Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen introduserer aktiviteter som hjelper deg med å planlegge, distribuere og finjustere Microsoft Sentinel distribusjonen.
Planlegge og klargjøre oversikt
Denne delen introduserer aktivitetene og forutsetningene som hjelper deg med å planlegge og forberede deg før du distribuerer Microsoft Sentinel.
Plan- og klargjøringsfasen utføres vanligvis av en SOC-arkitekt eller relaterte roller.
| Trinn | Detaljer |
|---|---|
| 1. Planlegge og klargjøre oversikt og forutsetninger | Se gjennom forutsetningene for Azure leier. |
| 2. Planlegge arbeidsområdearkitektur | Utform Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel. Uavhengig av om du skal ta på deg pålasting til Microsoft Defender-portalen, trenger du fremdeles et log analytics-arbeidsområde. Vurder parametere som: – Om du skal bruke én enkelt leier eller flere leiere – Alle samsvarskrav du har for innsamling og lagring av data – Slik kontrollerer du tilgang til Microsoft Sentinel data Se gjennom disse artiklene: 1. Utforme arbeidsområdearkitektur 3. Se gjennom eksempel på utforming av arbeidsområder 4. Klargjøre for flere arbeidsområder |
| 3. Prioritere datakoblinger | Finn ut hvilke datakilder du trenger, og kravene til datastørrelse for å hjelpe deg med å projisere distribusjonens budsjett og tidslinje nøyaktig. Du kan avgjøre denne informasjonen under gjennomgang av forretningsbrukstilfeller, eller ved å evaluere en gjeldende SIEM som du allerede har på plass. Hvis du allerede har en SIEM på plass, kan du analysere dataene for å forstå hvilke datakilder som gir mest verdi og bør tas inn i Microsoft Sentinel. |
| 4. Planlegge roller og tillatelser | Bruk Azure rollebasert tilgangskontroll (RBAC) til å opprette og tilordne roller i sikkerhetsoperasjonsteamet for å gi riktig tilgang til Microsoft Sentinel. De ulike rollene gir deg finjustert kontroll over hva Microsoft Sentinel brukere kan se og gjøre. Azure roller kan tilordnes direkte i arbeidsområdet, eller i et abonnement eller en ressursgruppe som arbeidsområdet tilhører, som Microsoft Sentinel arver. |
| 5. Planlegg kostnader | Begynn å planlegge budsjettet, med tanke på kostnadsimplikasjoner for hvert planlagte scenario. Kontroller at budsjettet dekker kostnadene for datainntak for både Microsoft Sentinel og Azure Log Analytics, eventuelle strategibøker som skal distribueres og så videre. |
Distribusjonsoversikt
Distribusjonsfasen utføres vanligvis av en SOC-analytiker eller relaterte roller.
| Trinn | Detaljer |
|---|---|
| 1. Aktiver Microsoft Sentinel, tilstand og overvåking og innhold | Aktiver Microsoft Sentinel, aktiver tilstands- og revisjonsfunksjonen, og aktiver løsningene og innholdet du har identifisert i henhold til organisasjonens behov.
Hvis du vil ta en innføring i Microsoft Sentinel ved hjelp av API-en, kan du se den nyeste støttede versjonen av Sentinel Onboarding States. |
| 2. Konfigurere innhold | Konfigurer de ulike typene Microsoft Sentinel sikkerhetsinnhold, slik at du kan oppdage, overvåke og svare på sikkerhetstrusler på tvers av systemene: Datakoblinger, analyseregler, automatiseringsregler, strategiplan, arbeidsbøker og visningslister. |
| 3. Konfigurere en arkitektur på tvers av arbeidsområder | Hvis miljøet krever flere arbeidsområder, kan du nå konfigurere dem som en del av distribusjonen. I denne artikkelen lærer du hvordan du konfigurerer Microsoft Sentinel til å utvide på tvers av flere arbeidsområder og leiere. |
| 4. Aktiver UEBA (User and Entity Behavior Analytics) | Aktiver og bruk UEBA-funksjonen til å effektivisere analyseprosessen. |
| 5. Konfigurer Microsoft Sentinel datasjø | Konfigurer interaktive innstillinger og innstillinger for dataoppbevaring for å sikre at organisasjonen beholder kritiske langsiktige data, og dra nytte av Microsoft Sentinel datasjøen for kostnadseffektiv lagring, forbedret synlighet og sømløs integrering med avanserte analyseverktøy. |
Finjuster og se gjennom: Sjekkliste for etterdistribusjon
Se gjennom sjekklisten etter distribusjon for å hjelpe deg med å sikre at distribusjonsprosessen fungerer som forventet, og at sikkerhetsinnholdet du distribuerte, fungerer og beskytter organisasjonen i henhold til behovene og brukstilfellene dine.
Finjusterings- og gjennomgangsfasen utføres vanligvis av en SOC-tekniker eller relaterte roller.
| Trinn | Handlinger |
|---|---|
| ✅ Gjennomgå hendelser og hendelsesprosess | - Kontroller om hendelsene og antall hendelser du ser gjenspeiler hva som faktisk skjer i miljøet ditt. - Kontroller om SOCs hendelsesprosess arbeider for effektivt å håndtere hendelser: Har du tilordnet ulike typer hendelser til ulike lag/nivåer i SOC? Mer informasjon om hvordan du navigerer i og undersøker hendelser og hvordan du arbeider med hendelsesoppgaver. |
| ✅ Se gjennom og finjuster analyseregler | – Basert på hendelsesgjennomgangen sjekker du om analysereglene utløses som forventet, og om reglene gjenspeiler hvilke typer hendelser du er interessert i. - Håndter falske positiver, enten ved hjelp av automatisering eller ved å endre planlagte analyseregler. – Microsoft Sentinel gir innebygde finjusteringsfunksjoner for å hjelpe deg med å analysere analysereglene. Se gjennom disse innebygde innsiktene og implementer relevante anbefalinger. |
| ✅ Se gjennom automatiseringsregler og -strategibøker | – I likhet med analysereglene må du kontrollere at automatiseringsreglene fungerer som forventet, og gjenspeile hendelsene du er bekymret for og er interessert i. – Kontroller om strategiplanene reagerer på varsler og hendelser som forventet. |
| ✅ Legge til data i visningslister | Kontroller at visningslistene er oppdaterte. Hvis det har oppstått endringer i miljøet, for eksempel nye brukere eller brukstilfeller, oppdaterer du visningslistene i henhold til dette. |
| ✅ Se gjennom forpliktelsesnivåer | Se gjennom forpliktelsesnivåene du først konfigureringen av, og kontroller at disse nivåene gjenspeiler den gjeldende konfigurasjonen. |
| ✅ Hold oversikt over inntakskostnader | Hvis du vil holde oversikt over inntakskostnader, kan du bruke én av disse arbeidsbøkene: – Arbeidsboken for bruksrapporten for arbeidsområdet gir arbeidsområdets dataforbruk, kostnader og bruksstatistikk. Arbeidsboken gir arbeidsområdets datainntaksstatus og mengden gratis og fakturerbare data. Du kan bruke arbeidsboklogikken til å overvåke datainntak og kostnader, og til å bygge egendefinerte visninger og regelbaserte varsler. – Arbeidsboken Microsoft Sentinel Cost gir en mer fokusert oversikt over Microsoft Sentinel kostnader, inkludert inntaks- og oppbevaringsdata, inntaksdata for kvalifiserte datakilder, faktureringsinformasjon for Logic Apps og mer. |
| ✅ Finjustere datainnsamlingsregler (DCR-er) | – Kontroller at DCR-ene gjenspeiler datainntaksbehovene og brukstilfellene . – Om nødvendig implementerer du inntakstidstransformasjon for å filtrere ut irrelevante data selv før de først lagres i arbeidsområdet. |
| ✅ Kontroller analyseregler mot MITRE Framework | Kontroller MITRE-dekningen på Microsoft Sentinel MITRE-siden: Vis gjenkjenningene som allerede er aktive i arbeidsområdet, og de som er tilgjengelige for konfigurering, for å forstå organisasjonens sikkerhetsdekning, basert på taktikk og teknikker fra MITRE ATT&CK-rammeverket®. |
| ✅ Jakten på mistenkelig aktivitet | Sørg for at SOC har en prosess på plass for proaktiv trusseljakt. Jakt er en prosess der sikkerhetsanalytikere oppsøker uoppdagede trusler og ondsinnet atferd. Ved å opprette en hypotese, søke gjennom data og validere denne hypotesen, bestemmer de hva de skal handle på. Handlinger kan omfatte å opprette nye oppdagelser, ny trusselintelligens eller å snurre opp en ny hendelse. |
Relaterte artikler
I denne artikkelen har du gjennomgått aktivitetene i hver av fasene som hjelper deg med å distribuere Microsoft Sentinel.
Avhengig av hvilken fase du er i, velger du de neste trinnene:
- Planlegge og forberede – forutsetninger for å distribuere Azure Sentinel
- Distribuer – aktiver Microsoft Sentinel og innledende funksjoner og innhold
- Finjuster og se gjennom – Naviger og undersøk hendelser i Microsoft Sentinel
Når du er ferdig med distribusjonen av Microsoft Sentinel, kan du fortsette å utforske Microsoft Sentinel funksjoner ved å se gjennom opplæringer som dekker vanlige oppgaver:
- Hva er Microsoft Sentinel datasjø?
- Videresende Syslog-data til et Log Analytics-arbeidsområde med Microsoft Sentinel ved hjelp av Azure Monitor Agent
- Konfigurer oppbevaring på tabellnivå
- Oppdage trusler ved hjelp av analyseregler
- Kontroller og registrer informasjon om omdømme for IP-adresse automatisk i hendelser
- Svare på trusler ved hjelp av automatisering
- Trekk ut hendelsesenheter med ikke-opprinnelig handling
- Undersøk med UEBA
- Bygge og overvåke nulltillit
Se gjennom Microsoft Sentinel driftsveiledning for de vanlige SOC-aktivitetene vi anbefaler at du utfører daglig, ukentlig og månedlig.