Distributionsguide för Microsoft Sentinel
Den här artikeln beskriver de aktiviteter som hjälper dig att planera, distribuera och finjustera din Microsoft Sentinel-distribution.
Planera och förbereda översikt
I det här avsnittet beskrivs de aktiviteter och förutsättningar som hjälper dig att planera och förbereda innan du distribuerar Microsoft Sentinel.
Planerings- och förberedelsefasen utförs vanligtvis av en SOC-arkitekt eller relaterade roller.
| Steg | Details |
|---|---|
| 1. Planera och förbereda översikt och förutsättningar | Granska kraven för Azure-klientorganisationen. |
| 2. Planera arbetsytearkitektur | Utforma din Microsoft Sentinel-arbetsyta. Överväg parametrar som: – Om du ska använda en enda klientorganisation eller flera klientorganisationer – Alla efterlevnadskrav som du har för datainsamling och lagring – Så här styr du åtkomsten till Microsoft Sentinel-data Läs de här artiklarna: 1. Granska metodtips 2. Utforma arbetsytearkitektur 3. Granska exempel på arbetsytedesign 4. Förbered för flera arbetsytor |
| 3. Prioritera dataanslutningar | Ta reda på vilka datakällor du behöver och kraven på datastorlek som hjälper dig att korrekt projicera distributionens budget och tidslinje. Du kan fastställa den här informationen under granskningen av affärsanvändningsfall eller genom att utvärdera en aktuell SIEM som du redan har på plats. Om du redan har en SIEM på plats analyserar du dina data för att förstå vilka datakällor som ger mest värde och bör matas in i Microsoft Sentinel. |
| 4. Planera roller och behörigheter | Använd rollbaserad åtkomstkontroll i Azure (RBAC) för att skapa och tilldela roller i ditt säkerhetsåtgärdsteam för att bevilja lämplig åtkomst till Microsoft Sentinel. De olika rollerna ger dig detaljerad kontroll över vad Microsoft Sentinel-användare kan se och göra. Azure-roller kan tilldelas direkt på Microsoft Sentinel-arbetsytan, eller i en prenumeration eller resursgrupp som arbetsytan tillhör, som Microsoft Sentinel ärver. |
| 5. Planera kostnader | Börja planera din budget med tanke på kostnadskonsekvenser för varje planerat scenario. Se till att din budget täcker kostnaden för datainmatning för både Microsoft Sentinel och Azure Log Analytics, eventuella spelböcker som kommer att distribueras och så vidare. |
Distributionsöversikt
Distributionsfasen utförs vanligtvis av en SOC-analytiker eller relaterade roller.
| Steg | Details |
|---|---|
| 1. Aktivera Microsoft Sentinel, hälsa och granskning samt innehåll | Aktivera Microsoft Sentinel, aktivera hälso- och granskningsfunktionen och aktivera de lösningar och innehåll som du har identifierat enligt organisationens behov. |
| 2. Konfigurera innehåll | Konfigurera de olika typerna av Microsoft Sentinel-säkerhetsinnehåll som gör att du kan identifiera, övervaka och svara på säkerhetshot i dina system: Dataanslutningar, analysregler, automatiseringsregler, spelböcker, arbetsböcker och bevakningslistor. |
| 3. Konfigurera en arkitektur för flera arbetsytor | Om din miljö kräver flera arbetsytor kan du nu konfigurera dem som en del av distributionen. I den här artikeln får du lära dig hur du konfigurerar Microsoft Sentinel för att utöka flera arbetsytor och klientorganisationer. |
| 4. Aktivera användar- och entitetsbeteendeanalys (UEBA) | Aktivera och använda UEBA-funktionen för att effektivisera analysprocessen. |
| 5. Konfigurera datakvarhållning och arkiv | Konfigurera datakvarhållning och arkivering för att se till att din organisation behåller de data som är viktiga på lång sikt. |
Finjustera och granska: Checklista för efterdistribution
Granska checklistan efter distributionen för att se till att distributionsprocessen fungerar som förväntat och att säkerhetsinnehållet du distribuerade fungerar och skyddar din organisation enligt dina behov och användningsfall.
Fasen för finjustering och granskning utförs vanligtvis av en SOC-tekniker eller relaterade roller.
| Steg | Åtgärder |
|---|---|
| ✅Granska incidenter och incidentprocesser | – Kontrollera om incidenterna och antalet incidenter som du ser återspeglar vad som faktiskt händer i din miljö. – Kontrollera om SOC:s incidentprocess fungerar för att effektivt hantera incidenter: Har du tilldelat olika typer av incidenter till olika lager/nivåer i SOC? Läs mer om hur du navigerar och undersöker incidenter och hur du arbetar med incidentuppgifter. |
| ✅Granska och finjustera analysregler | – Baserat på din incidentgranskning kontrollerar du om dina analysregler utlöses som förväntat och om reglerna återspeglar de typer av incidenter som du är intresserad av. - Hantera falska positiva identifieringar, antingen med hjälp av automatisering eller genom att ändra schemalagda analysregler. – Microsoft Sentinel har inbyggda finjusteringsfunktioner som hjälper dig att analysera dina analysregler. Granska dessa inbyggda insikter och implementera relevanta rekommendationer. |
| ✅Granska automatiseringsregler och spelböcker | – Precis som med analysregler kontrollerar du att dina automatiseringsregler fungerar som förväntat och återspeglar de incidenter som du är orolig för och är intresserad av. – Kontrollera om dina spelböcker svarar på aviseringar och incidenter som förväntat. |
| ✅Lägga till data i visningslistor | Kontrollera att dina visningslistor är uppdaterade. Om några ändringar har gjorts i din miljö, till exempel nya användare eller användningsfall, uppdaterar du dina visningslistor i enlighet med detta. |
| ✅Granska åtagandenivåer | Granska de åtagandenivåer som du först konfigurerade och kontrollera att dessa nivåer återspeglar den aktuella konfigurationen. |
| ✅Hålla reda på kostnader för inmatning | Om du vill hålla reda på kostnaderna för inmatning använder du någon av dessa arbetsböcker: – Arbetsytans användningsrapportarbetsbok innehåller arbetsytans dataförbrukning, kostnad och användningsstatistik. Arbetsboken ger arbetsytans datainmatningsstatus och mängden kostnadsfria och fakturerbara data. Du kan använda arbetsbokslogik för att övervaka datainmatning och kostnader samt för att skapa anpassade vyer och regelbaserade aviseringar. – Microsoft Sentinel Cost-arbetsboken ger en mer fokuserad vy över Microsoft Sentinel-kostnader, inklusive inmatnings- och kvarhållningsdata, inmatningsdata för berättigade datakällor, Faktureringsinformation för Logic Apps med mera. |
| ✅Finjustera regler för datainsamling (DCR) | – Kontrollera att dina domänkontrollanter återspeglar dina datainmatningsbehov och användningsfall. – Om det behövs implementerar du inmatningstidstransformering för att filtrera bort irrelevanta data redan innan de först lagras på din arbetsyta. |
| ✅Kontrollera analysregler mot MITRE-ramverk | Kontrollera MITRE-täckningen på MICROSOFT Sentinel MITRE-sidan: Visa de identifieringar som redan är aktiva på din arbetsyta, och de som är tillgängliga för dig att konfigurera, för att förstå organisationens säkerhetstäckning, baserat på taktik och tekniker från MITRE ATT&CK-ramverket®. |
| ✅Jaga misstänkt aktivitet | Se till att din SOC har en process för proaktiv hotjakt. Jakt är en process där säkerhetsanalytiker söker efter oupptäckta hot och skadliga beteenden. Genom att skapa en hypotes, söka igenom data och verifiera den hypotesen avgör de vad de ska agera på. Åtgärder kan vara att skapa nya identifieringar, ny hotinformation eller att skapa en ny incident. |
Relaterade artiklar
I den här artikeln har du granskat aktiviteterna i var och en av de faser som hjälper dig att distribuera Microsoft Sentinel.
Beroende på vilken fas du befinner dig i väljer du lämpliga nästa steg:
- Planera och förbereda – Förutsättningar för att distribuera Azure Sentinel
- Distribuera – Aktivera Microsoft Sentinel och inledande funktioner och innehåll
- Finjustera och granska – Navigera och undersöka incidenter i Microsoft SentinelNavigera och undersöka incidenter i Microsoft Sentinel
När du är klar med distributionen av Microsoft Sentinel fortsätter du att utforska Microsoft Sentinel-funktioner genom att gå igenom självstudier som beskriver vanliga uppgifter:
- Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent
- Konfigurera datakvarhållningsprincip
- Identifiera hot med hjälp av analysregler
- Kontrollera och registrera information om IP-adressrykten i incidenter automatiskt
- Svara på hot med hjälp av automatisering
- Extrahera incidententiteter med icke-intern åtgärd
- Undersöka med UEBA
- Skapa och övervaka Nolltillit