Konfigurowanie zawartości usługi Microsoft Sentinel
W poprzednim kroku wdrażania włączono usługę Microsoft Sentinel, monitorowanie kondycji i wymagane rozwiązania. Z tego artykułu dowiesz się, jak skonfigurować różne typy zawartości zabezpieczeń usługi Microsoft Sentinel, które umożliwiają wykrywanie, monitorowanie i reagowanie na zagrożenia bezpieczeństwa w różnych systemach. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Konfigurowanie zawartości zabezpieczeń
| Krok | opis |
|---|---|
| Konfigurowanie łączników danych | Na podstawie źródeł danych wybranych podczas planowania wdrożenia i po włączeniu odpowiednich rozwiązań można teraz zainstalować lub skonfigurować łączniki danych. — Jeśli używasz istniejącego łącznika, znajdź łącznik z tej pełnej listy łączników danych. — Jeśli tworzysz łącznik niestandardowy, użyj tych zasobów. — Jeśli konfigurujesz łącznik do pozyskiwania dzienników cef lub dziennika systemowego, zapoznaj się z tymi opcjami. |
| Konfigurowanie reguł analizy | Po skonfigurowaniu usługi Microsoft Sentinel w celu zbierania danych z całej organizacji można rozpocząć korzystanie z reguł analizy w celu wykrywania zagrożeń. Wybierz kroki, które należy skonfigurować i skonfigurować reguły analizy: — Tworzenie zaplanowanych reguł na podstawie szablonów lub od podstaw: tworzenie reguł analizy w celu ułatwienia odnajdywania zagrożeń i nietypowych zachowań w danym środowisku. - Mapowanie pól danych na jednostki: dodawanie lub zmienianie mapowań jednostek w regule analizy. - Szczegóły niestandardowe urządzenia Surface w alertach: dodawanie lub zmienianie szczegółów niestandardowych w regule analizy. - Dostosuj szczegóły alertu: zastąpij domyślne właściwości alertów zawartością z podstawowych wyników zapytania. - Eksportowanie i importowanie reguł analizy: wyeksportuj reguły analizy do plików szablonów usługi Azure Resource Manager (ARM) i zaimportuj reguły z tych plików. Akcja eksportu tworzy plik JSON w lokalizacji pobierania przeglądarki, który można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik. - Tworzenie reguł analizy wykrywania niemal w czasie rzeczywistym (NRT): tworzenie reguł analizy niemal w czasie rzeczywistym na potrzeby gotowego do użycia funkcji wykrywania zagrożeń. Ten typ reguły został zaprojektowany tak, aby był bardzo dynamiczny, uruchamiając zapytanie w odstępach zaledwie jedną minutę. - Praca z regułami analizy wykrywania anomalii: praca z wbudowanymi szablonami anomalii, które używają tysięcy źródeł danych i milionów zdarzeń, lub zmieniają progi i parametry anomalii w interfejsie użytkownika. - Zarządzanie wersjami szablonów dla zaplanowanych reguł analizy: śledzenie wersji szablonów reguł analizy i przywracanie aktywnych reguł do istniejących wersji szablonów lub aktualizowanie ich do nowych. - Obsługa opóźnienia pozyskiwania w zaplanowanych regułach analizy: dowiedz się, jak opóźnienie pozyskiwania może mieć wpływ na zaplanowane reguły analizy i jak można je naprawić, aby pokryć te luki. |
| Konfigurowanie reguł automatyzacji | Tworzenie reguł automatyzacji. Zdefiniuj wyzwalacze i warunki, które określają, kiedy reguła automatyzacji jest uruchamiana, różne akcje, które można wykonać, oraz pozostałe funkcje i funkcje. |
| Konfigurowanie podręczników | Podręcznik to zbiór akcji korygujących uruchamianych z usługi Microsoft Sentinel jako rutynowe, które ułatwiają automatyzowanie i organizowanie reagowania na zagrożenia. Aby skonfigurować podręczniki: - Przejrzyj zalecane podręczniki - Tworzenie podręczników na podstawie szablonów: szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować do własnych potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji. — Zapoznaj się z tymi krokami tworzenia podręcznika |
| Konfigurowanie skoroszytów | Skoroszyty udostępniają elastyczną kanwę do analizy danych i tworzenia rozbudowanych raportów wizualnych w usłudze Microsoft Sentinel. Szablony skoroszytów umożliwiają szybkie uzyskiwanie szczegółowych informacji dotyczących danych zaraz po nawiązaniu połączenia ze źródłem danych. Aby skonfigurować skoroszyty: — Przejrzyj często używane skoroszyty usługi Microsoft Sentinel - Używanie istniejących szablonów skoroszytów dostępnych z spakowanych rozwiązań - Tworzenie skoroszytów niestandardowych między danymi |
| Konfigurowanie list do obejrzenia | Listy kontrolne umożliwiają skorelowanie danych ze źródła danych, które udostępniasz zdarzenia w środowisku usługi Microsoft Sentinel. Aby skonfigurować listy obserwowanych: - Tworzenie list do obejrzenia - Twórz zapytania lub reguły wykrywania z listami obserwowanymi: wykonywanie zapytań dotyczących danych z listy kontrolnej w dowolnej tabeli, traktując listę obserwowaną jako tabelę sprzężeń i odnośników. Podczas tworzenia listy do obejrzenia należy zdefiniować wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub częstym obiektem wyszukiwania. |
Następne kroki
W tym artykule przedstawiono sposób konfigurowania różnych typów zawartości zabezpieczeń usługi Microsoft Sentinel.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla