Отслеживание миграции на Microsoft Sentinel с помощью книги

Так как центр информационной безопасности (SOC) вашей организации обрабатывает растущие объемы данных, важно планировать и отслеживать состояние развертывания. Хотя процесс миграции можно отслеживать с помощью таких универсальных средств, как Microsoft Project, Microsoft Excel, Teams или Azure DevOps, эти средства не являются специфичными для отслеживания миграции SIEM. Чтобы помочь вам в отслеживании, мы представляем специальную книгу в Microsoft Sentinel, которая называется Развертывание и миграция в Microsoft Sentinel.

Эта книга поможет вам:

• визуализировать ход выполнения миграции;
• развертывать и отслеживать источники данных;
• развертывать и осуществлять мониторинг правил аналитики и инцидентов;
• развертывать и использовать книги;
• развертывать и выполнять автоматизацию;
• развертывать и настраивать аналитику поведения пользователей и сущностей (U E B A).

В настоящей статье описано, как отслеживать миграцию с помощью книги Развертывание и миграция в Microsoft Sentinel, как настраивать книгу и управлять ею и как использовать вкладки книги для развертывания и мониторинга соединителей данных, аналитики, инцидентов, сборников схем, правил автоматизации, U E B A и управления данными. Узнайте больше об использовании книг Azure Monitor в Microsoft Sentinel.

Развертывание содержимого книги и просмотр книги

1. На портале Azure выберите Microsoft Sentinel и затем нажмите Книги.
2. В строке поиска введите migration.
3. В результатах поиска выберите книгу Развертывание и миграция в Microsoft Sentinel и нажмите кнопку Сохранить. Microsoft Sentinel развернет книгу и сохранит ее в вашей среде.
4. Чтобы просмотреть книгу, нажмите Открыть сохраненную книгу.

Развертывание списка отслеживания

1. В репозитории GitHub Microsoft Sentinel выберите папку DeploymentandMigration и выберите Развернуть в Azure, чтобы начать развертывание шаблона в Azure.
2. Укажите имя группы ресурсов и рабочей области Microsoft Sentinel.
3. Выберите Просмотреть и создать.
4. После проверки сведений нажмите Создать.

Обновление списка отслеживания с помощью действий по развертыванию и миграции

Этот шаг имеет решающее значение для процесса настройки отслеживания. Если его пропустить, книга не будет отражать элементы для отслеживания.

Чтобы обновить список отслеживания с помощью действий развертывания и миграции, выполните следующее:

1. На портале Azure выберите "Microsoft Sentinel", а затем нажмите Книги.
2. Найдите список отслеживания с псевдонимом Развертывание.
3. Выберите список отслеживания, а затем нажмите Обновить список отслеживания > и редактировать пункты списка отслеживания в правом нижнем углу.
4. Укажите сведения о действиях, необходимых для развертывания и миграции, и нажмите кнопку Сохранить.

Теперь список отслеживания можно просматривать в книге средства отслеживания миграции. Узнайте, как управлять списками отслеживания.

Кроме того, ваша команда может обновлять или выполнять задачи в процессе развертывания. Для управления этими изменениями можно обновлять существующие действия или добавлять новые по мере выявления новых вариантов использования или установления новых требований. Чтобы обновить или добавить действия, измените список отслеживания Развертывание, развернутый вами ранее. Чтобы упростить процесс, выберите Редактировать список отслеживания развертывания в левом нижнем углу, чтобы открыть список отслеживания непосредственно из книги.

Просмотр состояния развертывания

Чтобы быстро просмотреть ход выполнения развертывания, в книге Развертывание и миграция в Microsoft Sentinel выберите Развертывание и прокрутите вниз, чтобы найти раздел Сводка хода выполнения. В этой области отображается состояние развертывания, включая следующие сведения:

• Таблицы, представляющие данные
• Количество таблиц, представляющих данные
• Количество зарегистрированных журналов и указание таблиц, которые представляют данные журналов
• Количество включенных и неразвернутых правил
• Рекомендуемые развернутые книги
• Общее количество развернутых книг
• Общее количество развернутых сборников схем

Развертывание и мониторинг соединителей данных

Чтобы отслеживать развернутые ресурсы и развертывать новые соединители, в книге Развертывание и миграция в Microsoft Sentinel выберите Соединители данных и мониторинг. В разделе Мониторинг отображаются следующие списки:

• Текущие тенденции приема
• Таблицы, принимающие данные
• Объем данных, представляемых каждой таблицей
• Конечные точки, направляющие отчеты с помощью Microsoft Monitoring Agent (MMA)
• Конечные точки, направляющие отчеты с помощью Azure Monitoring Agent (AMA)
• Конечные точки, направляющие отчеты с помощью MMA и AMA
• Правила сбора данных в группе ресурсов и устройствах, связанных с правилами
• Работоспособность соединителя данных (изменения и сбои)
• Журналы работоспособности в пределах указанного диапазона времени

Чтобы настроить соединитель данных, выполните следующие действия:

1. Выберите окно просмотра Настройка.
2. Нажмите кнопку с именем соединителя, который требуется настроить.
3. Настройте соединитель в открывшемся экране состояния соединителя. Если вам не удается найти нужный соединитель, выберите имя соединителя, чтобы открыть коллекцию соединителей или коллекцию решений.

Развертывание и мониторинг правил аналитики и инцидентов

После отправки данных в рабочую область можно настраивать и отслеживать правила аналитики. В книге Развертывание и миграция в Microsoft Sentinel выберите раздел Аналитика, чтобы просмотреть все развернутые шаблоны и списки правил. Это представление указывает, какие правила используются в настоящее время и как часто эти правила генерируют инциденты.

В случае необходимости увеличения охвата, выберите параметр Проверить охват MITRE под таблицей слева. Используйте этот параметр, чтобы выяснить, какие области получают больший охват и какие правила развертываются, на любом этапе проекта миграции.

После развертывания нужных правил аналитики и настройки соединителя продукта Defender для отправки оповещений можно отслеживать создание и частоту инцидентов в разделе Развертывание > Сводка хода выполнения. В этой области отображаются метрики, касающиеся создания оповещений по продукту, названию и классификации, для указания работоспособности SOC и оповещений, которые требуют наибольшего внимания. Если оповещения создают слишком большой объем, вернитесь на вкладку Аналитика, чтобы изменить логику.

Развертывание и использование книг

Чтобы визуализировать сведения о приеме и обнаружении данных, которые выполняет Microsoft Sentinel, в книге Развертывание и миграция в Microsoft Sentinel выберите Книги. Как и на вкладке Соединители данных, можно использовать представления Мониторинг и Конфигурация для просмотра сведений о мониторинге и конфигурации.

Ниже описаны некоторые полезные задачи, которые можно выполнять на вкладке Книги:

• Чтобы просмотреть список всех книг в среде и количество развернутых книг, выберите Мониторинг.

• Чтобы просмотреть определенную книгу в книге Развертывание и миграция в Microsoft Sentinel, выберите книгу и нажмитеОткрыть выбранную книгу.

  

• Если вы еще не развернули книги, выберите раздел Конфигурация, чтобы просмотреть список часто используемых и рекомендуемых книг. Если книга не указана в списке, выберите Перейти в коллекцию книг или Перейти в центр содержимого, чтобы развернуть соответствующую книгу.

  

Развертывание и мониторинг сборников схем и правил автоматизации

После настройки приема, обнаружения и визуализации данных можно рассмотреть вопрос автоматизации. В книге Развертывание и миграция в Microsoft Sentinel выберите раздел Автоматизация, чтобы просмотреть развернутые сборники схем и узнать, какие сборники схем в настоящее время подключены к правилу автоматизации. Если правила автоматизации существуют, книга выделит следующие сведения о каждом правиле:

• Имя
• Состояние
• Действие или действия правила
• Последняя дата изменения правила и пользователь, который внес это изменение
• Дата создания правила

Чтобы просмотреть, развернуть и проверить автоматизацию в текущем разделе книги, выберите Развернуть ресурсы автоматизации в нижнем левом углу.

Узнайте о возможностях SOAR Microsoft Sentinel для сборников схем и правил автоматизации.

Развертывание и мониторинг U E B A

Поскольку направление отчетов и обнаружение данных происходят на уровне сущности, важно отслеживать поведение и тенденции сущностей. Чтобы включить функцию U E B A в Microsoft Sentinel, в книге Развертывание и миграция в Microsoft Sentinel выберите UEBA. Здесь можно настроить временные шкалы сущностей для страниц сущностей и просмотреть, какие таблицы, связанные с сущностями, заполняются данными.

Чтобы включить U E B A, выполните следующие действия:

1. Выберите Включить UEBA над списком таблиц.
2. Чтобы включить U E B A, нажмите Вкл.
3. Выберите источники данных, которые вы хотите использовать для создания аналитических сведений.
4. Нажмите кнопку Применить.

После включения U E B A можно отслеживать и проверять, создает ли Microsoft Sentinel данные U E B A.

Чтобы настроить временную шкалу, выполните следующие действия:

1. Выберите Настроить временную шкалу сущностей над списком таблиц.
2. Создайте пользовательский элемент или выберите один из готовых шаблонов.
3. Чтобы развернуть шаблон и завершить работу мастера, нажмите Создать.

Получите более подробную информацию об U E B A или узнайте, как настроить временную шкалу.

Настройка жизненного цикла данных и управление им

При развертывании или миграции в Microsoft Sentinel важно управлять использованием и жизненным циклом входящих журналов. Для этой цели в книге Развертывание и миграция в Microsoft Sentinel выберите Управление данными, чтобы просмотреть и настроить хранение и архивацию таблиц.

Вы можете просмотреть следующие сведения:

• Таблицы, настроенные для приема основных журналов
• Таблицы, настроенные для приема данных уровня аналитики
• Таблицы, настроенные для архивации
• Таблицы для хранения в рабочей области по умолчанию

Чтобы изменить существующую политику хранения для таблиц, выполните следующие действия:

1. Выберите представление Таблицы для хранения по умолчанию.
2. Выберите таблицу, которую вы хотите изменить, и нажмите Обновить хранение. Можно редактировать следующие сведения:
   • Текущее хранение в рабочей области
   • Текущее хранение в архиве
   • Общее количество дней, в течение которых данные будут существовать в среде
3. Измените значение TotalRetention, чтобы задать новое общее количество дней, в течение которых данные будут существовать в среде.

Значение ArchiveRetention вычисляется путем вычитания значения TotalRetention из значения InteractiveRetention. Если необходимо настроить хранение в рабочей области, это изменение не повлияет на таблицы, содержащие настроенные архивы, и данные не будут потеряны. Если вы измените значение InteractiveRetention, а значение TotalRetention при этом останется прежним, Azure Log Analytics скорректирует хранение в архиве, чтобы компенсировать это изменение.

Если вы предпочитаете вносить изменения в пользовательский интерфейс, выберите Обновить хранение в пользовательском интерфейсе, чтобы открыть соответствующую колонку.

Получите дополнительные сведения об управлении жизненным циклом данных.

Включение рекомендаций и инструкций по миграции

Чтобы упростить процесс развертывания и миграции, книга содержит рекомендации по использованию различных вкладок и ссылки на соответствующие ресурсы. Рекомендации основаны на документации по миграции Microsoft Sentinel и относятся к текущему SIEM. Чтобы включить советы и инструкции, в книге Развертывание и миграция в Microsoft Sentinel в правом верхнем углу задайте для разделов Рекомендации по миграции и Инструкции значение Да.

Дальнейшие действия

Из этой статьи вы узнали, как отслеживать миграцию с помощью книги Развертывание и миграция в Microsoft Sentinel.

• Миграция правил обнаружения ArcSight
• Миграция правил обнаружения Splunk
• Миграция правил обнаружения QRadar