Udostępnij za pośrednictwem


Śledzenie migracji usługi Microsoft Sentinel za pomocą skoroszytu

Ponieważ centrum operacji zabezpieczeń organizacji (SOC) obsługuje coraz większe ilości danych, ważne jest zaplanowanie i monitorowanie stanu wdrożenia. Chociaż proces migracji można śledzić przy użyciu ogólnych narzędzi, takich jak Microsoft Project, Microsoft Excel, Microsoft Teams lub Azure DevOps, te narzędzia nie są specyficzne dla śledzenia migracji informacji o zabezpieczeniach i zdarzeń (SIEM). Aby ułatwić śledzenie, udostępniamy dedykowany skoroszyt w usłudze Microsoft Sentinel o nazwie Wdrażanie i migracja usługi Microsoft Sentinel.

Skoroszyt ułatwia:

  • Wizualizowanie postępu migracji
  • Wdrażanie i śledzenie źródeł danych
  • Wdrażanie i monitorowanie reguł i zdarzeń analitycznych
  • Wdrażanie i korzystanie ze skoroszytów
  • Wdrażanie i wykonywanie automatyzacji
  • Wdrażanie i dostosowywanie analizy behawioralnej użytkowników i jednostek (U E B A)

W tym artykule opisano sposób śledzenia migracji za pomocą skoroszytu wdrażania i migracji usługi Microsoft Sentinel, dostosowywania skoroszytu i zarządzania nim oraz używania kart skoroszytu do wdrażania i monitorowania łączników danych, analizy, zdarzeń, podręczników, reguł automatyzacji, U E B A i zarządzania danymi. Dowiedz się więcej na temat korzystania ze skoroszytów usługi Azure Monitor w usłudze Microsoft Sentinel.

Wdrażanie zawartości skoroszytu i wyświetlanie skoroszytu

Aby pobrać skoroszyt, najpierw zainstaluj autonomiczny element z centrum zawartości w usłudze Microsoft Sentinel.

  1. W centrum zawartości usługi Microsoft Sentinel przefiltruj zawartość wymienioną na liście Skoroszyty typu = zawartość, a następnie wprowadź migrację na pasku wyszukiwania.

  2. W wynikach wyszukiwania wybierz skoroszyt Wdrażanie i migracja usługi Microsoft Sentinel, a następnie wybierz pozycję Zainstaluj. Usługa Microsoft Sentinel wdraża skoroszyt i zapisuje skoroszyt w środowisku.

  3. W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Szablony skoroszytów>.

  4. Wybierz skoroszyt Wdrażanie i migracja usługi Microsoft Sentinel oraz Szablon Wyświetl.

Wdrażanie listy obserwowanych

Następnym krokiem jest wdrożenie powiązanej listy kontrolnej z repozytorium GitHub usługi Microsoft Sentinel.

  1. W repozytorium GitHub usługi Microsoft Sentinel wybierz folder DeploymentandMigration i wybierz pozycję Wdróż na platformie Azure, aby rozpocząć wdrażanie szablonu na platformie Azure.
  2. Podaj nazwę grupy zasobów i obszaru roboczego usługi Microsoft Sentinel. Zrzut ekranu przedstawiający wdrażanie listy obserwowanych na platformie Azure.
  3. Wybierz opcję Przejrzyj i utwórz.
  4. Po zweryfikowaniu informacji wybierz pozycję Utwórz.

Aktualizowanie listy obserwowanych za pomocą akcji wdrażania i migracji

Ten krok ma kluczowe znaczenie dla procesu konfiguracji śledzenia. Jeśli pominiesz ten krok, skoroszyt nie odzwierciedla elementów do śledzenia.

Aby zaktualizować listę obserwowanych za pomocą akcji wdrażania i migracji:

  1. W portalu Azure lub Microsoft Defender wybierz pozycję Microsoft Sentinel, a następnie wybierz pozycję Lista obserwowana.
  2. Wybierz listę obserwowanych z aliasem wdrożenia .
  3. Następnie wybierz pozycję Aktualizuj listę obserwowanych > edytuj elementy listy obserwowanych.
  4. Podaj informacje o akcjach wymaganych do wdrożenia i migracji. Zrzut ekranu przedstawiający aktualizowanie elementów listy obserwowanych za pomocą akcji wdrażania i migracji.
  5. Wybierz pozycję Zapisz.

Teraz możesz wyświetlić listę obserwowanych w skoroszycie śledzenia migracji. Dowiedz się, jak zarządzać listami do obejrzenia.

Ponadto zespół może aktualizować lub wykonywać zadania podczas procesu wdrażania. Aby rozwiązać te zmiany, zaktualizuj istniejące akcje lub dodaj nowe akcje podczas identyfikowania nowych przypadków użycia lub ustawiania nowych wymagań. Aby zaktualizować lub dodać akcje, zmodyfikuj wdrożoną listę obserwowanych wdrożeń . Aby uprościć ten proces, w skoroszycie wybierz pozycję Edytuj listę obserwatorów wdrażania, aby otworzyć listę obserwowanych bezpośrednio ze skoroszytu.

Pokaż stan wdrożenia

Aby szybko wyświetlić postęp wdrażania, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Wdrożenie i przewiń w dół, aby zlokalizować podsumowanie postępu. W tym obszarze zostanie wyświetlony stan wdrożenia, w tym następujące informacje:

  • Tabele raportowania danych
  • Liczba tabel raportowania danych
  • Liczba zgłoszonych dzienników i tabel, które raportują dane dziennika
  • Liczba reguł z włączonymi a niewdrażonymi regułami
  • Wdrożone zalecane skoroszyty
  • Łączna liczba wdrożonych skoroszytów
  • Łączna liczba wdrożonych podręczników

Wdrażanie i monitorowanie łączników danych

Aby monitorować wdrożone zasoby i wdrażać nowe łączniki, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Monitor łączników > danych. Lista widoków monitora :

  • Bieżące trendy pozyskiwania
  • Tabele pozyskiwania danych
  • Ile danych zgłasza każda tabela
  • Raportowanie punktów końcowych za pomocą programu Microsoft Monitoring Agent (MMA)
  • Raportowanie punktów końcowych za pomocą agenta monitorowania platformy Azure (AMA)
  • Raportowanie punktów końcowych zarówno z agentami MMA, jak i AMA
  • Reguły zbierania danych w grupie zasobów i urządzeniach połączonych z regułami
  • Kondycja łącznika danych (zmiany i błędy)
  • Dzienniki kondycji w określonym zakresie czasu

Zrzut ekranu przedstawiający widok Monitor karty Łączniki danych skoroszytu.

Aby skonfigurować łącznik danych:

  1. Wybierz widok Konfiguruj.
  2. Wybierz przycisk z nazwą łącznika, który chcesz skonfigurować.
  3. Skonfiguruj łącznik na wyświetlonym ekranie stanu łącznika. Jeśli nie możesz znaleźć potrzebnego łącznika, wybierz nazwę łącznika, aby otworzyć galerię łączników lub galerię rozwiązań. Zrzut ekranu przedstawiający widok Konfigurowanie skoroszytu.

Wdrażanie i monitorowanie analiz i zdarzeń

Gdy dane są raportowane w obszarze roboczym, skonfiguruj i monitoruj reguły analizy. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz kartę Analiza, aby wyświetlić wszystkie wdrożone szablony i listy reguł. Ten widok wskazuje, które reguły są obecnie używane i jak często reguły generują zdarzenia.

Zrzut ekranu przedstawiający kartę Analiza skoroszytu.

Jeśli potrzebujesz więcej pokrycia, wybierz pozycję Przejrzyj pokrycie MITRE poniżej tabeli po lewej stronie. Użyj tej opcji, aby zdefiniować obszary, które mają większe pokrycie i które reguły są wdrażane na dowolnym etapie projektu migracji.

Zrzut ekranu przedstawiający widok pokrycia MITRE skoroszytu.

Podczas wdrażania reguł analizy i łącznika produktu Defender jest skonfigurowany do wysyłania alertów, monitoruj tworzenie zdarzeń i częstotliwość w obszarze Podsumowanie wdrożenia >postępu. W tym obszarze są wyświetlane metryki dotyczące generowania alertów według produktu, tytułu i klasyfikacji, aby wskazać kondycję soc i alerty, które wymagają największej uwagi. Jeśli alerty generują zbyt dużo woluminu, wróć do karty Analiza , aby zmodyfikować logikę.

Zrzut ekranu przedstawiający podsumowanie postępu na karcie Analiza skoroszytu.

Wdrażanie i korzystanie ze skoroszytów

Aby wizualizować informacje dotyczące pozyskiwania i wykrywania danych, które wykonuje usługa Microsoft Sentinel, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Skoroszyty. Podobnie jak na karcie Łączniki danych, użyj widoków Monitorowanie i konfigurowanie , aby wyświetlić informacje o monitorowaniu i konfiguracji.

Poniżej przedstawiono kilka przydatnych zadań do wykonania na karcie Skoroszyty :

  • Aby wyświetlić listę wszystkich skoroszytów w środowisku i liczbę wdrożonych skoroszytów, wybierz pozycję Monitoruj.

  • Aby wyświetlić określony skoroszyt w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel, wybierz skoroszyt, a następnie wybierz pozycję Otwórz wybrany skoroszyt.

    Zrzut ekranu przedstawiający wybieranie skoroszytu na karcie Skoroszyt.

  • Jeśli skoroszyty nie zostały jeszcze wdrożone, wybierz pozycję Konfiguruj , aby wyświetlić listę często używanych i zalecanych skoroszytów. Jeśli skoroszyt nie znajduje się na liście, wybierz pozycję Przejdź do galerii skoroszytów lub Przejdź do centrum zawartości, aby wdrożyć odpowiedni skoroszyt.

    Zrzut ekranu przedstawiający wyświetlanie skoroszytu na karcie Skoroszyt.

Wdrażanie i monitorowanie podręczników i reguł automatyzacji

Podczas konfigurowania pozyskiwania, wykrywania i wizualizacji danych można teraz przyjrzeć się automatyzacji. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Automatyzacja, aby wyświetlić wdrożone podręczniki i zobaczyć, które podręczniki są obecnie połączone z regułą automatyzacji. Jeśli istnieją reguły automatyzacji, skoroszyt zawiera następujące informacje dotyczące każdej reguły:

  • Nazwisko
  • Stan
  • Akcja lub akcje reguły
  • Data ostatniej modyfikacji reguły i użytkownik, który zmodyfikował regułę
  • Data utworzenia reguły

Aby wyświetlić, wdrożyć i przetestować automatyzację w bieżącej sekcji skoroszytu, wybierz pozycję Wdróż zasoby automatyzacji w lewym dolnym rogu.

Dowiedz się więcej o funkcjach SOAR usługi Microsoft Sentinel dla podręczników i reguł automatyzacji.

Zrzut ekranu przedstawiający kartę Automatyzacja skoroszytu.

Wdrażanie i monitorowanie usługi U E B A

Ponieważ raportowanie i wykrywanie danych odbywa się na poziomie jednostki, ważne jest monitorowanie zachowania i trendów jednostek. Aby włączyć funkcję U E B A w usłudze Microsoft Sentinel, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję UEBA. W tym miejscu można dostosować osie czasu jednostek dla stron jednostek i wyświetlić, które tabele powiązane z jednostkami są wypełniane danymi.

Zrzut ekranu przedstawiający kartę U E B A skoroszytu.

Aby włączyć U E B A:

  1. Wybierz pozycję Włącz analizę UEBA nad listą tabel.
  2. Aby włączyć U E B A, wybierz pozycję Włączone.
  3. Wybierz źródła danych, których chcesz użyć do generowania szczegółowych informacji.
  4. Wybierz Zastosuj.

Po włączeniu usługi U E B A monitoruj i upewnij się, że usługa Microsoft Sentinel generuje dane U E B A.

Aby dostosować oś czasu:

  1. Wybierz pozycję Dostosuj oś czasu jednostki nad listą tabel.
  2. Utwórz element niestandardowy lub wybierz jeden z wbudowanych szablonów.
  3. Aby wdrożyć szablon i ukończyć pracę kreatora, wybierz pozycję Utwórz.

Dowiedz się więcej o U E B A lub dowiedz się, jak dostosować oś czasu.

Konfigurowanie cyklu życia danych i zarządzanie nim

Podczas wdrażania lub migracji do usługi Microsoft Sentinel niezbędne jest zarządzanie użyciem i cyklem życia dzienników przychodzących. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz Zarządzanie danymi, aby wyświetlić i skonfigurować przechowywanie i archiwizowanie tabel.

Zrzut ekranu przedstawiający kartę Zarządzanie danymi skoroszytu.

Wyświetl informacje dotyczące:

  • Tabele skonfigurowane na potrzeby podstawowego pozyskiwania dzienników
  • Tabele skonfigurowane do pozyskiwania warstwy analizy
  • Tabele skonfigurowane do archiwizacji
  • Tabele w domyślnym przechowywaniu obszaru roboczego

Aby zmodyfikować istniejące zasady przechowywania dla tabel:

  1. Wybierz widok Domyślne tabele przechowywania.
  2. Wybierz tabelę, którą chcesz zmodyfikować, a następnie wybierz pozycję Aktualizuj przechowywanie. Edytuj następujące informacje zgodnie z potrzebami:
    • Bieżące przechowywanie w obszarze roboczym
    • Bieżące przechowywanie w archiwum
    • Łączna liczba dni, w których dane są przechowywane w środowisku
  3. Zmodyfikuj wartość TotalRetention , aby ustawić nową łączną liczbę dni, w których dane powinny istnieć w środowisku.

Wartość ArchiveRetention jest obliczana przez odjęcie wartości TotalRetention z wartości InteractiveRetention. Jeśli musisz dostosować przechowywanie obszaru roboczego, zmiana nie ma wpływu na tabele zawierające skonfigurowane archiwa i dane nie zostaną utracone. Jeśli edytujesz wartość InteractiveRetention, a wartość TotalRetention nie zmieni się, usługa Azure Log Analytics dostosuje przechowywanie archiwum, aby zrekompensować zmianę.

Jeśli wolisz wprowadzać zmiany w interfejsie użytkownika, wybierz pozycję Aktualizuj przechowywanie w interfejsie użytkownika, aby otworzyć odpowiednią stronę.

Dowiedz się więcej o zarządzaniu cyklem życia danych.

Włączanie porad i instrukcji dotyczących migracji

Aby ułatwić proces wdrażania i migracji, skoroszyt zawiera wskazówki, które wyjaśniają, jak używać różnych kart i linki do odpowiednich zasobów. Porady są oparte na dokumentacji migracji usługi Microsoft Sentinel i są istotne dla bieżącego rozwiązania SIEM. Aby włączyć porady i instrukcje, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel w prawym górnym rogu ustaw wartość MigrationTips i Instrukcja na Tak.

Zrzut ekranu przedstawiający wskazówki i instrukcje dotyczące migracji skoroszytu.

Następne kroki

W tym artykule przedstawiono sposób śledzenia migracji za pomocą skoroszytu Wdrażanie i migracja usługi Microsoft Sentinel.