
Esaminare la guida operativa Microsoft Sentinel per le normali attività SOC che è consigliabile eseguire quotidianamente, settimanalmente e mensilmente.