Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono działania, które ułatwiają planowanie, wdrażanie i dostosowywanie wdrożenia Microsoft Sentinel.
Planowanie i przygotowywanie — omówienie
W tej sekcji przedstawiono działania i wymagania wstępne, które ułatwiają planowanie i przygotowywanie przed wdrożeniem Microsoft Sentinel.
Faza planowania i przygotowania jest zwykle wykonywana przez architekta SOC lub powiązane role.
| Krok | Szczegóły |
|---|---|
| 1. Planowanie i przygotowywanie przeglądu i wymagań wstępnych | Zapoznaj się z wymaganiami wstępnymi Azure dzierżawy. |
| 2. Planowanie architektury obszaru roboczego | Projektowanie obszaru roboczego usługi Log Analytics włączonego dla Microsoft Sentinel. Niezależnie od tego, czy będziesz dołączać do portalu Microsoft Defender, nadal będziesz potrzebować obszaru roboczego usługi Log Analytics. Rozważ parametry, takie jak: — Czy będziesz używać jednej dzierżawy, czy wielu dzierżaw — Wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych — Jak kontrolować dostęp do danych Microsoft Sentinel Przejrzyj następujące artykuły: 1. Projektowanie architektury obszaru roboczego 3. Przejrzyj przykładowe projekty obszarów roboczych 4. Przygotowanie do wielu obszarów roboczych |
| 3. Określanie priorytetów łączników danych | Określ potrzebne źródła danych i wymagania dotyczące rozmiaru danych, które pomogą Ci dokładnie projektować budżet i oś czasu wdrożenia. Te informacje można określić podczas przeglądu przypadku użycia biznesowego lub przez ocenę bieżącego rozwiązania SIEM, które już istnieje. Jeśli masz już urządzenie SIEM, przeanalizuj dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do Microsoft Sentinel. |
| 4. Planowanie ról i uprawnień | Użyj Azure kontroli dostępu opartej na rolach (RBAC), aby utworzyć i przypisać role w zespole operacji zabezpieczeń, aby udzielić odpowiedniego dostępu do Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co Microsoft Sentinel użytkownicy mogą wyświetlać i wykonywać. Azure role można przypisać bezpośrednio w obszarze roboczym lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który Microsoft Sentinel dziedziczy. |
| 5. Planowanie kosztów | Rozpocznij planowanie budżetu, biorąc pod uwagę konsekwencje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszty pozyskiwania danych zarówno dla Microsoft Sentinel, jak i Azure usługi Log Analytics, wszystkich elementów playbook, które zostaną wdrożone itd. |
Omówienie wdrożenia
Faza wdrażania jest zwykle wykonywana przez analityka SOC lub powiązane role.
| Krok | Szczegóły |
|---|---|
| 1. Włącz Microsoft Sentinel, kondycję i inspekcję oraz zawartość | Włącz Microsoft Sentinel, włącz funkcję kondycji i inspekcji oraz włącz rozwiązania i zawartość zidentyfikowane zgodnie z potrzebami organizacji.
Aby dołączyć do Microsoft Sentinel przy użyciu interfejsu API, zobacz najnowszą obsługiwaną wersję Sentinel Stany dołączania. |
| 2. Konfigurowanie zawartości | Skonfiguruj różne typy Microsoft Sentinel zawartości zabezpieczeń, które umożliwiają wykrywanie, monitorowanie i reagowanie na zagrożenia bezpieczeństwa w systemach: łączniki danych, reguły analizy, reguły automatyzacji, podręczniki, skoroszyty i listy obserwowanych. |
| 3. Konfigurowanie architektury między obszarami roboczymi | Jeśli środowisko wymaga wielu obszarów roboczych, można je teraz skonfigurować w ramach wdrożenia. Z tego artykułu dowiesz się, jak skonfigurować Microsoft Sentinel w celu rozszerzenia na wiele obszarów roboczych i dzierżaw. |
| 4. Włączanie analizy zachowania użytkowników i jednostek (UEBA) | Włącz i użyj funkcji UEBA, aby usprawnić proces analizy. |
| 5. Konfigurowanie usługi Microsoft Sentinel data lake | Skonfiguruj ustawienia interakcyjne i przechowywania danych, aby zapewnić, że organizacja zachowa krytyczne dane długoterminowe, korzystając z Microsoft Sentinel data lake w celu zapewnienia ekonomicznego magazynu, zwiększonej widoczności i bezproblemowej integracji z zaawansowanymi narzędziami analitycznymi. |
Dostosuj i przejrzyj: Lista kontrolna po wdrożeniu
Przejrzyj listę kontrolną po wdrożeniu, aby upewnić się, że proces wdrażania działa zgodnie z oczekiwaniami, a wdrożona zawartość zabezpieczeń działa i chroni organizację zgodnie z potrzebami i przypadkami użycia.
Faza dostosowywania i przeglądu jest zwykle wykonywana przez inżyniera SOC lub powiązane role.
| Krok | Działania |
|---|---|
| ✅ Przejrzyj zdarzenia i proces zdarzeń | - Sprawdź, czy zdarzenia i liczba zdarzeń, które widzisz, odzwierciedlają to, co faktycznie dzieje się w twoim środowisku. - Sprawdź, czy proces zdarzeń soc działa w celu wydajnego obsługi zdarzeń: Czy przypisano różne typy zdarzeń do różnych warstw/warstw soc? Dowiedz się więcej o tym, jak nawigować i badać zdarzenia oraz jak pracować z zadaniami incydentów. |
| ✅ Przeglądanie i dostosowywanie reguł analizy | — Na podstawie przeglądu zdarzenia sprawdź, czy reguły analizy są wyzwalane zgodnie z oczekiwaniami i czy reguły odzwierciedlają typy zdarzeń, które Cię interesują. - Obsługuj wyniki fałszywie dodatnie za pomocą automatyzacji lub modyfikując reguły zaplanowanej analizy. — Microsoft Sentinel oferuje wbudowane funkcje dostrajania ułatwiające analizowanie reguł analizy. Przejrzyj te wbudowane szczegółowe informacje i zaimplementuj odpowiednie zalecenia. |
| ✅ Przeglądanie reguł automatyzacji i podręczników | — Podobnie jak w przypadku reguł analizy, sprawdź, czy reguły automatyzacji działają zgodnie z oczekiwaniami, i odzwierciedlij zdarzenia, które Cię dotyczą i które Cię interesują. — Sprawdź, czy podręczniki odpowiadają na alerty i zdarzenia zgodnie z oczekiwaniami. |
| ✅ Dodawanie danych do list obserwowanych | Sprawdź, czy listy obserwowanych są aktualne. Jeśli w środowisku zaszły jakiekolwiek zmiany, takie jak nowi użytkownicy lub przypadki użycia, odpowiednio zaktualizuj listy obserwowanych. |
| ✅ Przeglądanie warstw zobowiązań | Przejrzyj początkowo skonfigurowane warstwy zobowiązań i sprawdź, czy te warstwy odzwierciedlają bieżącą konfigurację. |
| ✅ Śledzenie kosztów pozyskiwania | Aby śledzić koszty pozyskiwania, użyj jednego z następujących skoroszytów: — Skoroszyt Raport użycia obszaru roboczego zawiera statystyki użycia danych, kosztów i użycia obszaru roboczego. Skoroszyt zapewnia stan pozyskiwania danych obszaru roboczego oraz ilość bezpłatnych i rozliczanych danych. Logika skoroszytu umożliwia monitorowanie pozyskiwania danych i kosztów oraz tworzenie niestandardowych widoków i alertów opartych na regułach. — Skoroszyt kosztów Microsoft Sentinel zapewnia bardziej skoncentrowany widok kosztów Microsoft Sentinel, w tym pozyskiwania i przechowywania danych, danych pozyskiwania dla kwalifikujących się źródeł danych, informacji rozliczeniowych usługi Logic Apps i innych. |
| ✅ Dostosuj reguły zbierania danych (DCRs) | — Sprawdź, czy kontrolery DOMENY odzwierciedlają potrzeby pozyskiwania danych i przypadki użycia. — W razie potrzeby zaimplementuj transformację w czasie pozyskiwania, aby odfiltrować nieistotne dane jeszcze przed ich pierwszym zapisaniem w obszarze roboczym. |
| ✅ Sprawdzanie reguł analizy względem struktury MITRE | Sprawdź pokrycie mitre na stronie Microsoft Sentinel MITRE: wyświetl już aktywne wykrycia w obszarze roboczym oraz te, które można skonfigurować, aby zrozumieć zakres zabezpieczeń organizacji w oparciu o taktykę i techniki z platformy MITRE ATT&CK®. |
| ✅ Wyszukiwanie podejrzanych działań | Upewnij się, że usługa SOC ma proces proaktywnego wyszukiwania zagrożeń. Wyszukiwanie zagrożeń i złośliwych zachowań przez analityków zabezpieczeń jest procesem. Tworząc hipotezę, przeszukując dane i walidując tę hipotezę, określają, na czym należy działać. Akcje mogą obejmować tworzenie nowych wykryć, nową analizę zagrożeń lub tworzenie nowego incydentu. |
Artykuły pokrewne
W tym artykule przejrzano działania w każdej fazie, które ułatwiają wdrażanie Microsoft Sentinel.
W zależności od tego, w której fazie się znajdujesz, wybierz odpowiednie kolejne kroki:
- Planowanie i przygotowywanie — wymagania wstępne dotyczące wdrażania Azure Sentinel
- Wdrażanie — włączanie Microsoft Sentinel i początkowych funkcji i zawartości
- Dostrajanie i przeglądanie — nawigowanie i badanie zdarzeń w Microsoft Sentinel
Po zakończeniu wdrażania Microsoft Sentinel kontynuuj eksplorowanie Microsoft Sentinel możliwości, przeglądając samouczki dotyczące typowych zadań:
- Co to jest Microsoft Sentinel data lake?
- Przekazywanie danych dziennika systemu do obszaru roboczego usługi Log Analytics za pomocą Microsoft Sentinel przy użyciu agenta Azure Monitor
- Konfigurowanie przechowywania na poziomie tabeli
- Wykrywanie zagrożeń przy użyciu reguł analizy
- Automatyczne sprawdzanie i rejestrowanie informacji o reputacji adresów IP w zdarzeniach
- Reagowanie na zagrożenia przy użyciu automatyzacji
- Wyodrębnianie jednostek zdarzeń za pomocą akcji nienatywnej
- Badanie za pomocą interfejsu UEBA
- Tworzenie i monitorowanie Zero Trust
Zapoznaj się z przewodnikiem operacyjnym Microsoft Sentinel, aby zapoznać się z regularnymi działaniami SOC, które zalecamy wykonywać codziennie, co tydzień i co miesiąc.