Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W poprzednim kroku wdrażania włączono Microsoft Sentinel, monitorowanie kondycji i wymagane rozwiązania. Z tego artykułu dowiesz się, jak skonfigurować różne typy Microsoft Sentinel zawartości zabezpieczeń, które umożliwiają wykrywanie, monitorowanie i reagowanie na zagrożenia bezpieczeństwa w systemach. Ten artykuł jest częścią przewodnika wdrażania dla Microsoft Sentinel.
Konfigurowanie zawartości zabezpieczeń
| Krok | Opis |
|---|---|
| Konfigurowanie łączników danych | Na podstawie źródeł danych wybranych podczas planowania wdrożenia i po włączeniu odpowiednich rozwiązań można teraz zainstalować lub skonfigurować łączniki danych. — Jeśli używasz istniejącego łącznika, znajdź łącznik z tej pełnej listy łączników danych. — Jeśli tworzysz łącznik niestandardowy, użyj tych zasobów. — Jeśli konfigurujesz łącznik do pozyskiwania dzienników CEF lub Syslog, przejrzyj te opcje. |
| Konfigurowanie reguł analizy | Po skonfigurowaniu Microsoft Sentinel do zbierania danych z całej organizacji możesz zacząć używać reguł analizy do wykrywania zagrożeń. Wybierz kroki, które należy skonfigurować i skonfigurować reguły analizy: — Tworzenie zaplanowanych reguł na podstawie szablonów lub od podstaw: utwórz reguły analizy, aby ułatwić odnajdywanie zagrożeń i nietypowych zachowań w środowisku. - Mapowanie pól danych na jednostki: dodawanie lub zmienianie mapowań jednostek w regule analizy. - Szczegóły niestandardowe powierzchni w alertach: dodaj lub zmień szczegóły niestandardowe w regule analizy. - Dostosuj szczegóły alertu: zastąp domyślne właściwości alertów zawartością z bazowych wyników zapytania. - Eksportowanie i importowanie reguł analizy: eksportuj reguły analizy do plików szablonów Azure Resource Manager (ARM) i importuj reguły z tych plików. Akcja eksportu tworzy plik JSON w lokalizacji pobierania przeglądarki, który można następnie zmienić nazwę, przenieść i w inny sposób obsługiwać jak każdy inny plik. - Tworzenie reguł analizy wykrywania niemal w czasie rzeczywistym (NRT): tworzenie reguł analizy w czasie zbliżeń na potrzeby wykrywania aktualnych zagrożeń. Ten typ reguły został zaprojektowany tak, aby był wysoce responsywny, uruchamiając zapytanie w odstępach zaledwie jednej minuty od siebie. - Praca z regułami analizy wykrywania anomalii: praca z wbudowanymi szablonami anomalii, które używają tysięcy źródeł danych i milionów zdarzeń, lub zmień progi i parametry anomalii w interfejsie użytkownika. - Zarządzanie wersjami szablonów dla reguł zaplanowanej analizy: śledzenie wersji szablonów reguł analizy i przywracanie aktywnych reguł do istniejących wersji szablonów lub aktualizowanie ich do nowych. - Obsługa opóźnienia pozyskiwania w regułach zaplanowanej analizy: dowiedz się, jak opóźnienie pozyskiwania może wpłynąć na zaplanowane reguły analizy i jak można je naprawić w celu pokrycia tych luk. |
| Konfigurowanie reguł automatyzacji | Tworzenie reguł automatyzacji. Zdefiniuj wyzwalacze i warunki, które określają, kiedy zostanie uruchomiona reguła automatyzacji , różne akcje, które można wykonać dla reguły, oraz pozostałe funkcje i funkcje. |
| Konfigurowanie podręczników |
Podręcznik to zbiór akcji korygowania uruchamianych z Microsoft Sentinel jako rutynowe, które ułatwiają automatyzację i organizowanie reagowania na zagrożenia. Aby skonfigurować podręczniki: — Przejrzyj zalecane podręczniki - Tworzenie podręczników na podstawie szablonów: Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować zgodnie z potrzebami. Szablony mogą również służyć jako odwołanie do najlepszych rozwiązań podczas opracowywania podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji. — Przejrzyj te kroki tworzenia podręcznika |
| Konfigurowanie skoroszytów |
Skoroszyty zapewniają elastyczną kanwę do analizy danych i tworzenia rozbudowanych raportów wizualnych w ramach Microsoft Sentinel. Szablony skoroszytów umożliwiają szybkie uzyskiwanie szczegółowych informacji na temat danych po nawiązaniu połączenia ze źródłem danych. Aby skonfigurować skoroszyty: — Przeglądanie często używanych skoroszytów Microsoft Sentinel - Używanie istniejących szablonów skoroszytów dostępnych z rozwiązaniami spakowanych - Tworzenie niestandardowych skoroszytów na danych |
| Konfigurowanie list obserwowanych |
Listy obserwowanych umożliwiają korelowanie danych ze źródła danych, które udostępniasz ze zdarzeniami w środowisku Microsoft Sentinel. Aby skonfigurować listy obserwowanych: - Tworzenie list obserwowanych - Tworzenie zapytań lub reguł wykrywania za pomocą list obserwowanych: wykonywanie zapytań o dane w dowolnej tabeli względem danych z listy obserwowanych przez traktowanie listy obserwowanych jako tabeli sprzężeń i odnośników. Podczas tworzenia listy obserwowanych definiujesz wartość SearchKey. Klucz wyszukiwania to nazwa kolumny na liście obserwowanych, która ma być używana jako sprzężenie z innymi danymi lub jako częsty obiekt wyszukiwania. |
Następne kroki
W tym artykule przedstawiono sposób konfigurowania różnych typów Microsoft Sentinel zawartości zabezpieczeń.