Прочитать на английском

Поделиться через


Рекомендации для Microsoft Sentinel

Рекомендации приведены в технической документации по Microsoft Sentinel. В этой статье рассматриваются некоторые ключевые рекомендации по развертыванию, управлению и использованию Microsoft Sentinel.

Важно!

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Настройка Microsoft Sentinel

Начните с руководства по развертыванию Microsoft Sentinel. В руководстве по развертыванию рассматриваются высокоуровневые шаги по планированию, развертыванию и точной настройке развертывания Microsoft Sentinel. В этом руководстве выберите предоставленные ссылки, чтобы найти подробные рекомендации по каждому этапу развертывания.

Интеграция служб безопасности Майкрософт

Среда Microsoft Sentinel работает на базе компонентов, которые отправляют данные в рабочую область, и эффективно задействует интеграции с другими службами Майкрософт. Все журналы, которые добавляются в продукты, такие как приложения Microsoft Defender для облака, Microsoft Defender для конечной точки и Microsoft Defender для удостоверений, разрешать этим службам создавать обнаружения и, в свою очередь, предоставлять эти обнаружения в Microsoft Sentinel. Журналы также можно принимать непосредственно в Microsoft Sentinel, что позволяет формировать более полную картину событий и инцидентов.

Например, на следующем рисунке показано, как Microsoft Sentinel прием данных из других службы Майкрософт и многооблачных и партнерских платформ для предоставления покрытия для вашей среды:

Интеграция Microsoft Sentinel с другими службами Майкрософт и партнеров

Кроме приема оповещений и журналов из других источников, Microsoft Sentinel также выполняет следующие действия:

  • Использует получаемые сведения в машинном обучении, что улучшает корреляцию событий, агрегирование оповещений, обнаружение аномалий и многое другое.
  • Создает и отображает интерактивные визуальные элементы с помощью книг, демонстрируя тенденции, связанные сведения и ключевые данные для административных задач и исследований.
  • Запускает сборники схем для работы с оповещениями, сбора информации, выполнения различных действий с элементами и отправки уведомлений на различные платформы.
  • Интегрируется с платформами партнеров, такими как ServiceNow и JIRA, для предоставления ключевых служб командам SOC.
  • Принимает и получает каналы обогащения от платформ аналитики угроз, извлекая ценные данные для анализа.

Дополнительные сведения об интеграции данных из других служб или поставщиков см. в соединителях данных Microsoft Sentinel.

Попробуйте подключить Microsoft Sentinel к порталу Microsoft Defender, чтобы объединить возможности с XDR Microsoft Defender, такими как управление инцидентами и расширенная охота. Дополнительные сведения см. в следующих статьях:

Управление инцидентами и реагирование

На изображении ниже показаны рекомендуемые действия в процессе управления инцидентами и реагирования на них.

Схема процесса управления инцидентами: Триадж. Подготовка. Исправление. Искоренение. Действия после инцидента.

В следующей таблице приведены общие описания использования функций Microsoft Sentinel для управления инцидентами и реагирования. Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel.

Возможность Рекомендация
Инциденты Все созданные инциденты отображаются на странице Инциденты, которая централизует процесс рассмотрения и начального изучения. На странице Инциденты отображаются название инцидента, его серьезность, связанные оповещения, журналы и другие релевантные объекты. От инцидентов также можно быстро переходить к собранным журналам и связанным с инцидентом инструментам.
Граф исследования Страница Инциденты вместе с графом изучения представляет собой интерактивный инструмент, который позволяет пользователям исследовать и подробно изучить оповещение, чтобы раскрыть всю область атаки. Затем пользователи могут сформировать временную шкалу событий и определить масштаб цепочки угроз.

Здесь представлены основные сущности, такие как учетные записи, URL-адреса, IP-адрес, имена узлов, действия, временная шкала и многое другое. Эти данные позволяют понять, имеете ли вы дело с ложноположительным результатом: в этом случае инцидент можно сразу закрыть.

Если инцидент является истинноположительным, вы можете принять меры непосредственно на странице Инциденты, исследуя там журналы, сущности и цепочку угроз. После определения угрозы и создания плана действий используйте другие средства в Microsoft Sentinel и других службах безопасности Майкрософт для продолжения изучения.
Визуализация сведений Чтобы визуализировать и получить анализ того, что происходит в вашей среде, сначала ознакомьтесь с панелью мониторинга обзора Microsoft Sentinel, чтобы получить представление о безопасности вашей организации. Дополнительные сведения см. в разделе Визуализация собранных данных.

Помимо информации и тенденций на странице обзора Microsoft Sentinel книги являются ценными средствами расследования. Например, книга Аналитические сведения для исследования позволяет изучать конкретные инциденты вместе со связанными с ними объектами и оповещениями. С ее помощью вы можете глубже изучить соответствующие сущности, просматривая связанные журналы, действия и оповещения.
Поиск угроз В ходе исследования и поиска первопричин вы можете запускать встроенные запросы охоты на угрозы и проверять результаты на наличие индикаторов компрометации. Дополнительные сведения см. в статье "Поиск угроз" в Microsoft Sentinel.

Во время расследования или после принятия мер по исправлению и искоренению угрозы используйте трансляцию. Livestream позволяет отслеживать, в режиме реального времени, независимо от того, существуют ли какие-либо сохраняющиеся вредоносные события, или если вредоносные события по-прежнему продолжаются.
Поведение сущностей Поведение сущностей в Microsoft Sentinel позволяет пользователям просматривать и исследовать действия и оповещения для определенных сущностей, например исследовать учетные записи и имена узлов. Дополнительные сведения см. в разделе:

- Настройка аналитики поведения пользователей и сущностей в Microsoft Sentinel
- Исследование инцидентов с помощью данных UEBA
- Справочник по обогащению UEBA для Microsoft Sentinel
Списки отслеживания Используйте списки контроля на основе полученных данных и внешних источников, таких как данные обогащения. Например, вы можете создавать списки диапазонов IP-адресов, используемых вашей организацией или недавно уволенными сотрудниками. Списки контроля со сборниками схем можно использовать для сбора данных обогащения, например для добавления вредоносных IP-адресов в списки контроля для обнаружения, охоты на угрозы и расследований.

Во время инцидента используйте списки наблюдения для хранения данных исследования, а затем удалите их при выполнении расследования, чтобы убедиться, что конфиденциальные данные не остаются в представлении.

Дополнительные сведения см. в списках наблюдения в Microsoft Sentinel.