Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны действия, которые помогут вам спланировать, развернуть и настроить Microsoft Sentinel развертывания.
Общие сведения о планировании и подготовке
В этом разделе описаны действия и предварительные требования, которые помогут вам спланировать и подготовиться к развертыванию Microsoft Sentinel.
Этап планирования и подготовки обычно выполняется архитектором SOC или связанными ролями.
| Шаг | Сведения |
|---|---|
| 1. Планирование и подготовка общих сведений и предварительных требований | Ознакомьтесь с предварительными условиями Azure клиента. |
| 2. Планирование архитектуры рабочей области | Разработайте рабочую область Log Analytics, включенную для Microsoft Sentinel. Независимо от того, будете ли вы подключиться к порталу Microsoft Defender, вам по-прежнему потребуется рабочая область Log Analytics. Рассмотрите такие параметры, как: — будете ли вы использовать один клиент или несколько клиентов. — Все требования к соответствию для сбора и хранения данных — Управление доступом к Microsoft Sentinel данным Ознакомьтесь со следующими статьями: 1. Проектирование архитектуры рабочей области 3. Просмотрите примеры макетов рабочих областей 4. Подготовка к нескольким рабочим областям |
| 3. Определение приоритетов соединителей данных | Определите необходимые источники данных и требования к размеру данных, чтобы точно проецировать бюджет и временная шкала развертывания. Вы можете определить эту информацию во время проверки варианта использования для бизнеса или путем оценки текущей SIEM, которая у вас уже есть. Если у вас уже есть SIEM, проанализируйте данные, чтобы понять, какие источники данных предоставляют наибольшее значение и должны приниматься в Microsoft Sentinel. |
| 4. Планирование ролей и разрешений | Используйте управление доступом на основе Azure ролей (RBAC) для создания и назначения ролей в группе операций безопасности, чтобы предоставить соответствующий доступ Microsoft Sentinel. Различные роли дают вам точный контроль над тем, что Microsoft Sentinel пользователи могут видеть и делать. Azure роли можно назначать непосредственно в рабочей области, в подписке или группе ресурсов, к которой принадлежит рабочая область, которые Microsoft Sentinel наследуются. |
| 5. Планирование затрат | Начните планировать бюджет, учитывая последствия затрат для каждого запланированного сценария. Убедитесь, что ваш бюджет покрывает расходы на прием данных как для Microsoft Sentinel, так и для Azure Log Analytics, всех развернутых сборников схем и т. д. |
Обзор развертывания
Этап развертывания обычно выполняется аналитиком SOC или связанными ролями.
| Шаг | Сведения |
|---|---|
| 1. Включение Microsoft Sentinel, работоспособности и аудита, а также содержимого | Включите Microsoft Sentinel, включите функцию работоспособности и аудита, а также включите решения и содержимое, которые вы определили в соответствии с потребностями вашей организации.
Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel состояния подключения. |
| 2. Настройка содержимого | Настройте различные типы Microsoft Sentinel содержимого безопасности, которые позволяют обнаруживать, отслеживать и реагировать на угрозы безопасности в системах: соединители данных, правила аналитики, правила автоматизации, сборники схем, книги и списки отслеживания. |
| 3. Настройка архитектуры между рабочими областями | Если вашей среде требуется несколько рабочих областей, теперь их можно настроить как часть развертывания. Из этой статьи вы узнаете, как настроить Microsoft Sentinel для расширения между несколькими рабочими областями и арендаторами. |
| 4. Включение аналитики поведения пользователей и сущностей (UEBA) | Включите и используйте функцию UEBA для упрощения процесса анализа. |
| 5. Настройка озера данных Microsoft Sentinel | Настройте параметры интерактивного хранения и хранения данных, чтобы обеспечить хранение критически важных долгосрочных данных в организации, используя Microsoft Sentinel озера данных для экономичного хранения, улучшенной видимости и простой интеграции с расширенными средствами аналитики. |
Тонкая настройка и проверка: контрольный список после развертывания
Просмотрите контрольный список после развертывания, чтобы убедиться, что процесс развертывания работает должным образом, а развернутый контент безопасности работает и защищает вашу организацию в соответствии с вашими потребностями и вариантами использования.
Этап точной настройки и проверки обычно выполняется инженером SOC или связанными ролями.
| Шаг | Действия |
|---|---|
| ✅ Проверка инцидентов и процесса инцидентов | — Проверьте, отражают ли инциденты и количество инцидентов, которые вы видите, что на самом деле происходит в вашей среде. — Проверьте, работает ли процесс инцидентов SOC для эффективной обработки инцидентов: назначили ли вы разные типы инцидентов разным уровням или уровням SOC? Узнайте больше о том, как перемещаться и исследовать инциденты, а также как работать с задачами инцидентов. |
| ✅ Просмотр и тонкая настройка правил аналитики | — На основе проверки инцидента проверка, активируются ли правила аналитики должным образом и соответствуют ли правила интересующим вас типам инцидентов. - Обработка ложных срабатываний с помощью автоматизации или путем изменения правил аналитики по расписанию. — Microsoft Sentinel предоставляет встроенные возможности точной настройки, помогающие анализировать правила аналитики. Просмотрите эти встроенные аналитические сведения и реализуйте соответствующие рекомендации. |
| ✅ Просмотр правил автоматизации и сборников схем | — Как и правила аналитики, проверка, что ваши правила автоматизации работают должным образом и отражают инциденты, которые вас беспокоят и интересуют. — Проверьте, реагируют ли сборники схем на оповещения и инциденты должным образом. |
| ✅ Добавление данных в списки просмотра | Убедитесь, что списки просмотров актуальны. Если в вашей среде произошли какие-либо изменения, например новые пользователи или варианты использования, обновите списки отслеживания соответствующим образом. |
| ✅ Проверка уровней обязательств | Просмотрите уровни обязательств, которые вы изначально настроили, и убедитесь, что эти уровни соответствуют текущей конфигурации. |
| ✅ Отслеживание затрат на прием | Чтобы отслеживать затраты на прием, используйте одну из следующих книг: — Книга "Отчет об использовании рабочей области" содержит статистику по потреблению данных, затратам и использованию рабочей области. Книга предоставляет состояние приема данных рабочей области и объем бесплатных и оплачиваемых данных. Логику книги можно использовать для мониторинга приема данных и затрат, а также для создания пользовательских представлений и оповещений на основе правил. — Книга Microsoft Sentinel Затраты предоставляет более подробное представление о затратах на Microsoft Sentinel, включая данные приема и хранения, данные приема для соответствующих источников данных, сведения о выставлении счетов Logic Apps и многое другое. |
| ✅ Тонкая настройка правил сбора данных (DCR) | — Убедитесь, что DDR соответствуют вашим потребностям приема данных и вариантам использования. — При необходимости реализуйте преобразование во время приема , чтобы отфильтровать ненужные данные еще до того, как они впервые будут сохранены в рабочей области. |
| ✅ Проверка правил аналитики на основе платформы MITRE | Проверьте охват MITRE на странице Microsoft Sentinel MITRE: просмотрите обнаружения, уже активные в рабочей области, и доступные для настройки, чтобы понять охват безопасности вашей организации, основываясь на тактике и методах платформы MITRE ATT&CK®. |
| ✅ Охота на подозрительные действия | Убедитесь, что в soC есть процесс упреждающей охоты на угрозы. Охота — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносное поведение. Создавая гипотезу, просматривая данные и проверяя ее, они определяют, с чем действовать. Действия могут включать создание новых обнаружений, аналитику угроз или создание нового инцидента. |
Статьи по теме
В этой статье вы рассмотрели действия на каждом из этапов, которые помогают развернуть Microsoft Sentinel.
В зависимости от того, на каком этапе вы находитесь, выберите необходимые дальнейшие действия.
- Планирование и подготовка — предварительные требования для развертывания Azure Sentinel
- Развертывание — включение Microsoft Sentinel и начальных функций и содержимого
- Тонкая настройка и проверка — навигация и расследование инцидентов в Microsoft Sentinel
Завершив развертывание Microsoft Sentinel, продолжайте изучать возможности Microsoft Sentinel, изучив руководства по общим задачам:
- Что такое Microsoft Sentinel озера данных?
- Пересылка данных системного журнала в рабочую область Log Analytics с помощью Microsoft Sentinel с помощью агента мониторинга Azure
- Настройка хранения на уровне таблицы
- Обнаружение угроз с помощью правил аналитики
- Автоматическое проверка и запись сведений о репутации IP-адресов в инцидентах
- Реагирование на угрозы с помощью автоматизации
- Извлечение сущностей инцидента с помощью не машинного действия
- Исследование с помощью UEBA
- Создание и мониторинг "Никому не доверяй"
Ознакомьтесь с Microsoft Sentinel операционным руководством по регулярным действиям SOC, которые мы рекомендуем выполнять ежедневно, еженедельно и ежемесячно.