Najlepsze rozwiązania dotyczące usługi Microsoft Sentinel

Ta kolekcja najlepszych rozwiązań zawiera wskazówki dotyczące wdrażania, zarządzania i używania usługi Microsoft Sentinel, w tym linków do innych artykułów, aby uzyskać więcej informacji.

Ważne

Przed wdrożeniem usługi Microsoft Sentinel przejrzyj i ukończ działania przed wdrożeniem oraz wymagania wstępne.

Dokumentacja najlepszych rozwiązań

Dokumentacja usługi Microsoft Sentinel zawiera wskazówki dotyczące najlepszych rozwiązań rozrzucone w naszych artykułach. Oprócz zawartości podanej w tym artykule, zobacz następujące informacje:

• Administratorzy:

  • Działania przed wdrożeniem i wymagania wstępne dotyczące wdrażania usługi Microsoft Sentinel
  • Najlepsze rozwiązania dotyczące architektury obszaru roboczego usługi Microsoft Sentinel
  • Projektowanie architektury obszaru roboczego usługi Microsoft Sentinel
  • Przykładowe projekty obszarów roboczych usługi Microsoft Sentinel
  • Najlepsze rozwiązania dotyczące zbierania danych
  • Koszty i rozliczenia usługi Microsoft Sentinel
  • Uprawnienia w usłudze Microsoft Sentinel
  • Ochrona własności intelektualnej programu MSSP w usłudze Microsoft Sentinel
  • Integracja analizy zagrożeń w usłudze Microsoft Sentinel
  • Zawartość i rozwiązania usługi Microsoft Sentinel
  • Inspekcja zapytań i działań usługi Microsoft Sentinel

• Analitycy:

  • Zalecane podręczniki
  • Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel
  • Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel
  • Często używane skoroszyty usługi Microsoft Sentinel
  • Wbudowane funkcje wykrywania zagrożeń
  • Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń
  • Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter

Aby uzyskać więcej informacji, zobacz również film wideo: Tworzenie architektury SecOps pod kątem sukcesu: najlepsze rozwiązania dotyczące wdrażania usługi Microsoft Sentinel

Regularne działania SOC do wykonania

Regularnie zaplanuj następujące działania usługi Microsoft Sentinel, aby zapewnić dalsze najlepsze rozwiązania w zakresie zabezpieczeń:

Codzienne zadania

• Klasyfikacja i badanie zdarzeń. Przejrzyj stronę Zdarzenia usługi Microsoft Sentinel, aby wyszukać nowe zdarzenia wygenerowane przez aktualnie skonfigurowane reguły analizy i rozpocząć badanie wszelkich nowych zdarzeń. Aby uzyskać więcej informacji, zobacz Samouczek: badanie zdarzeń za pomocą usługi Microsoft Sentinel.

• Eksplorowanie zapytań dotyczących wyszukiwania zagrożeń i zakładek. Eksploruj wyniki dla wszystkich wbudowanych zapytań i aktualizuj istniejące zapytania wyszukiwania zagrożeń i zakładki. Ręcznie wygeneruj nowe zdarzenia lub zaktualizuj stare zdarzenia, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz:

  • Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft
  • Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel
  • Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel

• Reguły analizy. Przejrzyj i włącz nowe reguły analizy zgodnie z zastosowaniem, w tym zarówno nowo wydane, jak i nowo dostępne reguły z ostatnio połączonych łączników danych.

• Łączniki danych. Przejrzyj stan, datę i godzinę ostatniego dziennika otrzymanego z każdego łącznika danych, aby upewnić się, że dane przepływają. Sprawdź nowe łączniki i przejrzyj pozyskiwanie, aby upewnić się, że nie przekroczono ustawionych limitów. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zbierania danych i Łączenie źródeł danych.

• Agent usługi Log Analytics. Sprawdź, czy serwery i stacje robocze są aktywnie połączone z obszarem roboczym, oraz rozwiąż problemy i koryguj wszelkie nieudane połączenia. Aby uzyskać więcej informacji, zobacz Omówienie agenta usługi Log Analytics.

• Błędy podręcznika. Zweryfikuj stan uruchamiania elementu playbook i rozwiąż problemy z wszelkimi błędami. Aby uzyskać więcej informacji, zobacz Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel.

Zadania tygodniowe

• Przegląd zawartości rozwiązań lub zawartości autonomicznej. Pobierz wszystkie aktualizacje zawartości dla zainstalowanych rozwiązań lub zawartości autonomicznej z centrum zawartości. Przejrzyj nowe rozwiązania lub zawartość autonomiczną, która może być wartością twojego środowiska, taką jak reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń lub podręczniki.

• Inspekcja usługi Microsoft Sentinel. Przejrzyj działania usługi Microsoft Sentinel, aby zobaczyć, kto zaktualizował lub usunął zasoby, takie jak reguły analizy, zakładki itd. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel).

Zadania miesięczne

• Przegląd dostępu użytkowników. Przejrzyj uprawnienia użytkowników i sprawdź, czy nieaktywni użytkownicy. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

• Przegląd obszaru roboczego usługi Log Analytics. Sprawdź, czy zasady przechowywania danych obszaru roboczego usługi Log Analytics są nadal zgodne z zasadami organizacji. Aby uzyskać więcej informacji, zobacz Zasady przechowywania danych i Integrowanie usługi Azure Data Explorer na potrzeby długoterminowego przechowywania dzienników.

Integracja z usługami zabezpieczeń firmy Microsoft

Usługa Microsoft Sentinel jest upoważniona przez składniki wysyłające dane do obszaru roboczego i jest silniejsza dzięki integracji z innymi usługami firmy Microsoft. Wszystkie dzienniki pozyskane do produktów, takich jak Microsoft Defender for Cloud Apps, Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity umożliwiają tym usługom tworzenie wykryć, a z kolei udostępnianie tych wykryć usłudze Microsoft Sentinel. Dzienniki można również pozyskiwać bezpośrednio do usługi Microsoft Sentinel, aby zapewnić pełniejszy obraz zdarzeń i zdarzeń.

Na przykład na poniższej ilustracji pokazano, jak usługa Microsoft Sentinel pozyskuje dane z innych usług firmy Microsoft i platform wielochmurowych i partnerskich w celu zapewnienia pokrycia środowiska:

Więcej niż pozyskiwanie alertów i dzienników z innych źródeł, usługa Microsoft Sentinel również:

• Używa informacji pozyskiwanych z uczeniem maszynowym , które umożliwiają lepszą korelację zdarzeń, agregację alertów, wykrywanie anomalii i nie tylko.
• Kompiluje i prezentuje interaktywne wizualizacje za pośrednictwem skoroszytów, pokazując trendy, powiązane informacje i kluczowe dane używane zarówno do zadań administracyjnych, jak i badań.
• Uruchamia podręczniki do działania na alertach, zbierania informacji, wykonywania akcji na elementach i wysyłania powiadomień do różnych platform.
• Integruje się z platformami partnerskimi, takimi jak ServiceNow i Jira, w celu zapewnienia podstawowych usług dla zespołów SOC.
• Pozyskiwanie i pobieranie źródeł wzbogacania z platform analizy zagrożeń w celu uzyskania cennych danych do badania.

Zarządzanie zdarzeniami i reagowanie na nie

Na poniższej ilustracji przedstawiono zalecane kroki w procesie zarządzania zdarzeniami i reagowania na nie.

W poniższych sekcjach przedstawiono ogólne opisy dotyczące korzystania z funkcji usługi Microsoft Sentinel na potrzeby zarządzania zdarzeniami i reagowania na nie w całym procesie. Aby uzyskać więcej informacji, zobacz Samouczek: badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Korzystanie ze strony Incydenty i wykresu Badania

Rozpocznij każdy proces klasyfikacji dla nowych zdarzeń na stronie Zdarzenia usługi Microsoft Sentinel w usłudze Microsoft Sentinel i wykresie Badania.

Odnajdź kluczowe jednostki, takie jak konta, adresy URL, adres IP, nazwy hostów, działania, oś czasu i nie tylko. Użyj tych danych, aby dowiedzieć się, czy masz wynik fałszywie dodatni , w którym przypadku możesz bezpośrednio zamknąć zdarzenie.

Wszystkie wygenerowane zdarzenia są wyświetlane na stronie Incydenty , która służy jako centralna lokalizacja klasyfikacji i wczesnego badania. Strona Incydenty zawiera tytuł, ważność i powiązane alerty, dzienniki i wszystkie interesujące jednostki. Zdarzenia zapewniają również szybki skok do zebranych dzienników i wszystkich narzędzi związanych ze zdarzeniem.

Strona Incydenty współpracuje z grafem Badanie, interaktywnym narzędziem, które umożliwia użytkownikom eksplorowanie i zagłębianie się w alert w celu pokazania pełnego zakresu ataku. Użytkownicy mogą następnie konstruować oś czasu zdarzeń i odnajdywać zakres łańcucha zagrożeń.

Jeśli okaże się, że zdarzenie jest prawdziwie dodatnie, podejmij działania bezpośrednio ze strony Incydenty , aby zbadać dzienniki, jednostki i zbadać łańcuch zagrożeń. Po zidentyfikowaniu zagrożenia i utworzeniu planu działania użyj innych narzędzi w usłudze Microsoft Sentinel i innych usługach zabezpieczeń firmy Microsoft , aby kontynuować badanie.

Obsługa zdarzeń za pomocą skoroszytów

Oprócz wizualizowania i wyświetlania informacji i trendów skoroszyty usługi Microsoft Sentinel są cennymi narzędziami śledczymi.

Na przykład użyj skoroszytu szczegółowego analizy badania , aby zbadać określone zdarzenia wraz ze wszystkimi skojarzonymi jednostkami i alertami. Ten skoroszyt umożliwia zagłębienie się w jednostki dzięki wyświetlaniu powiązanych dzienników, akcji i alertów.

Obsługa zdarzeń za pomocą wyszukiwania zagrożeń

Podczas badania i wyszukiwania głównych przyczyn uruchom wbudowane zapytania wyszukiwania zagrożeń i sprawdź wyniki pod kątem wszelkich wskaźników naruszenia zabezpieczeń.

Podczas badania lub po podjęciu kroków w celu skorygowania i wyeliminowania zagrożenia użyj transmisji strumieniowej na żywo , aby monitorować w czasie rzeczywistym, czy istnieją jakiekolwiek utrzymujące się złośliwe zdarzenia lub czy nadal trwają złośliwe zdarzenia.

Obsługa zdarzeń przy użyciu zachowania jednostki

Zachowanie jednostek w usłudze Microsoft Sentinel umożliwia użytkownikom przeglądanie i badanie akcji i alertów dotyczących określonych jednostek, takich jak badanie kont i nazw hostów. Aby uzyskać więcej informacji, zobacz:

• Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
• Badanie zdarzeń przy użyciu danych ANALIZY UEBA
• Dokumentacja wzbogaceń analizy UEBA usługi Microsoft Sentinel

Obsługa zdarzeń za pomocą list obserwowanych i analizy zagrożeń

Aby zmaksymalizować wykrywanie oparte na analizie zagrożeń, upewnij się, że używasz łączników danych analizy zagrożeń do pozyskiwania wskaźników naruszenia zabezpieczeń:

• Łączenie źródeł danych wymaganych przez alerty fusion i TI Map
• Pozyskiwanie wskaźników z platform TAXII i TIP

Używaj wskaźników naruszenia zabezpieczeń w regułach analizy, podczas wyszukiwania zagrożeń, badania dzienników lub generowania większej liczby zdarzeń.

Użyj listy do obejrzenia, która łączy dane z pozyskanych danych i źródeł zewnętrznych, takich jak dane wzbogacania. Na przykład utwórz listy zakresów adresów IP używanych przez organizację lub ostatnio zakończonych pracowników. Użyj list do obejrzenia z podręcznikami, aby zebrać dane wzbogacania, takie jak dodawanie złośliwych adresów IP do list obserwowanych do użycia podczas wykrywania, wyszukiwania zagrożeń i badania.

Podczas zdarzenia użyj list kontrolnych, aby zawierać dane badania, a następnie usuń je po zakończeniu badania, aby upewnić się, że poufne dane nie pozostaną w widoku.

Następne kroki

Aby rozpocząć pracę z usługą Microsoft Sentinel, zobacz:

• Na pokładzie usługi Microsoft Sentinel
• Uzyskiwanie wglądu w alerty