Śledzenie migracji usługi Microsoft Sentinel za pomocą skoroszytu
Ponieważ centrum operacji zabezpieczeń organizacji (SOC) obsługuje coraz większe ilości danych, ważne jest zaplanowanie i monitorowanie stanu wdrożenia. Chociaż proces migracji można śledzić przy użyciu ogólnych narzędzi, takich jak Microsoft Project, Microsoft Excel, Microsoft Teams lub Azure DevOps, te narzędzia nie są specyficzne dla śledzenia migracji informacji o zabezpieczeniach i zdarzeń (SIEM). Aby ułatwić śledzenie, udostępniamy dedykowany skoroszyt w usłudze Microsoft Sentinel o nazwie Wdrażanie i migracja usługi Microsoft Sentinel.
Skoroszyt ułatwia:
- Wizualizowanie postępu migracji
- Wdrażanie i śledzenie źródeł danych
- Wdrażanie i monitorowanie reguł i zdarzeń analitycznych
- Wdrażanie i korzystanie ze skoroszytów
- Wdrażanie i wykonywanie automatyzacji
- Wdrażanie i dostosowywanie analizy behawioralnej użytkowników i jednostek (U E B A)
W tym artykule opisano sposób śledzenia migracji za pomocą skoroszytu wdrażania i migracji usługi Microsoft Sentinel, dostosowywania skoroszytu i zarządzania nim oraz używania kart skoroszytu do wdrażania i monitorowania łączników danych, analizy, zdarzeń, podręczników, reguł automatyzacji, U E B A i zarządzania danymi. Dowiedz się więcej na temat korzystania ze skoroszytów usługi Azure Monitor w usłudze Microsoft Sentinel.
Wdrażanie zawartości skoroszytu i wyświetlanie skoroszytu
Aby pobrać skoroszyt, najpierw zainstaluj autonomiczny element z centrum zawartości w usłudze Microsoft Sentinel.
W centrum zawartości usługi Microsoft Sentinel przefiltruj zawartość wymienioną na liście Skoroszyty typu = zawartość, a następnie wprowadź migrację na pasku wyszukiwania.
W wynikach wyszukiwania wybierz skoroszyt Wdrażanie i migracja usługi Microsoft Sentinel, a następnie wybierz pozycję Zainstaluj. Usługa Microsoft Sentinel wdraża skoroszyt i zapisuje skoroszyt w środowisku.
W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Szablony skoroszytów>.
Wybierz skoroszyt Wdrażanie i migracja usługi Microsoft Sentinel oraz Szablon Wyświetl.
Wdrażanie listy obserwowanych
Następnym krokiem jest wdrożenie powiązanej listy kontrolnej z repozytorium GitHub usługi Microsoft Sentinel.
- W repozytorium GitHub usługi Microsoft Sentinel wybierz folder DeploymentandMigration i wybierz pozycję Wdróż na platformie Azure, aby rozpocząć wdrażanie szablonu na platformie Azure.
- Podaj nazwę grupy zasobów i obszaru roboczego usługi Microsoft Sentinel.
- Wybierz opcję Przejrzyj i utwórz.
- Po zweryfikowaniu informacji wybierz pozycję Utwórz.
Aktualizowanie listy obserwowanych za pomocą akcji wdrażania i migracji
Ten krok ma kluczowe znaczenie dla procesu konfiguracji śledzenia. Jeśli pominiesz ten krok, skoroszyt nie odzwierciedla elementów do śledzenia.
Aby zaktualizować listę obserwowanych za pomocą akcji wdrażania i migracji:
- W portalu Azure lub Microsoft Defender wybierz pozycję Microsoft Sentinel, a następnie wybierz pozycję Lista obserwowana.
- Wybierz listę obserwowanych z aliasem wdrożenia .
- Następnie wybierz pozycję Aktualizuj listę obserwowanych > edytuj elementy listy obserwowanych.
- Podaj informacje o akcjach wymaganych do wdrożenia i migracji.
- Wybierz pozycję Zapisz.
Teraz możesz wyświetlić listę obserwowanych w skoroszycie śledzenia migracji. Dowiedz się, jak zarządzać listami do obejrzenia.
Ponadto zespół może aktualizować lub wykonywać zadania podczas procesu wdrażania. Aby rozwiązać te zmiany, zaktualizuj istniejące akcje lub dodaj nowe akcje podczas identyfikowania nowych przypadków użycia lub ustawiania nowych wymagań. Aby zaktualizować lub dodać akcje, zmodyfikuj wdrożoną listę obserwowanych wdrożeń . Aby uprościć ten proces, w skoroszycie wybierz pozycję Edytuj listę obserwatorów wdrażania, aby otworzyć listę obserwowanych bezpośrednio ze skoroszytu.
Pokaż stan wdrożenia
Aby szybko wyświetlić postęp wdrażania, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Wdrożenie i przewiń w dół, aby zlokalizować podsumowanie postępu. W tym obszarze zostanie wyświetlony stan wdrożenia, w tym następujące informacje:
- Tabele raportowania danych
- Liczba tabel raportowania danych
- Liczba zgłoszonych dzienników i tabel, które raportują dane dziennika
- Liczba reguł z włączonymi a niewdrażonymi regułami
- Wdrożone zalecane skoroszyty
- Łączna liczba wdrożonych skoroszytów
- Łączna liczba wdrożonych podręczników
Wdrażanie i monitorowanie łączników danych
Aby monitorować wdrożone zasoby i wdrażać nowe łączniki, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Monitor łączników > danych. Lista widoków monitora :
- Bieżące trendy pozyskiwania
- Tabele pozyskiwania danych
- Ile danych zgłasza każda tabela
- Raportowanie punktów końcowych za pomocą programu Microsoft Monitoring Agent (MMA)
- Raportowanie punktów końcowych za pomocą agenta monitorowania platformy Azure (AMA)
- Raportowanie punktów końcowych zarówno z agentami MMA, jak i AMA
- Reguły zbierania danych w grupie zasobów i urządzeniach połączonych z regułami
- Kondycja łącznika danych (zmiany i błędy)
- Dzienniki kondycji w określonym zakresie czasu
Aby skonfigurować łącznik danych:
- Wybierz widok Konfiguruj.
- Wybierz przycisk z nazwą łącznika, który chcesz skonfigurować.
- Skonfiguruj łącznik na wyświetlonym ekranie stanu łącznika. Jeśli nie możesz znaleźć potrzebnego łącznika, wybierz nazwę łącznika, aby otworzyć galerię łączników lub galerię rozwiązań.
Wdrażanie i monitorowanie analiz i zdarzeń
Gdy dane są raportowane w obszarze roboczym, skonfiguruj i monitoruj reguły analizy. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz kartę Analiza, aby wyświetlić wszystkie wdrożone szablony i listy reguł. Ten widok wskazuje, które reguły są obecnie używane i jak często reguły generują zdarzenia.
Jeśli potrzebujesz więcej pokrycia, wybierz pozycję Przejrzyj pokrycie MITRE poniżej tabeli po lewej stronie. Użyj tej opcji, aby zdefiniować obszary, które mają większe pokrycie i które reguły są wdrażane na dowolnym etapie projektu migracji.
Podczas wdrażania reguł analizy i łącznika produktu Defender jest skonfigurowany do wysyłania alertów, monitoruj tworzenie zdarzeń i częstotliwość w obszarze Podsumowanie wdrożenia >postępu. W tym obszarze są wyświetlane metryki dotyczące generowania alertów według produktu, tytułu i klasyfikacji, aby wskazać kondycję soc i alerty, które wymagają największej uwagi. Jeśli alerty generują zbyt dużo woluminu, wróć do karty Analiza , aby zmodyfikować logikę.
Wdrażanie i korzystanie ze skoroszytów
Aby wizualizować informacje dotyczące pozyskiwania i wykrywania danych, które wykonuje usługa Microsoft Sentinel, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Skoroszyty. Podobnie jak na karcie Łączniki danych, użyj widoków Monitorowanie i konfigurowanie , aby wyświetlić informacje o monitorowaniu i konfiguracji.
Poniżej przedstawiono kilka przydatnych zadań do wykonania na karcie Skoroszyty :
Aby wyświetlić listę wszystkich skoroszytów w środowisku i liczbę wdrożonych skoroszytów, wybierz pozycję Monitoruj.
Aby wyświetlić określony skoroszyt w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel, wybierz skoroszyt, a następnie wybierz pozycję Otwórz wybrany skoroszyt.
Jeśli skoroszyty nie zostały jeszcze wdrożone, wybierz pozycję Konfiguruj , aby wyświetlić listę często używanych i zalecanych skoroszytów. Jeśli skoroszyt nie znajduje się na liście, wybierz pozycję Przejdź do galerii skoroszytów lub Przejdź do centrum zawartości, aby wdrożyć odpowiedni skoroszyt.
Wdrażanie i monitorowanie podręczników i reguł automatyzacji
Podczas konfigurowania pozyskiwania, wykrywania i wizualizacji danych można teraz przyjrzeć się automatyzacji. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję Automatyzacja, aby wyświetlić wdrożone podręczniki i zobaczyć, które podręczniki są obecnie połączone z regułą automatyzacji. Jeśli istnieją reguły automatyzacji, skoroszyt zawiera następujące informacje dotyczące każdej reguły:
- Nazwisko
- Stan
- Akcja lub akcje reguły
- Data ostatniej modyfikacji reguły i użytkownik, który zmodyfikował regułę
- Data utworzenia reguły
Aby wyświetlić, wdrożyć i przetestować automatyzację w bieżącej sekcji skoroszytu, wybierz pozycję Wdróż zasoby automatyzacji w lewym dolnym rogu.
Dowiedz się więcej o funkcjach SOAR usługi Microsoft Sentinel dla podręczników i reguł automatyzacji.
Wdrażanie i monitorowanie usługi U E B A
Ponieważ raportowanie i wykrywanie danych odbywa się na poziomie jednostki, ważne jest monitorowanie zachowania i trendów jednostek. Aby włączyć funkcję U E B A w usłudze Microsoft Sentinel, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz pozycję UEBA. W tym miejscu można dostosować osie czasu jednostek dla stron jednostek i wyświetlić, które tabele powiązane z jednostkami są wypełniane danymi.
Aby włączyć U E B A:
- Wybierz pozycję Włącz analizę UEBA nad listą tabel.
- Aby włączyć U E B A, wybierz pozycję Włączone.
- Wybierz źródła danych, których chcesz użyć do generowania szczegółowych informacji.
- Wybierz Zastosuj.
Po włączeniu usługi U E B A monitoruj i upewnij się, że usługa Microsoft Sentinel generuje dane U E B A.
Aby dostosować oś czasu:
- Wybierz pozycję Dostosuj oś czasu jednostki nad listą tabel.
- Utwórz element niestandardowy lub wybierz jeden z wbudowanych szablonów.
- Aby wdrożyć szablon i ukończyć pracę kreatora, wybierz pozycję Utwórz.
Dowiedz się więcej o U E B A lub dowiedz się, jak dostosować oś czasu.
Konfigurowanie cyklu życia danych i zarządzanie nim
Podczas wdrażania lub migracji do usługi Microsoft Sentinel niezbędne jest zarządzanie użyciem i cyklem życia dzienników przychodzących. W skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel wybierz Zarządzanie danymi, aby wyświetlić i skonfigurować przechowywanie i archiwizowanie tabel.
Wyświetl informacje dotyczące:
- Tabele skonfigurowane na potrzeby podstawowego pozyskiwania dzienników
- Tabele skonfigurowane do pozyskiwania warstwy analizy
- Tabele skonfigurowane do archiwizacji
- Tabele w domyślnym przechowywaniu obszaru roboczego
Aby zmodyfikować istniejące zasady przechowywania dla tabel:
- Wybierz widok Domyślne tabele przechowywania.
- Wybierz tabelę, którą chcesz zmodyfikować, a następnie wybierz pozycję Aktualizuj przechowywanie. Edytuj następujące informacje zgodnie z potrzebami:
- Bieżące przechowywanie w obszarze roboczym
- Bieżące przechowywanie w archiwum
- Łączna liczba dni, w których dane są przechowywane w środowisku
- Zmodyfikuj wartość TotalRetention , aby ustawić nową łączną liczbę dni, w których dane powinny istnieć w środowisku.
Wartość ArchiveRetention jest obliczana przez odjęcie wartości TotalRetention z wartości InteractiveRetention. Jeśli musisz dostosować przechowywanie obszaru roboczego, zmiana nie ma wpływu na tabele zawierające skonfigurowane archiwa i dane nie zostaną utracone. Jeśli edytujesz wartość InteractiveRetention, a wartość TotalRetention nie zmieni się, usługa Azure Log Analytics dostosuje przechowywanie archiwum, aby zrekompensować zmianę.
Jeśli wolisz wprowadzać zmiany w interfejsie użytkownika, wybierz pozycję Aktualizuj przechowywanie w interfejsie użytkownika, aby otworzyć odpowiednią stronę.
Dowiedz się więcej o zarządzaniu cyklem życia danych.
Włączanie porad i instrukcji dotyczących migracji
Aby ułatwić proces wdrażania i migracji, skoroszyt zawiera wskazówki, które wyjaśniają, jak używać różnych kart i linki do odpowiednich zasobów. Porady są oparte na dokumentacji migracji usługi Microsoft Sentinel i są istotne dla bieżącego rozwiązania SIEM. Aby włączyć porady i instrukcje, w skoroszycie Wdrażanie i migracja usługi Microsoft Sentinel w prawym górnym rogu ustaw wartość MigrationTips i Instrukcja na Tak.
Następne kroki
W tym artykule przedstawiono sposób śledzenia migracji za pomocą skoroszytu Wdrażanie i migracja usługi Microsoft Sentinel.