Przewodnik wdrażania usługi Microsoft Sentinel
W tym artykule przedstawiono działania, które ułatwiają planowanie, wdrażanie i dostosowywanie wdrożenia usługi Microsoft Sentinel.
Planowanie i przygotowywanie — omówienie
W tej sekcji przedstawiono działania i wymagania wstępne, które ułatwiają planowanie i przygotowywanie przed wdrożeniem usługi Microsoft Sentinel.
Faza planowania i przygotowywania jest zwykle wykonywana przez architekta SOC lub powiązane role.
Krok | Szczegóły |
---|---|
1. Planowanie i przygotowywanie przeglądów i wymagań wstępnych | Zapoznaj się z wymaganiami wstępnymi dzierżawy platformy Azure. |
2. Planowanie architektury obszaru roboczego | Zaprojektuj obszar roboczy usługi Log Analytics włączony dla usługi Microsoft Sentinel. Rozważ parametry, takie jak: — Niezależnie od tego, czy będziesz używać jednej dzierżawy, czy wielu dzierżaw — Wszelkie wymagania dotyczące zgodności dotyczące zbierania i przechowywania danych — Jak kontrolować dostęp do danych usługi Microsoft Sentinel Przejrzyj następujące artykuły: 1. Projektowanie architektury obszaru roboczego 3. Przegląd przykładowych projektów obszarów roboczych 4. Przygotowanie do wielu obszarów roboczych |
3. Określanie priorytetów łączników danych | Określ, które źródła danych są potrzebne, oraz wymagania dotyczące rozmiaru danych, aby ułatwić dokładne projektowanie budżetu i osi czasu wdrożenia. Te informacje mogą być określone podczas przeglądu przypadku użycia firmy lub przez ocenę bieżącego rozwiązania SIEM, który już istnieje. Jeśli masz już rozwiązanie SIEM, przeanalizuj swoje dane, aby zrozumieć, które źródła danych zapewniają największą wartość i powinny zostać pozyskane do usługi Microsoft Sentinel. |
4. Planowanie ról i uprawnień | Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby utworzyć i przypisać role w zespole ds. operacji zabezpieczeń w celu udzielenia odpowiedniego dostępu do usługi Microsoft Sentinel. Różne role zapewniają szczegółową kontrolę nad tym, co użytkownicy usługi Microsoft Sentinel widzą i robią. Role platformy Azure można przypisać bezpośrednio w obszarze roboczym lub w subskrypcji lub grupie zasobów, do której należy obszar roboczy, który dziedziczy usługa Microsoft Sentinel. |
5. Planowanie kosztów | Rozpocznij planowanie budżetu, biorąc pod uwagę implikacje kosztów dla każdego planowanego scenariusza. Upewnij się, że budżet obejmuje koszt pozyskiwania danych zarówno w przypadku usługi Microsoft Sentinel, jak i usługi Azure Log Analytics, wszystkich podręczników, które zostaną wdrożone itd. |
Omówienie wdrażania
Faza wdrażania jest zwykle wykonywana przez analityka SOC lub powiązane role.
Krok | Szczegóły |
---|---|
1. Włączanie usługi Microsoft Sentinel, kondycji i inspekcji oraz zawartości | Włącz usługę Microsoft Sentinel, włącz funkcję kondycji i inspekcji oraz włącz rozwiązania i zawartość zidentyfikowaną zgodnie z potrzebami organizacji. Aby dołączyć do usługi Microsoft Sentinel przy użyciu interfejsu API, zobacz najnowszą obsługiwaną wersję stanów dołączania usługi Sentinel. |
2. Konfigurowanie zawartości | Skonfiguruj różne typy zawartości zabezpieczeń usługi Microsoft Sentinel, które umożliwiają wykrywanie, monitorowanie i reagowanie na zagrożenia bezpieczeństwa w różnych systemach: łączniki danych, reguły analizy, reguły automatyzacji, podręczniki, skoroszyty i listy do obejrzenia. |
3. Konfigurowanie architektury między obszarami roboczymi | Jeśli środowisko wymaga wielu obszarów roboczych, możesz je teraz skonfigurować w ramach wdrożenia. Z tego artykułu dowiesz się, jak skonfigurować usługę Microsoft Sentinel w celu rozszerzenia wielu obszarów roboczych i dzierżaw. |
4. Włączanie analizy zachowań użytkowników i jednostek (UEBA) | Włącz funkcję UEBA i użyj jej, aby usprawnić proces analizy. |
5. Konfigurowanie interaktywnego i długoterminowego przechowywania danych | Skonfiguruj interakcyjne i długoterminowe przechowywanie danych, aby upewnić się, że organizacja zachowuje dane, które są ważne w dłuższej perspektywie. |
Dostrajanie i przeglądanie: Lista kontrolna dotycząca po wdrożeniu
Przejrzyj listę kontrolną po wdrożeniu, aby upewnić się, że proces wdrażania działa zgodnie z oczekiwaniami, oraz że wdrożona zawartość zabezpieczeń działa i chroni organizację zgodnie z potrzebami i przypadkami użycia.
Faza dostrajania i przeglądu jest zwykle wykonywana przez inżyniera SOC lub powiązane role.
Krok | Akcje |
---|---|
✅Przegląd zdarzeń i procesu zdarzenia | — Sprawdź, czy zdarzenia i liczba zdarzeń, które widzisz, odzwierciedlają to, co faktycznie dzieje się w danym środowisku. - Sprawdź, czy proces zdarzenia SOC działa w celu wydajnego obsługi zdarzeń: Czy przypisano różne typy zdarzeń do różnych warstw/warstw SOC? Dowiedz się więcej o tym, jak nawigować po zdarzeniach i badać je oraz jak pracować z zadaniami zdarzeń. |
✅Przeglądanie i dostosowywanie reguł analizy | — Na podstawie przeglądu zdarzeń sprawdź, czy reguły analizy są wyzwalane zgodnie z oczekiwaniami i czy reguły odzwierciedlają typy zainteresowanych zdarzeń. - Obsługa wyników fałszywie dodatnich przy użyciu automatyzacji lub modyfikowania zaplanowanych reguł analizy. — Usługa Microsoft Sentinel udostępnia wbudowane funkcje dostrajania, które ułatwiają analizowanie reguł analizy. Przejrzyj te wbudowane szczegółowe informacje i zaimplementuj odpowiednie zalecenia. |
✅Przeglądanie reguł automatyzacji i podręczników | — Podobnie jak w przypadku reguł analizy, sprawdź, czy reguły automatyzacji działają zgodnie z oczekiwaniami i odzwierciedlają zdarzenia, które cię interesują. — Sprawdź, czy podręczniki odpowiadają na alerty i zdarzenia zgodnie z oczekiwaniami. |
✅Dodawanie danych do list obserwowanych | Sprawdź, czy twoje listy do obejrzenia są aktualne. Jeśli w twoim środowisku wystąpiły jakiekolwiek zmiany, takie jak nowi użytkownicy lub przypadki użycia, zaktualizuj odpowiednie listy do obejrzenia. |
✅Przeglądanie warstw zobowiązań | Przejrzyj warstwy zobowiązania, które zostały początkowo skonfigurowane, i sprawdź, czy te warstwy odzwierciedlają bieżącą konfigurację. |
✅Śledzenie kosztów pozyskiwania | Aby śledzić koszty pozyskiwania, użyj jednego z następujących skoroszytów: — Skoroszyt Raport użycia obszaru roboczego zawiera dane, koszty i statystyki użycia obszaru roboczego. Skoroszyt zapewnia stan pozyskiwania danych obszaru roboczego oraz ilość bezpłatnych i rozliczanych danych. Logika skoroszytu umożliwia monitorowanie pozyskiwania i kosztów danych oraz tworzenie niestandardowych widoków i alertów opartych na regułach. — Skoroszyt kosztów usługi Microsoft Sentinel zapewnia bardziej skoncentrowany widok kosztów usługi Microsoft Sentinel, w tym danych pozyskiwania i przechowywania, pozyskiwania danych dla kwalifikujących się źródeł danych, informacji rozliczeniowych usługi Logic Apps i nie tylko. |
✅Dostrajanie reguł zbierania danych (DCR) | — Sprawdź, czy kontrolery domeny odzwierciedlają potrzeby pozyskiwania danych i przypadki użycia. — W razie potrzeby zaimplementuj transformację czasu pozyskiwania, aby odfiltrować nieistotne dane jeszcze przed ich pierwszym zapisaniem w obszarze roboczym. |
✅Sprawdzanie reguł analizy względem struktury MITRE | Sprawdź pokrycie MITRE na stronie MITRE usługi Microsoft Sentinel: Wyświetl wykrycia już aktywne w obszarze roboczym i te, które są dostępne do skonfigurowania, aby zrozumieć pokrycie zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®. |
✅Wyszukiwanie podejrzanych działań | Upewnij się, że soC ma proces proaktywnego wyszukiwania zagrożeń. Wyszukiwanie zagrożeń to proces, w którym analitycy zabezpieczeń szukają niewykrytych zagrożeń i złośliwych zachowań. Tworząc hipotezę, przeszukując dane i sprawdzając tę hipotezę, określają, na co należy podjąć działania. Akcje mogą obejmować tworzenie nowych wykryć, nową analizę zagrożeń lub tworzenie nowego zdarzenia. |
Powiązane artykuły
W tym artykule zapoznaliśmy się z działaniami w każdej z faz, które ułatwiają wdrażanie usługi Microsoft Sentinel.
W zależności od fazy, w której się znajdujesz, wybierz odpowiednie następne kroki:
- Planowanie i przygotowywanie — wymagania wstępne dotyczące wdrażania usługi Azure Sentinel
- Wdrażanie — włączanie usługi Microsoft Sentinel i początkowych funkcji i zawartości
- Dostrajanie i przeglądanie — nawigowanie po zdarzeniach i badanie ich w usłudze Microsoft Sentinel
Po zakończeniu wdrażania usługi Microsoft Sentinel kontynuuj eksplorowanie możliwości usługi Microsoft Sentinel, przeglądając samouczki obejmujące typowe zadania:
- Przekazywanie danych dziennika systemowego do obszaru roboczego usługi Log Analytics za pomocą usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor
- Konfigurowanie zasad przechowywania danych
- Wykrywanie zagrożeń przy użyciu reguł analizy
- Automatyczne sprawdzanie i rejestrowanie informacji o reputacji adresów IP w zdarzeniach
- Reagowanie na zagrożenia przy użyciu automatyzacji
- Wyodrębnianie jednostek zdarzeń przy użyciu akcji innej niż natywna
- Badanie przy użyciu analizy UEBA
- Kompilowanie i monitorowanie zera zaufania
Zapoznaj się z przewodnikiem operacyjnym usługi Microsoft Sentinel, aby zapoznać się z regularnymi działaniami SOC, które zalecamy wykonywanie codziennie, co tydzień i co miesiąc.