Uppdatera SOC-processer
Ett säkerhetsoperationscenter (SOC) är en centraliserad funktion i en organisation som integrerar personer, processer och teknik. En SOC implementerar organisationens övergripande cybersäkerhetsramverk. SOC samarbetar med organisationen för att övervaka, varna, förhindra, identifiera, analysera och svara på cybersäkerhetsincidenter. SOC-team, som leds av en SOC-chef, kan inkludera incidentsvarare, SOC-analytiker på nivå 1, 2 och 3, hotjägare och incidenthanteringshanterare.
SOC-team använder telemetri från organisationens IT-infrastruktur, inklusive nätverk, enheter, program, beteenden, apparater och informationslager. Teamen samförhåller och analyserar sedan data för att avgöra hur data ska hanteras och vilka åtgärder som ska utföras.
För att migrera till Microsoft Sentinel måste du uppdatera inte bara den teknik som SOC använder, utan även SOC-uppgifter och -processer. Den här artikeln beskriver hur du uppdaterar dina SOC- och analytikerprocesser som en del av migreringen till Microsoft Sentinel.
Uppdatera analytikerarbetsflöde
Microsoft Sentinel erbjuder en rad verktyg som mappar till ett typiskt analytikerarbetsflöde, från incidenttilldelning till stängning. Analytiker kan flexibelt använda vissa eller alla tillgängliga verktyg för att sortera och undersöka incidenter. När din organisation migrerar till Microsoft Sentinel måste dina analytiker anpassa sig till dessa nya verktygsuppsättningar, funktioner och arbetsflöden.
Incidenter i Microsoft Sentinel
I Microsoft Sentinel är en incident en samling aviseringar som Microsoft Sentinel bedömer har tillräcklig återgivning för att utlösa incidenten. Med Microsoft Sentinel sorterar analytikern därför först incidenter på sidan Incidenter och fortsätter sedan att analysera aviseringar om det behövs en djupare genomgång. Jämför SIEM:s incidentterminologi och hanteringsområden med Microsoft Sentinel.
Arbetsflödesfaser för analytiker
Den här tabellen beskriver de viktigaste stegen i analytikerarbetsflödet och visar de specifika verktyg som är relevanta för varje aktivitet i arbetsflödet.
| Tilldela | Sortera | Undersök | Åtgärda |
|---|---|---|---|
| Tilldela incidenter: • Manuellt, på sidan Incidenter • Automatiskt, med hjälp av spelböcker eller automatiseringsregler |
Sortera incidenter med hjälp av: • Incidentinformationen på sidan Incident • Entitetsinformation på sidan Incident under fliken Entiteter • Jupyter Notebooks |
Undersöka incidenter med hjälp av: • Undersökningsdiagrammet • Microsoft Sentinel-arbetsböcker • Log Analytics-frågefönstret |
Svara på incidenter med hjälp av: • Spelböcker och automatiseringsregler • Microsoft Teams War Room |
I nästa avsnitt mappas både terminologi- och analytikerarbetsflödet till specifika Microsoft Sentinel-funktioner.
Tilldela
Använd sidan Microsoft Sentinel-incidenter för att tilldela incidenter. Sidan Incidenter innehåller en incidentförhandsvisning och en detaljerad vy för enskilda incidenter.
Så här tilldelar du en incident:
- Manuellt. Ange fältet Ägare till relevant användarnamn.
- Automatiskt. Använd en anpassad lösning baserad på Microsoft Teams och Logic Apps, eller en automatiseringsregel.
Sortera
Om du vill utföra en sorteringsövning i Microsoft Sentinel kan du börja med olika Microsoft Sentinel-funktioner, beroende på din expertisnivå och vilken typ av incident som utreds. Som en typisk startpunkt väljer du Visa fullständig information på sidan Incident . Nu kan du undersöka aviseringarna som utgör incidenten, granska bokmärken, välja entiteter för att öka detaljnivån ytterligare i specifika entiteter eller lägga till kommentarer.
Här är föreslagna åtgärder för att fortsätta din incidentgranskning:
- Välj Undersökning för en visuell representation av relationerna mellan incidenterna och relevanta entiteter.
- Använd en Jupyter Notebook för att utföra en djupgående sorteringsövning för en viss entitet. Du kan använda notebook-filen incidenttriage för den här övningen.
Påskynda sortering
Använd de här funktionerna för att påskynda sortering:
- För snabbfiltrering går du till sidan Incidenter och söker efter incidenter som är associerade med en specifik entitet. Filtrering efter entitet på sidan Incidenter går snabbare än att filtrera efter entitetskolumnen i äldre SIEM-incidentköer.
- För snabbare sortering använder du skärmen Aviseringsinformation för att inkludera viktig incidentinformation i incidentnamnet och beskrivningen, till exempel det relaterade användarnamnet, IP-adressen eller värden. En incident kan till exempel dynamiskt byta namn till
Ransomware activity detected in DC01, därDC01är en kritisk tillgång som dynamiskt identifieras via de anpassningsbara aviseringsegenskaperna. - För djupare analys går du till sidan Incidenter, väljer en incident och väljer Händelser under Bevis för att visa specifika händelser som utlöste incidenten. Händelsedata visas som utdata för frågan som är associerad med analysregeln i stället för råhändelsen. Regelmigreringsteknikern kan använda dessa utdata för att säkerställa att analytikern hämtar rätt data.
- För detaljerad entitetsinformation går du till sidan Incidenter och väljer en incident och väljer ett entitetsnamn under Entiteter för att visa entitetens kataloginformation, tidslinje och insikter. Lär dig hur du mappar entiteter.
- Om du vill länka till relevanta arbetsböcker väljer du Incidentförhandsgranskning. Du kan anpassa arbetsboken för att visa ytterligare information om incidenten eller associerade entiteter och anpassade fält.
Undersök
Använd undersökningsdiagrammet för att undersöka incidenter på djupet. På sidan Incidenter väljer du en incident och väljer Undersök för att visa undersökningsdiagrammet.
Med undersökningsdiagrammet kan du:
- Förstå omfånget och identifiera rotorsaken till potentiella säkerhetshot genom att korrelera relevanta data med alla berörda entiteter.
- Gå djupare in i entiteter och välj mellan olika expansionsalternativ.
- Du kan enkelt se anslutningar mellan olika datakällor genom att visa relationer som extraheras automatiskt från rådata.
- Utöka undersökningsomfånget med hjälp av inbyggda utforskningsfrågor för att visa hela omfattningen av ett hot.
- Använd fördefinierade utforskningsalternativ för att ställa rätt frågor när du undersöker ett hot.
Från undersökningsdiagrammet kan du också öppna arbetsböcker för att ytterligare stödja dina undersökningsinsatser. Microsoft Sentinel innehåller flera arbetsboksmallar som du kan anpassa efter ditt specifika användningsfall.
Åtgärda
Använd automatiserade svarsfunktioner i Microsoft Sentinel för att svara på komplexa hot och minska aviseringströtthet. Microsoft Sentinel tillhandahåller automatiserade svar med hjälp av Logic Apps-spelböcker och automatiseringsregler.
Använd något av följande alternativ för att komma åt spelböcker:
- Fliken Automation > Playbook-mallar
- Microsoft Sentinel-innehållshubben
- Microsoft Sentinel GitHub-lagringsplatsen
Dessa källor omfattar en mängd olika säkerhetsorienterade spelböcker för att täcka en stor del av användningsfallen med varierande komplexitet. Om du vill effektivisera ditt arbete med spelböcker använder du mallarna under Automation > Playbook-mallar. Med mallar kan du enkelt distribuera spelböcker till Microsoft Sentinel-instansen och sedan ändra spelböckerna efter organisationens behov.
Se SOC Process Framework för att mappa soc-processen till Microsoft Sentinel-funktioner.
Jämföra SIEM-begrepp
Använd den här tabellen om du vill jämföra huvudbegreppen i ditt äldre SIEM med Microsoft Sentinel-begrepp.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Event | Event | Event | Event |
| Korrelationshändelse | Korrelationshändelse | Noterbar händelse | Varning |
| Incident | Brott | Noterbar händelse | Incident |
| Lista över brott | Taggar | Sidan Incidenter | |
| Etiketter | Anpassat fält i SOAR | Taggar | Taggar |
| Jupyter Notebook | Jupyter Notebook | Microsoft Sentinel-anteckningsböcker | |
| Instrumentpaneler | Instrumentpaneler | Instrumentpaneler | Arbetsböcker |
| Korrelationsregler | Byggblocken | Korrelationsregler | Analysregler |
| Incidentkö | Fliken Brott | Incidentgranskning | Incidentsida |
Nästa steg
Efter migreringen kan du utforska Microsofts Microsoft Sentinel-resurser för att utöka dina kunskaper och få ut mesta möjliga av Microsoft Sentinel.
Överväg också att öka ditt skydd mot hot genom att använda Microsoft Sentinel tillsammans med Microsoft Defender XDR och Microsoft Defender för molnet för integrerat skydd mot hot. Dra nytta av den bredd av synlighet som Microsoft Sentinel levererar, samtidigt som du fördjupar dig i detaljerad hotanalys.
Mer information finns i:
- Metodtips för regelmigrering
- Webbseminarier: Metodtips för att konvertera identifieringsregler
- Säkerhetsorkestrering, automatisering och svar (SOAR) i Microsoft Sentinel
- Hantera din SOC bättre med incidentmått
- Utbildningsväg för Microsoft Sentinel
- SC-200 Microsoft Security Operations Analyst-certifiering
- Microsoft Sentinel Ninja-utbildning
- Undersöka en attack mot en hybridmiljö med Microsoft Sentinel