Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены операционные действия, которые мы рекомендуем группам безопасности (SOC) и администраторам безопасности планировать и запускать в рамках своих обычных действий безопасности с помощью Microsoft Sentinel. Дополнительные сведения об управлении операциями безопасности см. в обзоре операций безопасности.
Ежедневные задачи
Запланируйте следующие действия ежедневно.
| Задача | описание |
|---|---|
| Изучение инцидентов и расследование инцидентов | Просмотрите страницу инцидентов Microsoft Sentinel, чтобы проверить наличие новых инцидентов , созданных правилами аналитики в настоящее время, и начать расследование новых инцидентов. Дополнительные сведения см. в разделе: |
| Изучение запросов охоты и закладок | Изучите результаты всех встроенных запросов и обновите существующие запросы и закладки охоты. Вручную создайте новые инциденты или обновите существующие, если это применимо. Дополнительные сведения см. в разделе: |
| Правила аналитики | Просмотрите и включите новые правила аналитики, в том числе только что выпущенные или новые доступные правила из недавно развернутых решений. Дополнительные сведения см. в разделе: Отслеживайте работоспособность и оптимизируйте выполнение правил аналитики. Дополнительные сведения см. в разделе: |
| Соединители данных | Проверьте состояние работоспособности соединителей данных, чтобы обеспечить поток данных. Проверьте наличие новых соединителей и проверьте прием, чтобы обеспечить превышение ограничений. Дополнительные сведения см. в разделе "Мониторинг работоспособности соединителей данных". |
| Агент Azure Monitor | Убедитесь в наличии активных подключений от серверов и рабочих станций к рабочей области, устраните неполадки и исправьте все неполадки соединений. Дополнительные сведения см. в обзоре агента Azure Monitor. |
| Сбои сборника схем | Проверьте состояние выполнения сборника схем и устраните все сбои. Дополнительные сведения см. в руководстве по реагированию на угрозы с помощью сборников схем с правилами автоматизации в Microsoft Sentinel. |
Еженедельные задачи
Запланируйте следующие действия еженедельно.
| Задача | описание |
|---|---|
| Проверка содержимого решений или автономного содержимого | Получите все обновления содержимого для установленных решений или автономного содержимого из центра контента. Просмотрите новые решения или автономное содержимое, которое может иметь значение для вашей среды, например правила аналитики, книги, запросы охоты или сборники схем. |
| Аудит Microsoft Sentinel | Просмотрите действие Microsoft Sentinel, чтобы узнать, кто обновил или удалил ресурсы, такие как правила аналитики, закладки и т. д. Дополнительные сведения см. в разделе "Аудит запросов и действий Microsoft Sentinel". |
Ежемесячные задачи
Запланируйте следующие действия ежемесячно.
| Задача | описание |
|---|---|
| Проверка доступа пользователей | Проверьте разрешения для пользователей и наличие неактивных пользователей. Дополнительные сведения см. в разделе "Разрешения" в Microsoft Sentinel. |
| Проверка рабочей области Log Analytics | Убедитесь, что политика хранения данных рабочей области Log Analytics по-прежнему соответствует политике вашей организации. Дополнительные сведения см. в политике хранения данных и интеграции Azure Data Explorer для долгосрочного хранения журналов. |