Przewodnik operacyjny usługi Microsoft Sentinel
W tym artykule wymieniono działania operacyjne, które zalecamy zespołom ds. operacji zabezpieczeń (SOC) i administratorom zabezpieczeń planować i uruchamiać w ramach regularnych działań związanych z zabezpieczeniami w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat zarządzania operacjami zabezpieczeń, zobacz Omówienie operacji zabezpieczeń.
Codzienne zadania
Zaplanuj następujące działania codziennie.
| Zadanie | opis |
|---|---|
| Klasyfikowanie i badanie zdarzeń | Przejrzyj stronę Zdarzenia usługi Microsoft Sentinel, aby sprawdzić, czy nie są generowane nowe zdarzenia wygenerowane przez aktualnie skonfigurowane reguły analizy, i rozpocznij badanie wszelkich nowych zdarzeń. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel. |
| Eksplorowanie zapytań i zakładek wyszukiwania zagrożeń | Zapoznaj się z wynikami wszystkich wbudowanych zapytań i zaktualizuj istniejące zapytania wyszukiwania zagrożeń i zakładki. Ręcznie wygeneruj nowe zdarzenia lub zaktualizuj stare zdarzenia, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz: - Automatyczne tworzenie zdarzeń na podstawie alertów- zabezpieczeń firmy Microsoft Hunt pod kątem zagrożeń za pomocą usługi Microsoft Sentinel - Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel |
| Reguły analityczne | Przejrzyj i włącz nowe reguły analizy zgodnie z zastosowaniem, w tym zarówno nowo wydane, jak i nowo dostępne reguły z niedawno połączonych łączników danych. |
| Łączniki danych | Przejrzyj stan, datę i godzinę ostatniego dziennika odebranego z każdego łącznika danych, aby upewnić się, że dane przepływają. Sprawdź nowe łączniki i przejrzyj pozyskiwanie, aby upewnić się, że nie przekroczono limitów. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zbierania danych i Łączenie źródeł danych. |
| Log Analytics Agent | Sprawdź, czy serwery i stacje robocze są aktywnie połączone z obszarem roboczym, oraz rozwiąż problemy i rozwiąż wszelkie nieudane połączenia. Aby uzyskać więcej informacji, zobacz Omówienie agenta usługi Log Analytics. |
| Błędy podręcznika | Zweryfikuj stan uruchamiania podręcznika i rozwiąż problemy z błędami. Aby uzyskać więcej informacji, zobacz Samouczek: reagowanie na zagrożenia przy użyciu podręczników z regułami automatyzacji w usłudze Microsoft Sentinel. |
Zadania tygodniowe
Zaplanuj następujące działania co tydzień.
| Zadanie | opis |
|---|---|
| Przegląd zawartości rozwiązań lub zawartości autonomicznej | Pobierz wszystkie aktualizacje zawartości dla zainstalowanych rozwiązań lub zawartości autonomicznej z centrum zawartości. Przejrzyj nowe rozwiązania lub zawartość autonomiczną, która może być wartością dla danego środowiska, takich jak reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń lub podręczniki. |
| Inspekcja usługi Microsoft Sentinel | Przejrzyj działania usługi Microsoft Sentinel, aby zobaczyć, kto zaktualizował lub usunął zasoby, takie jak reguły analizy, zakładki itd. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel). |
Zadania miesięczne
Zaplanuj następujące działania co miesiąc.
| Zadanie | opis |
|---|---|
| Przeglądanie dostępu użytkowników | Przejrzyj uprawnienia użytkowników i sprawdź, czy nieaktywni użytkownicy. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel. |
| Przegląd obszaru roboczego usługi Log Analytics | Sprawdź, czy zasady przechowywania danych obszaru roboczego usługi Log Analytics są nadal zgodne z zasadami organizacji. Aby uzyskać więcej informacji, zobacz Zasady przechowywania danych i Integrowanie usługi Azure Data Explorer na potrzeby długoterminowego przechowywania dzienników. |