Guida operativa di Microsoft Sentinel
Questo articolo elenca le attività operative che consigliamo ai team delle operazioni di sicurezza (SOC) e agli amministratori della sicurezza di pianificare ed eseguire come parte delle normali attività di sicurezza con Microsoft Sentinel. Per altre informazioni sulla gestione delle operazioni di sicurezza, vedere Panoramica delle operazioni di sicurezza.
Attività quotidiane
Pianificare le attività seguenti ogni giorno.
| Attività | description |
|---|---|
| Valutare e analizzare gli eventi imprevisti | Esaminare la pagina Eventi imprevisti di Microsoft Sentinel per verificare la presenza di nuovi eventi imprevisti generati dalle regole di analisi attualmente configurate e iniziare a esaminare eventuali nuovi eventi imprevisti. Per altre informazioni, vedere Analizzare gli incidenti con Microsoft Sentinel. |
| Esplorare le query di ricerca e i segnalibri | Esplorare i risultati per tutte le query predefinite e aggiornare le query di ricerca e i segnalibri esistenti. Generare manualmente nuovi eventi imprevisti o aggiornare gli eventi imprevisti precedenti, se applicabile. Per altre informazioni, vedere: - Creare automaticamente eventi imprevisti da Avvisi - di sicurezza Microsoft Caccia alle minacce con Microsoft Sentinel Tenere traccia dei dati durante la ricerca con Microsoft Sentinel - |
| Regole analitiche | Esaminare e abilitare nuove regole di analisi in base alle esigenze, incluse le regole appena rilasciate o appena disponibili dai connettori dati connessi di recente. |
| Connettori dati | Esaminare lo stato, la data e l'ora dell'ultimo log ricevuto da ogni connettore dati per assicurarsi che i dati vengano trasmessi. Verificare la presenza di nuovi connettori ed esaminare l'inserimento per assicurarsi che i limiti impostati non vengano superati. Per altre informazioni, vedere Procedure consigliate per la raccolta dati e Connettere le origini dati. |
| Agente di Monitoraggio di Azure | Verificare che i server e le workstation siano connessi attivamente all'area di lavoro e risolvere i problemi e correggere eventuali connessioni non riuscite. Per altre informazioni, vedere la panoramica dell'agente di Monitoraggio di Azure. |
| Errori del playbook | Verificare gli stati di esecuzione del playbook e risolvere eventuali errori. Per altre informazioni, vedere Esercitazione: Rispondere alle minacce usando playbook con regole di automazione in Microsoft Sentinel. |
Attività settimanali
Pianificare le attività seguenti ogni settimana.
| Attività | description |
|---|---|
| Revisione del contenuto di soluzioni o contenuto autonomo | Ottenere tutti gli aggiornamenti del contenuto per le soluzioni installate o il contenuto autonomo dall'hub contenuto. Esaminare nuove soluzioni o contenuti autonomi che potrebbero essere di valore per l'ambiente, ad esempio regole di analisi, cartelle di lavoro, query di ricerca o playbook. |
| Controllo di Microsoft Sentinel | Esaminare l'attività di Microsoft Sentinel per vedere chi ha aggiornato o eliminato risorse, ad esempio regole di analisi, segnalibri e così via. Per altre informazioni, vedere Controllare query e attività di Microsoft Sentinel. |
Attività mensili
Pianificare le attività seguenti mensilmente.
| Attività | description |
|---|---|
| Esaminare l'accesso utente | Esaminare le autorizzazioni per gli utenti e verificare la presenza di utenti inattivi. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel. |
| Revisione dell'area di lavoro Log Analytics | Verificare che i criteri di conservazione dei dati dell'area di lavoro Log Analytics siano ancora allineati ai criteri dell'organizzazione. Per altre informazioni, vedere Criteri di conservazione dei dati e Integrare Azure Esplora dati per la conservazione dei log a lungo termine. |