Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono działania operacyjne, które zalecamy zespołom ds. operacji zabezpieczeń (SOC) i administratorom zabezpieczeń planować i uruchamiać w ramach regularnych działań związanych z zabezpieczeniami w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat zarządzania operacjami zabezpieczeń, zobacz Omówienie operacji zabezpieczeń.
Codzienne zadania
Zaplanuj następujące działania codziennie.
| Zadanie | opis |
|---|---|
| Klasyfikowanie i badanie zdarzeń | Przejrzyj stronę Zdarzenia usługi Microsoft Sentinel, aby sprawdzić, czy nie są generowane nowe zdarzenia wygenerowane przez aktualnie skonfigurowane reguły analizy, i rozpocznij badanie wszelkich nowych zdarzeń. Aby uzyskać więcej informacji, zobacz: |
| Eksplorowanie zapytań i zakładek wyszukiwania zagrożeń | Zapoznaj się z wynikami wszystkich wbudowanych zapytań i zaktualizuj istniejące zapytania wyszukiwania zagrożeń i zakładki. Ręcznie wygeneruj nowe zdarzenia lub zaktualizuj stare zdarzenia, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz: |
| Reguły analizy | Przejrzyj i włącz nowe reguły analizy zgodnie z potrzebami, w tym zarówno nowo wydane, jak i nowo dostępne reguły z niedawno wdrożonych rozwiązań. Aby uzyskać więcej informacji, zobacz: Monitorowanie kondycji i optymalizowanie wykonywania reguł analizy. Aby uzyskać więcej informacji, zobacz: |
| Łączniki danych | Przejrzyj stan kondycji łączników danych, aby upewnić się, że dane przepływają. Sprawdź nowe łączniki i przejrzyj pozyskiwanie, aby upewnić się, że nie przekroczono limitów. Aby uzyskać więcej informacji, zobacz Monitorowanie kondycji łączników danych. |
| Azure Monitor Agent | Sprawdź, czy serwery i stacje robocze są aktywnie połączone z obszarem roboczym, oraz rozwiąż problemy i rozwiąż wszelkie nieudane połączenia. Aby uzyskać więcej informacji, zobacz Omówienie agenta usługi Azure Monitor. |
| Błędy podręcznika | Zweryfikuj stan uruchamiania podręcznika i rozwiąż problemy z błędami. Aby uzyskać więcej informacji, zobacz Samouczek: reagowanie na zagrożenia przy użyciu podręczników z regułami automatyzacji w usłudze Microsoft Sentinel. |
Zadania tygodniowe
Zaplanuj następujące działania co tydzień.
| Zadanie | opis |
|---|---|
| Przegląd zawartości rozwiązań lub zawartości autonomicznej | Pobierz wszystkie aktualizacje zawartości dla zainstalowanych rozwiązań lub zawartości autonomicznej z centrum zawartości. Przejrzyj nowe rozwiązania lub zawartość autonomiczną, która może być wartością dla danego środowiska, takich jak reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń lub podręczniki. |
| Inspekcja usługi Microsoft Sentinel | Przejrzyj działania usługi Microsoft Sentinel, aby zobaczyć, kto zaktualizował lub usunął zasoby, takie jak reguły analizy, zakładki itd. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel). |
Zadania miesięczne
Zaplanuj następujące działania co miesiąc.
| Zadanie | opis |
|---|---|
| Przeglądanie dostępu użytkowników | Przejrzyj uprawnienia użytkowników i sprawdź, czy nieaktywni użytkownicy. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel. |
| Przegląd obszaru roboczego usługi Log Analytics | Sprawdź, czy zasady przechowywania danych obszaru roboczego usługi Log Analytics są nadal zgodne z zasadami organizacji. Aby uzyskać więcej informacji, zobacz Zasady przechowywania danych i Integrowanie usługi Azure Data Explorer na potrzeby długoterminowego przechowywania dzienników. |