guia operacional Microsoft Sentinel

Este artigo lista as atividades operacionais que recomendamos que as equipas de operações de segurança (SOC) e os administradores de segurança planeiem e executem como parte das suas atividades de segurança regulares com Microsoft Sentinel. Para obter mais informações sobre como gerir as operações de segurança, veja Descrição geral das operações de segurança.

Tarefas diárias

Agende as seguintes atividades diariamente.

Tarefa description
Triagem e investigação de incidentes Reveja a página Incidentes do Microsoft Sentinel para marcar novos incidentes gerados pelas regras de análise atualmente configuradas e comece a investigar novos incidentes. Para saber mais, confira:
  • Navegar, fazer a triagem e gerir incidentes de Microsoft Sentinel no portal do Azure
  • Investigar Microsoft Sentinel incidentes em profundidade no portal do Azure
  • Explorar consultas de investigação e marcadores Explore os resultados de todas as consultas incorporadas e atualize as consultas e marcadores de investigação existentes. Gerar manualmente novos incidentes ou atualizar incidentes antigos, se aplicável. Para saber mais, confira:
  • Criar os seus próprios incidentes manualmente no Microsoft Sentinel no portal do Azure (Pré-visualização)
  • Procurar ameaças com Microsoft Sentinel
  • Controlar os dados durante a investigação com Microsoft Sentinel
  • Regras de análise Reveja e ative as novas regras de análise conforme aplicável, incluindo regras recentemente lançadas ou recentemente disponíveis de soluções recentemente implementadas. Para saber mais, confira:
  • Criar regras de análise agendada a partir de modelos
  • Acerca Microsoft Sentinel conteúdos e soluções

    Monitorize o estado de funcionamento e otimize a execução das regras de análise. Para saber mais, confira:
  • Monitorizar o estado de funcionamento e auditar a integridade das regras de análise
  • Monitorizar e otimizar a execução das regras de análise agendada
  • Conectores de dados Reveja a status de estado de funcionamento dos conectores de dados para garantir que os dados estão a fluir. Verifique a existência de novos conectores e reveja a ingestão para garantir que os limites definidos não são excedidos. Para obter mais informações, veja Monitorizar o estado de funcionamento dos conectores de dados.
    Agente Azure Monitor Verifique se os servidores e estações de trabalho estão ligados ativamente à área de trabalho e resolva e corrija quaisquer ligações falhadas. Para obter mais informações, veja Azure Descrição geral do Agente do Monitor.
    Falhas no manual de procedimentos Verifique os estados de execução do manual de procedimentos e resolva as falhas. Para obter mais informações, veja Tutorial: Responder a ameaças através de manuais de procedimentos com regras de automatização no Microsoft Sentinel.

    Tarefas semanais

    Agende as seguintes atividades semanalmente.

    Tarefa description
    Revisão de conteúdo de soluções ou conteúdo autónomo Obtenha quaisquer atualizações de conteúdo para as suas soluções instaladas ou conteúdo autónomo a partir do Hub de conteúdos. Reveja novas soluções ou conteúdos autónomos que possam ser de valor para o seu ambiente, como regras de análise, livros, consultas de investigação ou manuais de procedimentos.
    auditoria de Microsoft Sentinel Reveja Microsoft Sentinel atividade para ver quem atualizou ou eliminou recursos, como regras de análise, marcadores, entre outros. Para obter mais informações, veja Auditar consultas e atividades de Microsoft Sentinel.

    Tarefas mensais

    Agende as seguintes atividades mensalmente.

    Tarefa description
    Rever o acesso do utilizador Reveja as permissões para os seus utilizadores e marcar para utilizadores inativos. Para obter mais informações, veja Permissões no Microsoft Sentinel.
    Revisão da área de trabalho do Log Analytics Reveja que a política de retenção de dados da área de trabalho do Log Analytics ainda está alinhada com a política da sua organização. Para obter mais informações, veja Política de retenção de dados e Integrar Azure Data Explorer para retenção de registos de longo prazo.