Delen via

Uw Microsoft Sentinel-migratie bijhouden met een werkmap

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Naarmate het Security Operations Center (SOC) van uw organisatie groeiende hoeveelheden gegevens verwerkt, is het essentieel om uw implementatiestatus te plannen en bewaken. Hoewel u uw migratieproces kunt volgen met behulp van algemene hulpprogramma's zoals Microsoft Project, Microsoft Excel, Microsoft Teams of Azure DevOps, zijn deze hulpprogramma's niet specifiek voor het bijhouden van migratiegegevens en gebeurtenisbeheer (SIEM). Om u te helpen bij te houden, bieden we een speciale werkmap in Microsoft Sentinel met de naam Microsoft Sentinel-implementatie en -migratie.

De werkmap helpt u bij het volgende:

  • Voortgang van migratie visualiseren
  • Gegevensbronnen implementeren en bijhouden
  • Analyseregels en incidenten implementeren en bewaken
  • Werkmappen implementeren en gebruiken
  • Automatisering implementeren en uitvoeren
  • Gedragsanalyse van gebruikers en entiteiten implementeren en aanpassen (U E B A)

In dit artikel wordt beschreven hoe u uw migratie kunt bijhouden met de Microsoft Sentinel-implementatie- en migratiewerkmap , hoe u de werkmap aanpast en beheert, en hoe u de werkmaptabbladen gebruikt om gegevensconnectors, analyses, incidenten, playbooks, automatiseringsregels, U E B A en gegevensbeheer te implementeren en bewaken. Meer informatie over het gebruik van Azure Monitor-werkmappen in Microsoft Sentinel.

De inhoud van de werkmap implementeren en de werkmap weergeven

Als u de werkmap wilt ophalen, installeert u eerst het zelfstandige item van de Inhoudshub in Microsoft Sentinel.

  1. Filter in de Microsoft Sentinel-inhoudshub de inhoud die wordt vermeld op Werkmappen van het inhoudstype = en voer vervolgens de migratie in de zoekbalk in.

  2. Selecteer in de zoekresultaten de werkmap Microsoft Sentinel-implementatie en -migratie en selecteer vervolgens Installeren. Microsoft Sentinel implementeert de werkmap en slaat de werkmap op in uw omgeving.

  3. Selecteer in Microsoft Sentinel onder Bedreigingsbeheer> werkmapsjablonen.

  4. Selecteer de microsoft Sentinel-implementatie- en migratiewerkmap en de sjabloon Weergeven.

De volglijst implementeren

De volgende stap is het implementeren van de gerelateerde volglijst vanuit de GitHub-opslagplaats van Microsoft Sentinel.

  1. Selecteer in de GitHub-opslagplaats van Microsoft Sentinel de map DeploymentandMigration en selecteer Implementeren in Azure om de sjabloonimplementatie in Azure te starten.
  2. Geef de naam van de Microsoft Sentinel-resourcegroep en werkruimte op. Schermopname van het implementeren van de volglijst in Azure.
  3. Selecteer Controleren en maken.
  4. Nadat de informatie is gevalideerd, selecteert u Maken.

De volglijst bijwerken met implementatie- en migratieacties

Deze stap is van cruciaal belang voor het installatieproces voor tracering. Als u deze stap overslaat, worden de items voor het bijhouden niet weergegeven in de werkmap.

De volglijst bijwerken met implementatie- en migratieacties:

  1. Selecteer Microsoft Sentinel in de Azure- of Microsoft Defender-portal en selecteer vervolgens Volglijst.
  2. Selecteer de volglijst met de implementatiealias .
  3. Selecteer vervolgens Watchlist-items >bijwerken.
  4. Geef de informatie op voor de acties die nodig zijn voor de implementatie en migratie. Schermopname van het bijwerken van watchlist-items met implementatie- en migratieacties.
  5. Selecteer Opslaan.

U kunt nu de volglijst bekijken in de migratietrackerwerkmap. Meer informatie over het beheren van volglijsten.

Daarnaast kan uw team taken bijwerken of voltooien tijdens het implementatieproces. Als u deze wijzigingen wilt oplossen, werkt u bestaande acties bij of voegt u nieuwe acties toe wanneer u nieuwe use cases identificeert of stelt u nieuwe vereisten in. Als u acties wilt bijwerken of toevoegen, bewerkt u de implementatie-volglijst die u hebt geïmplementeerd. Als u het proces wilt vereenvoudigen, selecteert u in de werkmap Implementatie watchlist bewerken om de volglijst rechtstreeks vanuit de werkmap te openen.

Implementatiestatus weergeven

Als u de voortgang van de implementatie snel wilt bekijken, selecteert u in de werkmap Implementatie en migratie van Microsoft Sentinel de optie Implementatie en schuift u omlaag om het overzicht van de voortgang te vinden. In dit gebied wordt de implementatiestatus weergegeven, met inbegrip van de volgende informatie:

  • Rapportagegegevens voor tabellen
  • Aantal tabellen dat rapportgegevens rapporteert
  • Aantal gerapporteerde logboeken en welke tabellen de logboekgegevens rapporteren
  • Aantal ingeschakelde regels versus niet-geïmplementeerde regels
  • Aanbevolen werkmappen geïmplementeerd
  • Totaal aantal geïmplementeerde werkmappen
  • Totaal aantal geïmplementeerde playbooks

Gegevensconnectors implementeren en bewaken

Als u geïmplementeerde resources wilt bewaken en nieuwe connectors wilt implementeren, selecteert u in de werkmap Implementatie en migratie van Microsoft Sentinel de optie Gegevensconnectors > bewaken. De weergavelijsten Controleren :

  • Huidige opnametrends
  • Tabellen die gegevens opnemen
  • Hoeveel gegevens elke tabel rapporteert
  • Rapportage van eindpunten met Microsoft Monitoring Agent (MMA)
  • Rapportage van eindpunten met Azure Monitoring Agent (AMA)
  • Eindpunten rapporteren met zowel de MMA- als AMA-agents
  • Regels voor gegevensverzameling in de resourcegroep en de apparaten die zijn gekoppeld aan de regels
  • Status van gegevensconnector (wijzigingen en fouten)
  • Statuslogboeken binnen het opgegeven tijdsbereik

Schermopname van de monitorweergave van het tabblad Gegevensconnectors van de werkmap.

Een gegevensconnector configureren:

  1. Selecteer de weergave Configureren .
  2. Selecteer de knop met de naam van de connector die u wilt configureren.
  3. Configureer de connector in het statusscherm van de connector dat wordt geopend. Als u een connector die u nodig hebt niet kunt vinden, selecteert u de naam van de connector om de galerie of oplossingsgalerie van de connector te openen. Schermopname van de weergave Configureren van de werkmap.

Analyse en incidenten implementeren en bewaken

Wanneer de gegevens in de werkruimte worden gerapporteerd, configureert en bewaakt u analyseregels. Selecteer in de werkmap Implementatie en migratie van Microsoft Sentinel het tabblad Analyse om alle geïmplementeerde regelsjablonen en lijsten weer te geven. Deze weergave geeft aan welke regels momenteel worden gebruikt en hoe vaak de regels incidenten genereren.

Schermopname van het tabblad Analyse van de werkmap.

Als u meer dekking nodig hebt, selecteert u MITRE-dekking controleren onder de tabel aan de linkerkant. Gebruik deze optie om te definiëren welke gebieden meer dekking krijgen en welke regels worden geïmplementeerd, in elke fase van het migratieproject.

Schermopname van de MITRE-dekkingsweergave van de werkmap.

Wanneer u de analyseregels implementeert en de Defender-productconnector is geconfigureerd om de waarschuwingen te verzenden, controleert u het maken en de frequentie van incidenten onder Implementatieoverzicht > van de voortgang. In dit gebied worden metrische gegevens weergegeven met betrekking tot het genereren van waarschuwingen per product, titel en classificatie, om de status van de SOC aan te geven en welke waarschuwingen de meeste aandacht vereisen. Als waarschuwingen te veel volume genereren, gaat u terug naar het tabblad Analytics om de logica te wijzigen.

Schermopname van het overzicht van de voortgang op het tabblad Analyse van de werkmap.

Werkmappen implementeren en gebruiken

Als u informatie wilt visualiseren met betrekking tot de gegevensopname en detecties die Door Microsoft Sentinel worden uitgevoerd, selecteert u Werkmappen in de werkmap Microsoft Sentinel-implementatie en -migratie. Net als op het tabblad Gegevensconnectors gebruikt u de weergaven Bewaken en configureren om bewakings- en configuratiegegevens weer te geven.

Hier volgen enkele nuttige taken op het tabblad Werkmappen :

  • Als u een lijst wilt weergeven met alle werkmappen in de omgeving en hoeveel werkmappen er zijn geïmplementeerd, selecteert u Controleren.

  • Als u een specifieke werkmap in de werkmap Implementatie en migratie van Microsoft Sentinel wilt weergeven, selecteert u een werkmap en selecteert u Vervolgens Geselecteerde werkmap openen.

    Schermopname van het selecteren van een werkmap op het tabblad Werkmap.

  • Als u nog geen werkmappen hebt geïmplementeerd, selecteert u Configureren om een lijst met veelgebruikte en aanbevolen werkmappen weer te geven. Als een werkmap niet wordt weergegeven, selecteert u Ga naar werkmapgalerie of ga naar Inhoudshub om de relevante werkmap te implementeren.

    Schermopname van het weergeven van een werkmap op het tabblad Werkmap.

Playbooks en automatiseringsregels implementeren en bewaken

Wanneer u gegevensopname, detecties en visualisaties configureert, kunt u nu kijken naar automatisering. Selecteer Automation in de Microsoft Sentinel-implementatie- en migratiewerkmap om geïmplementeerde playbooks weer te geven en om te zien welke playbooks momenteel zijn verbonden met een automatiseringsregel. Als er automatiseringsregels bestaan, markeert de werkmap de volgende informatie met betrekking tot elke regel:

  • Naam
  • Status
  • Actie of acties van de regel
  • De laatste datum waarop de regel is gewijzigd en de gebruiker die de regel heeft gewijzigd
  • De datum waarop de regel is gemaakt

Als u automatisering in de huidige sectie van de werkmap wilt bekijken, implementeren en testen, selecteert u Automatiseringsbronnen linksonder implementeren.

Meer informatie over de SOAR-mogelijkheden van Microsoft Sentinel voor playbooks en voor automatiseringsregels.

Schermopname van het tabblad Automation van de werkmap.

U E B A implementeren en bewaken

Omdat gegevensrapportage en detecties plaatsvinden op entiteitsniveau, is het essentieel om het gedrag en de trends van entiteiten te bewaken. Als u de U E B A-functie in Microsoft Sentinel wilt inschakelen, selecteert u UEBA in de werkmap Implementatie en migratie van Microsoft Sentinel. Hier kunt u de entiteitstijdlijnen voor entiteitspagina's aanpassen en bekijken welke entiteitsgerelateerde tabellen worden gevuld met gegevens.

Schermopname van het tabblad U E B A van de werkmap.

U E B A inschakelen:

  1. Selecteer UEBA inschakelen boven de lijst met tabellen.
  2. Als u U E B A wilt inschakelen, selecteert u Aan.
  3. Selecteer de gegevensbronnen die u wilt gebruiken om inzichten te genereren.
  4. Selecteer Toepassen.

Nadat u U E B A hebt ingeschakeld, controleert u of Microsoft Sentinel U E B A-gegevens genereert.

De tijdlijn aanpassen:

  1. Selecteer Tijdlijn voor entiteit aanpassen boven de lijst met tabellen.
  2. Maak een aangepast item of selecteer een van de kant-en-klare sjablonen.
  3. Als u de sjabloon wilt implementeren en de wizard wilt voltooien, selecteert u Maken.

Meer informatie over U E B A of meer informatie over het aanpassen van de tijdlijn.

De levenscyclus van gegevens configureren en beheren

Wanneer u microsoft Sentinel implementeert of migreert, is het essentieel om het gebruik en de levenscyclus van de binnenkomende logboeken te beheren. Selecteer in de werkmap Implementatie en migratie van Microsoft Sentinel Gegevensbeheer om tabelretentie en archivering weer te geven en te configureren.

Schermopname van het tabblad Gegevensbeheer van de werkmap.

Informatie weergeven met betrekking tot:

  • Tabellen die zijn geconfigureerd voor eenvoudige logboekopname
  • Tabellen die zijn geconfigureerd voor opname van analyselagen
  • Tabellen die zijn geconfigureerd om te worden gearchiveerd
  • Tabellen voor de standaardretentie van werkruimten

Het bestaande bewaarbeleid voor tabellen wijzigen:

  1. Selecteer de weergave Standaardretentietabellen .
  2. Selecteer de tabel die u wilt wijzigen en selecteer Bewaarperiode bijwerken. Bewerk indien nodig de volgende informatie:
    • Huidige retentie in de werkruimte
    • Huidige retentie in het archief
    • Totaal aantal dagen dat de gegevens zich in de omgeving bevinden
  3. Bewerk de waarde TotalRetention om een nieuw totaal aantal dagen in te stellen dat de gegevens in de omgeving moeten bestaan.

De ArchiveRetention-waarde wordt berekend door de TotalRetention-waarde af te trekken van de InteractiveRetention-waarde . Als u de bewaarperiode van de werkruimte wilt aanpassen, heeft de wijziging geen invloed op tabellen met geconfigureerde archieven en gegevens. Als u de InteractiveRetention-waarde bewerkt en de TotalRetention-waarde niet verandert, past Azure Log Analytics de archiefretentie aan om de wijziging te compenseren.

Als u liever wijzigingen aanbrengt in de gebruikersinterface, selecteert u Bewaarbeleid bijwerken in de gebruikersinterface om de relevante pagina te openen.

Meer informatie over het beheer van de levenscyclus van gegevens.

Migratietips en instructies inschakelen

De werkmap bevat tips voor het gebruik van de verschillende tabbladen en koppelingen naar relevante resources om u te helpen bij het implementatie- en migratieproces. De tips zijn gebaseerd op de migratiedocumentatie van Microsoft Sentinel en zijn relevant voor uw huidige SIEM. Als u tips en instructies wilt inschakelen, stelt u in de werkmap Implementatie en migratie van Microsoft Sentinel in de rechterbovenhoek MigrationTips en Instructies in op Ja.

Schermopname van de migratietips en instructies van de werkmap.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw migratie kunt bijhouden met de implementatie- en migratiewerkmap van Microsoft Sentinel.