Operationele handleiding voor Microsoft Sentinel
In dit artikel vindt u een overzicht van de operationele activiteiten die we raden aan SOC-teams (Security Operations) en beveiligingsbeheerders te plannen en uit te voeren als onderdeel van hun reguliere beveiligingsactiviteiten met Microsoft Sentinel. Zie Het overzicht van beveiligingsbewerkingen voor meer informatie over het beheren van uw beveiligingsbewerkingen.
Dagelijkse taken
Plan de volgende activiteiten dagelijks.
| Opdracht | beschrijving |
|---|---|
| Incidenten classificeren en onderzoeken | Bekijk de pagina Microsoft Sentinel-incidenten om te controleren op nieuwe incidenten die zijn gegenereerd door de momenteel geconfigureerde analyseregels en begin met het onderzoeken van nieuwe incidenten. Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie. |
| Opsporingsquery's en bladwijzers verkennen | Bekijk de resultaten voor alle ingebouwde query's en werk bestaande opsporingsquery's en bladwijzers bij. Genereer handmatig nieuwe incidenten of werk oude incidenten bij, indien van toepassing. Zie voor meer informatie: - Automatisch incidenten maken van Microsoft-beveiligingswaarschuwingen - Jacht op bedreigingen met Microsoft Sentinel Bijhouden van gegevens tijdens het opsporen met Microsoft Sentinel - |
| Analytische regels | Controleer en schakel nieuwe analyseregels in, inclusief zowel nieuw uitgebrachte als nieuw beschikbare regels van onlangs verbonden gegevensconnectors. |
| Gegevensconnectors | Controleer de status, datum en tijd van het laatste logboek dat is ontvangen van elke gegevensconnector om ervoor te zorgen dat de gegevens stromen. Controleer op nieuwe connectors en controleer de opname om ervoor te zorgen dat de ingestelde limieten niet worden overschreden. Zie best practices voor gegevensverzameling en Verbinding maken met gegevensbronnen voor meer informatie. |
| Azure Monitor-agent | Controleer of servers en werkstations actief zijn verbonden met de werkruimte en los problemen op en herstel eventuele mislukte verbindingen. Zie het overzicht van de Azure Monitor-agent voor meer informatie. |
| Playbookfouten | Controleer de uitvoeringsstatussen van playbook en los eventuele fouten op. Zie Zelfstudie: Reageren op bedreigingen met behulp van playbooks met automatiseringsregels in Microsoft Sentinel voor meer informatie. |
Wekelijkse taken
Plan de volgende activiteiten wekelijks.
| Opdracht | beschrijving |
|---|---|
| Inhoudsbeoordeling van oplossingen of zelfstandige inhoud | Download inhoudsupdates voor uw geïnstalleerde oplossingen of zelfstandige inhoud van de Content Hub. Bekijk nieuwe oplossingen of zelfstandige inhoud die mogelijk van waarde is voor uw omgeving, zoals analyseregels, werkmappen, opsporingsquery's of playbooks. |
| Microsoft Sentinel-controle | Bekijk microsoft Sentinel-activiteit om te zien wie resources heeft bijgewerkt of verwijderd, zoals analyseregels, bladwijzers enzovoort. Zie Microsoft Sentinel-query's en -activiteiten controleren voor meer informatie. |
Maandelijkse taken
Plan de volgende activiteiten maandelijks.
| Opdracht | beschrijving |
|---|---|
| Gebruikerstoegang controleren | Controleer de machtigingen voor uw gebruikers en controleer op inactieve gebruikers. Zie Machtigingen in Microsoft Sentinel voor meer informatie. |
| Beoordeling van Log Analytics-werkruimte | Controleer of het bewaarbeleid voor gegevensretentie van de Log Analytics-werkruimte nog steeds overeenkomt met het beleid van uw organisatie. Zie Het bewaarbeleid voor gegevens en integreer Azure Data Explorer voor langetermijnretentie van logboeken voor meer informatie. |