Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de activiteiten beschreven waarmee u uw Microsoft Sentinel implementatie kunt plannen, implementeren en verfijnen.
Overzicht plannen en voorbereiden
In deze sectie worden de activiteiten en vereisten beschreven die u helpen bij het plannen en voorbereiden voordat u Microsoft Sentinel implementeert.
De plannings- en voorbereidingsfase wordt doorgaans uitgevoerd door een SOC-architect of gerelateerde rollen.
| Stap | Details |
|---|---|
| 1. Overzicht en vereisten plannen en voorbereiden | Controleer de vereisten voor Azure tenant. |
| 2. Werkruimtearchitectuur plannen | Ontwerp uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Ongeacht of u onboarding naar de Microsoft Defender-portal wilt uitvoeren, hebt u nog steeds een Log Analytics-werkruimte nodig. Houd rekening met parameters zoals: - Of u één tenant of meerdere tenants gebruikt - Eventuele nalevingsvereisten voor gegevensverzameling en -opslag - Toegang tot Microsoft Sentinel gegevens beheren Bekijk deze artikelen: 1. Werkruimtearchitectuur ontwerpen 3. Bekijk voorbeeldwerkruimteontwerpen 4. Voorbereiden op meerdere werkruimten |
| 3. Prioriteit geven aan gegevensconnectors | Bepaal welke gegevensbronnen u nodig hebt en de vereisten voor de gegevensgrootte, zodat u het budget en de tijdlijn van uw implementatie nauwkeurig kunt projecteer. U kunt deze informatie bepalen tijdens de beoordeling van uw bedrijfsgebruikscase of door een huidige SIEM te evalueren die u al hebt. Als u al een SIEM hebt, analyseert u uw gegevens om te begrijpen welke gegevensbronnen de meeste waarde bieden en moeten worden opgenomen in Microsoft Sentinel. |
| 4. Rollen en machtigingen plannen | Gebruik Azure op rollen gebaseerd toegangsbeheer (RBAC) om rollen binnen uw beveiligingsteam te maken en toe te wijzen om de juiste toegang te verlenen aan Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat Microsoft Sentinel gebruikers kunnen zien en doen. Azure rollen kunnen rechtstreeks in de werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, die Microsoft Sentinel overnemen. |
| 5. Plankosten | Begin met het plannen van uw budget, rekening houdend met de kostengevolgen voor elk gepland scenario. Zorg ervoor dat uw budget de kosten van gegevensopname dekt voor zowel Microsoft Sentinel als Azure Log Analytics, eventuele playbooks die worden geïmplementeerd, enzovoort. |
Overzicht van implementatie
De implementatiefase wordt doorgaans uitgevoerd door een SOC-analist of gerelateerde rollen.
| Stap | Details |
|---|---|
| 1. Schakel Microsoft Sentinel, status en controle en inhoud in | Schakel Microsoft Sentinel in, schakel de status- en controlefunctie in en schakel de oplossingen en inhoud in die u hebt geïdentificeerd op basis van de behoeften van uw organisatie.
Als u wilt onboarden naar Microsoft Sentinel met behulp van de API, raadpleegt u de meest recente ondersteunde versie van Sentinel onboardingstatussen. |
| 2. Inhoud configureren | Configureer de verschillende typen Microsoft Sentinel beveiligingsinhoud, waarmee u beveiligingsrisico's in uw systemen kunt detecteren, bewaken en erop kunt reageren: gegevensconnectors, analyseregels, automatiseringsregels, playbooks, werkmappen en watchlists. |
| 3. Een architectuur voor meerdere werkruimten instellen | Als uw omgeving meerdere werkruimten vereist, kunt u deze nu instellen als onderdeel van uw implementatie. In dit artikel leert u hoe u Microsoft Sentinel instelt om uit te breiden naar meerdere werkruimten en tenants. |
| 4. Gebruikers- en entiteitsgedraganalyse (UEBA) inschakelen | Schakel de UEBA-functie in en gebruik deze om het analyseproces te stroomlijnen. |
| 5. Microsoft Sentinel data lake configureren | Configureer interactieve instellingen en instellingen voor gegevensretentie om ervoor te zorgen dat uw organisatie essentiële langetermijngegevens behoudt, waarbij gebruik wordt gemaakt van de Microsoft Sentinel Data Lake voor rendabele opslag, verbeterde zichtbaarheid en naadloze integratie met geavanceerde analysehulpprogramma's. |
Afstemmen en controleren: Controlelijst voor post-implementatie
Bekijk de controlelijst na de implementatie om ervoor te zorgen dat uw implementatieproces werkt zoals verwacht en dat de beveiligingsinhoud die u hebt geïmplementeerd, werkt en uw organisatie beschermt volgens uw behoeften en gebruiksscenario's.
De verfijnings- en beoordelingsfase wordt doorgaans uitgevoerd door een SOC-technicus of gerelateerde rollen.
| Stap | Acties |
|---|---|
| ✅ Incidenten en incidentproces controleren | - Controleer of de incidenten en het aantal incidenten dat u ziet, overeenkomen met wat er daadwerkelijk gebeurt in uw omgeving. - Controleer of het incidentproces van uw SOC werkt om incidenten efficiënt af te handelen: Hebt u verschillende typen incidenten toegewezen aan verschillende lagen/lagen van de SOC? Meer informatie over het navigeren en onderzoeken van incidenten en het werken met incidenttaken. |
| ✅ Analyseregels controleren en verfijnen | - Controleer op basis van uw incidentbeoordeling of uw analyseregels worden geactiveerd zoals verwacht en of de regels overeenkomen met de typen incidenten waarin u geïnteresseerd bent. - Fout-positieven verwerken met behulp van automatisering of door geplande analyseregels te wijzigen. - Microsoft Sentinel biedt ingebouwde verfijningsmogelijkheden om u te helpen uw analyseregels te analyseren. Bekijk deze ingebouwde inzichten en implementeer relevante aanbevelingen. |
| ✅ Automatiseringsregels en playbooks controleren | - Controleer, net als bij analyseregels, of uw automatiseringsregels werken zoals verwacht, en geef de incidenten weer waarover u zich zorgen maakt en waarin u geïnteresseerd bent. - Controleer of uw playbooks reageren op waarschuwingen en incidenten zoals verwacht. |
| ✅ Gegevens toevoegen aan volglijsten | Controleer of uw volglijsten up-to-date zijn. Als er wijzigingen zijn opgetreden in uw omgeving, zoals nieuwe gebruikers of use cases, werkt u uw volglijsten dienovereenkomstig bij. |
| ✅ Toezeggingslagen controleren | Controleer de toezeggingslagen die u in eerste instantie hebt ingesteld en controleer of deze lagen overeenkomen met uw huidige configuratie. |
| ✅ Opnamekosten bijhouden | Gebruik een van deze werkmappen om de opnamekosten bij te houden: - De werkmap Werkruimtegebruiksrapport bevat de gegevensverbruik, kosten en gebruiksstatistieken van uw werkruimte. De werkmap geeft de gegevensopnamestatus van de werkruimte en de hoeveelheid gratis en factureerbare gegevens. U kunt de werkmaplogica gebruiken om gegevensopname en kosten te bewaken en om aangepaste weergaven en waarschuwingen op basis van regels te bouwen. - De werkmap Microsoft Sentinel Kosten biedt een meer gerichte weergave van Microsoft Sentinel kosten, waaronder opname- en bewaargegevens, opnamegegevens voor in aanmerking komende gegevensbronnen, factureringsgegevens van Logic Apps en meer. |
| ✅ Regels voor gegevensverzameling (DCR's) nauwkeurig afstemmen | - Controleer of uw DDR's overeenkomen met uw behoeften en gebruiksscenario's voor gegevensopname. - Implementeer zo nodig transformatie van opnametijd om irrelevante gegevens te filteren voordat deze voor het eerst in uw werkruimte worden opgeslagen. |
| ✅ Analyseregels controleren op mitre-framework | Controleer uw MITRE-dekking op de pagina Microsoft Sentinel MITRE: bekijk de detecties die al actief zijn in uw werkruimte en de detecties die u kunt configureren, om inzicht te krijgen in de beveiligingsdekking van uw organisatie, op basis van de tactieken en technieken van het MITRE ATT&CK-framework®. |
| ✅ Zoeken naar verdachte activiteiten | Zorg ervoor dat uw SOC een proces heeft voor het proactief opsporen van bedreigingen. Opsporing is een proces waarbij beveiligingsanalisten op zoek zijn naar niet-gedetecteerde bedreigingen en schadelijk gedrag. Door een hypothese te maken, gegevens te doorzoeken en die hypothese te valideren, bepalen ze waar ze op moeten reageren. Acties kunnen bestaan uit het maken van nieuwe detecties, nieuwe bedreigingsinformatie of het opzetten van een nieuw incident. |
Verwante artikelen
In dit artikel hebt u de activiteiten in elk van de fasen bekeken die u helpen bij het implementeren van Microsoft Sentinel.
Afhankelijk van de fase waarin u zich bevindt, kiest u de juiste volgende stappen:
- Plannen en voorbereiden : vereisten voor het implementeren van Azure Sentinel
- Implementeren: Microsoft Sentinel en initiële functies en inhoud inschakelen
- Verfijnen en controleren - Navigeren en onderzoeken van incidenten in Microsoft Sentinel
Wanneer u klaar bent met de implementatie van Microsoft Sentinel, kunt u Microsoft Sentinel mogelijkheden verder verkennen door zelfstudies te bekijken die algemene taken behandelen:
- Wat is Microsoft Sentinel data lake?
- Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van Azure Monitor-agent
- Retentie op tabelniveau configureren
- Bedreigingen detecteren met behulp van analyseregels
- Ip-adresreputatiegegevens automatisch controleren en vastleggen in incidenten
- Reageren op bedreigingen met behulp van automatisering
- Incidententiteiten met niet-systeemeigen actie extraheren
- Onderzoeken met UEBA
- Zero Trust bouwen en bewaken
Bekijk de Microsoft Sentinel operationele handleiding voor de reguliere SOC-activiteiten die u dagelijks, wekelijks en maandelijks kunt uitvoeren.