Рекомендации для Microsoft Sentinel
Рекомендации приведены в технической документации по Microsoft Sentinel. В этой статье рассматриваются некоторые ключевые рекомендации по развертыванию, управлению и использованию Microsoft Sentinel.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Настройка Microsoft Sentinel
Начните с руководства по развертыванию Microsoft Sentinel. В руководстве по развертыванию рассматриваются высокоуровневые шаги по планированию, развертыванию и точной настройке развертывания Microsoft Sentinel. В этом руководстве выберите предоставленные ссылки, чтобы найти подробные рекомендации по каждому этапу развертывания.
Интеграция служб безопасности Майкрософт
Среда Microsoft Sentinel работает на базе компонентов, которые отправляют данные в рабочую область, и эффективно задействует интеграции с другими службами Майкрософт. Все журналы, которые добавляются в продукты, такие как приложения Microsoft Defender для облака, Microsoft Defender для конечной точки и Microsoft Defender для удостоверений, разрешать этим службам создавать обнаружения и, в свою очередь, предоставлять эти обнаружения в Microsoft Sentinel. Журналы также можно принимать непосредственно в Microsoft Sentinel, что позволяет формировать более полную картину событий и инцидентов.
Например, на следующем рисунке показано, как Microsoft Sentinel прием данных из других службы Майкрософт и многооблачных и партнерских платформ для предоставления покрытия для вашей среды:
Кроме приема оповещений и журналов из других источников, Microsoft Sentinel также выполняет следующие действия:
- Использует получаемые сведения в машинном обучении, что улучшает корреляцию событий, агрегирование оповещений, обнаружение аномалий и многое другое.
- Создает и отображает интерактивные визуальные элементы с помощью книг, демонстрируя тенденции, связанные сведения и ключевые данные для административных задач и исследований.
- Запускает сборники схем для работы с оповещениями, сбора информации, выполнения различных действий с элементами и отправки уведомлений на различные платформы.
- Интегрируется с платформами партнеров, такими как ServiceNow и JIRA, для предоставления ключевых служб командам SOC.
- Принимает и получает каналы обогащения от платформ аналитики угроз, извлекая ценные данные для анализа.
Дополнительные сведения об интеграции данных из других служб или поставщиков см. в соединителях данных Microsoft Sentinel.
Попробуйте подключить Microsoft Sentinel к порталу Microsoft Defender, чтобы объединить возможности с XDR Microsoft Defender, такими как управление инцидентами и расширенная охота. Дополнительные сведения см. в следующих статьях:
- Подключение Microsoft Sentinel к XDR в Microsoft Defender
- Microsoft Sentinel на портале Microsoft Defender
Управление инцидентами и реагирование
На изображении ниже показаны рекомендуемые действия в процессе управления инцидентами и реагирования на них.
В следующей таблице приведены общие описания использования функций Microsoft Sentinel для управления инцидентами и реагирования. Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel.
| Возможность | Рекомендация |
|---|---|
| Инциденты | Все созданные инциденты отображаются на странице Инциденты, которая централизует процесс рассмотрения и начального изучения. На странице Инциденты отображаются название инцидента, его серьезность, связанные оповещения, журналы и другие релевантные объекты. От инцидентов также можно быстро переходить к собранным журналам и связанным с инцидентом инструментам. |
| Граф исследования | Страница Инциденты вместе с графом изучения представляет собой интерактивный инструмент, который позволяет пользователям исследовать и подробно изучить оповещение, чтобы раскрыть всю область атаки. Затем пользователи могут сформировать временную шкалу событий и определить масштаб цепочки угроз. Здесь представлены основные сущности, такие как учетные записи, URL-адреса, IP-адрес, имена узлов, действия, временная шкала и многое другое. Эти данные позволяют понять, имеете ли вы дело с ложноположительным результатом: в этом случае инцидент можно сразу закрыть. Если инцидент является истинноположительным, вы можете принять меры непосредственно на странице Инциденты, исследуя там журналы, сущности и цепочку угроз. После определения угрозы и создания плана действий используйте другие средства в Microsoft Sentinel и других службах безопасности Майкрософт для продолжения изучения. |
| Визуализация сведений | Чтобы визуализировать и получить анализ того, что происходит в вашей среде, сначала ознакомьтесь с панелью мониторинга обзора Microsoft Sentinel, чтобы получить представление о безопасности вашей организации. Дополнительные сведения см. в разделе Визуализация собранных данных. Помимо информации и тенденций на странице обзора Microsoft Sentinel книги являются ценными средствами расследования. Например, книга Аналитические сведения для исследования позволяет изучать конкретные инциденты вместе со связанными с ними объектами и оповещениями. С ее помощью вы можете глубже изучить соответствующие сущности, просматривая связанные журналы, действия и оповещения. |
| Поиск угроз | В ходе исследования и поиска первопричин вы можете запускать встроенные запросы охоты на угрозы и проверять результаты на наличие индикаторов компрометации. Дополнительные сведения см. в статье "Поиск угроз" в Microsoft Sentinel. Во время расследования или после принятия мер по исправлению и искоренению угрозы используйте трансляцию. Livestream позволяет отслеживать, в режиме реального времени, независимо от того, существуют ли какие-либо сохраняющиеся вредоносные события, или если вредоносные события по-прежнему продолжаются. |
| Поведение сущностей | Поведение сущностей в Microsoft Sentinel позволяет пользователям просматривать и исследовать действия и оповещения для определенных сущностей, например исследовать учетные записи и имена узлов. Дополнительные сведения см. в разделе: - Настройка аналитики поведения пользователей и сущностей в Microsoft Sentinel - Исследование инцидентов с помощью данных UEBA - Справочник по обогащению UEBA для Microsoft Sentinel |
| Списки отслеживания | Используйте списки контроля на основе полученных данных и внешних источников, таких как данные обогащения. Например, вы можете создавать списки диапазонов IP-адресов, используемых вашей организацией или недавно уволенными сотрудниками. Списки контроля со сборниками схем можно использовать для сбора данных обогащения, например для добавления вредоносных IP-адресов в списки контроля для обнаружения, охоты на угрозы и расследований. Во время инцидента используйте списки наблюдения для хранения данных исследования, а затем удалите их при выполнении расследования, чтобы убедиться, что конфиденциальные данные не остаются в представлении. Дополнительные сведения см. в списках наблюдения в Microsoft Sentinel. |
Связанный контент
Кері байланыс
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз: https://aka.ms/ContentUserFeedback.
Жіберу және пікірді көру