Spåra din Microsoft Sentinel-migrering med en arbetsbok
Eftersom organisationens säkerhetscenter (SOC) hanterar växande mängder data är det viktigt att planera och övervaka distributionsstatusen. Du kan spåra migreringsprocessen med hjälp av allmänna verktyg som Microsoft Project, Microsoft Excel, Microsoft Teams eller Azure DevOps, men de här verktygen är inte specifika för spårning av säkerhetsinformation och händelsehantering (SIEM). För att hjälpa dig att spåra tillhandahåller vi en dedikerad arbetsbok i Microsoft Sentinel med namnet Distribution och migrering av Microsoft Sentinel.
Arbetsboken hjälper dig att:
- Visualisera migreringsstatus
- Distribuera och spåra datakällor
- Distribuera och övervaka analysregler och incidenter
- Distribuera och använda arbetsböcker
- Distribuera och utföra automatisering
- Distribuera och anpassa beteendeanalys för användare och entiteter (U E B A)
Den här artikeln beskriver hur du spårar migreringen med arbetsboken Distribution och migrering i Microsoft Sentinel, hur du anpassar och hanterar arbetsboken och hur du använder arbetsboksflikarna för att distribuera och övervaka dataanslutningar, analys, incidenter, spelböcker, automatiseringsregler, U E B A och datahantering. Läs mer om hur du använder Azure Monitor-arbetsböcker i Microsoft Sentinel.
Distribuera arbetsbokens innehåll och visa arbetsboken
Om du vill hämta arbetsboken installerar du först det fristående objektet från innehållshubben i Microsoft Sentinel.
I Microsoft Sentinel-innehållshubben filtrerar du innehållet som anges efter Innehållstyp = Arbetsböcker och anger sedan migrering i sökfältet.
I sökresultaten väljer du arbetsboken Distribution och migrering i Microsoft Sentinel och väljer sedan Installera. Microsoft Sentinel distribuerar arbetsboken och sparar arbetsboken i din miljö.
Under Hothantering i Microsoft Sentinel väljer du Arbetsböcker mallar>.
Välj arbetsboken Distribution och migrering i Microsoft Sentinel och visa mallen.
Distribuera visningslistan
Nästa steg är att distribuera den relaterade visningslistan från Microsoft Sentinel GitHub-lagringsplatsen.
- På GitHub-lagringsplatsen i Microsoft Sentinel väljer du mappen DeploymentandMigration och väljer Distribuera till Azure för att påbörja malldistributionen i Azure.
- Ange namnet på Microsoft Sentinel-resursgruppen och arbetsytan.
- Välj Granska och skapa.
- När informationen har verifierats väljer du Skapa.
Uppdatera visningslistan med distributions- och migreringsåtgärder
Det här steget är avgörande för konfigurationsprocessen för spårning. Om du hoppar över det här steget återspeglar arbetsboken inte objekten för spårning.
Så här uppdaterar du visningslistan med distributions- och migreringsåtgärder:
- I Azure- eller Microsoft Defender-portalen väljer du Microsoft Sentinel och sedan Bevakningslista.
- Välj visningslistan med distributionsaliaset.
- Välj sedan Uppdatera visningslistan > redigera visningslisteobjekt.
- Ange information om de åtgärder som krävs för distributionen och migreringen.
- Välj Spara.
Nu kan du visa visningslistan i arbetsboken för migreringsspårare. Lär dig hur du hanterar visningslistor.
Dessutom kan ditt team uppdatera eller slutföra uppgifter under distributionsprocessen. För att åtgärda dessa ändringar uppdaterar du befintliga åtgärder eller lägger till nya åtgärder när du identifierar nya användningsfall eller ställer in nya krav. Om du vill uppdatera eller lägga till åtgärder redigerar du den distributionsbevakningslista som du distribuerade. För att förenkla processen väljer du Redigera distributionsbevakningslista i arbetsboken för att öppna visningslistan direkt från arbetsboken.
Visa distributionsstatus
Om du snabbt vill visa distributionsframsteget går du till arbetsboken Distribution och migrering i Microsoft Sentinel och väljer Distribution och rullar ned för att hitta sammanfattningen av förloppet. I det här området visas distributionsstatus, inklusive följande information:
- Tabeller som rapporterar data
- Antal tabeller som rapporterar data
- Antal rapporterade loggar och vilka tabeller som rapporterar loggdata
- Antal aktiverade regler jämfört med odistribuerade regler
- Rekommenderade arbetsböcker distribuerade
- Totalt antal distribuerade arbetsböcker
- Totalt antal distribuerade spelböcker
Distribuera och övervaka dataanslutningar
Om du vill övervaka distribuerade resurser och distribuera nya anslutningsappar går du till arbetsboken Distribution och migrering av Microsoft Sentinel och väljer Övervakare av dataanslutningsappar>. Vyn Övervaka listar:
- Aktuella inmatningstrender
- Tabeller som matar in data
- Hur mycket data varje tabell rapporterar
- Slutpunktsrapportering med Microsoft Monitoring Agent (MMA)
- Slutpunktsrapportering med Azure Monitoring Agent (AMA)
- Slutpunkter som rapporterar med både MMA- och AMA-agenterna
- Regler för datainsamling i resursgruppen och de enheter som är länkade till reglerna
- Dataanslutningshälsa (ändringar och fel)
- Hälsologgar inom det angivna tidsintervallet
Så här konfigurerar du en dataanslutning:
- Välj vyn Konfigurera.
- Välj knappen med namnet på den anslutningsapp som du vill konfigurera.
- Konfigurera anslutningsappen på statusskärmen för anslutningsappen som öppnas. Om du inte hittar en anslutningsapp som du behöver väljer du anslutningsappens namn för att öppna anslutningsgalleriet eller lösningsgalleriet.
Distribuera och övervaka analyser och incidenter
När data rapporteras på arbetsytan konfigurerar och övervakar du analysregler. I arbetsboken Distribution och migrering i Microsoft Sentinel väljer du fliken Analys för att visa alla distribuerade regelmallar och listor. Den här vyn anger vilka regler som används för närvarande och hur ofta reglerna genererar incidenter.
Om du behöver mer täckning väljer du Granska MITRE-täckning under tabellen till vänster. Använd det här alternativet om du vill definiera vilka områden som får mer täckning och vilka regler som distribueras i alla skeden av migreringsprojektet.
När du distribuerar analysreglerna och Defender-produktanslutningen har konfigurerats för att skicka aviseringarna övervakar du skapande av incidenter och frekvens under Distributionssammanfattning > av förloppet. Det här området visar mått för aviseringsgenerering efter produkt, rubrik och klassificering, för att indikera hälsotillståndet för SOC och vilka aviseringar som kräver mest uppmärksamhet. Om aviseringar genererar för mycket volym går du tillbaka till fliken Analys för att ändra logiken.
Distribuera och använda arbetsböcker
Om du vill visualisera information om datainmatning och identifieringar som Microsoft Sentinel utför väljer du Arbetsböcker i arbetsboken Distribution och migrering i Microsoft Sentinel. På samma sätt som på fliken Dataanslutningar använder du vyerna Övervaka och Konfigurera för att visa övervaknings- och konfigurationsinformation.
Här är några användbara uppgifter att göra på fliken Arbetsböcker :
Om du vill visa en lista över alla arbetsböcker i miljön och hur många arbetsböcker som distribueras väljer du Övervaka.
Om du vill visa en specifik arbetsbok i arbetsboken Distribution och migrering i Microsoft Sentinel väljer du en arbetsbok och sedan Öppna vald arbetsbok.
Om du ännu inte har distribuerat arbetsböcker väljer du Konfigurera för att visa en lista över vanliga och rekommenderade arbetsböcker. Om en arbetsbok inte visas väljer du Gå till arbetsboksgalleriet eller Gå till innehållshubben för att distribuera relevant arbetsbok.
Distribuera och övervaka spelböcker och automatiseringsregler
När du konfigurerar datainmatning, identifieringar och visualiseringar kan du nu titta på automatisering. I arbetsboken Distribution och migrering i Microsoft Sentinel väljer du Automation för att visa distribuerade spelböcker och för att se vilka spelböcker som för närvarande är anslutna till en automatiseringsregel. Om det finns automatiseringsregler visar arbetsboken följande information om varje regel:
- Name
- Status
- Regelns åtgärd eller åtgärder
- Det senaste datumet då regeln ändrades och användaren som ändrade regeln
- Datumet då regeln skapades
Om du vill visa, distribuera och testa automatisering i det aktuella avsnittet i arbetsboken väljer du Distribuera automationsresurser längst ned till vänster.
Lär dig mer om Microsoft Sentinel SOAR-funktioner för spelböcker och automatiseringsregler.
Distribuera och övervaka U E B A
Eftersom datarapportering och identifieringar sker på entitetsnivå är det viktigt att övervaka entitetsbeteende och trender. Om du vill aktivera U E B A-funktionen i Microsoft Sentinel går du till arbetsboken Distribution och migrering av Microsoft Sentinel och väljer UEBA. Här kan du anpassa entitetens tidslinjer för entitetssidor och visa vilka entitetsrelaterade tabeller som fylls med data.
Så här aktiverar du U E B A:
- Välj Aktivera UEBA ovanför listan med tabeller.
- Om du vill aktivera U E B A väljer du På.
- Välj de datakällor som du vill använda för att generera insikter.
- Välj Använd.
När du har aktiverat U E B A övervakar och kontrollerar du att Microsoft Sentinel genererar U E B A-data.
Så här anpassar du tidslinjen:
- Välj Anpassa entitetstidslinje ovanför listan över tabeller.
- Skapa ett anpassat objekt eller välj en av de färdiga mallarna.
- Om du vill distribuera mallen och slutföra guiden väljer du Skapa.
Läs mer om U E B A eller lär dig hur du anpassar tidslinjen.
Konfigurera och hantera datalivscykeln
När du distribuerar eller migrerar till Microsoft Sentinel är det viktigt att hantera användningen och livscykeln för inkommande loggar. I arbetsboken Distribution och migrering i Microsoft Sentinel väljer du Datahantering för att visa och konfigurera kvarhållning och arkivering av tabeller.
Visa information om:
- Tabeller som konfigurerats för grundläggande logginmatning
- Tabeller som konfigurerats för inmatning på analysnivå
- Tabeller som är konfigurerade att arkiveras
- Tabeller för standardkvarhållning av arbetsytor
Så här ändrar du den befintliga kvarhållningsprincipen för tabeller:
- Välj vyn Standard för kvarhållningstabeller.
- Välj den tabell som du vill ändra och välj Uppdatera kvarhållning. Redigera följande information efter behov:
- Aktuell kvarhållning på arbetsytan
- Aktuell kvarhållning i arkivet
- Totalt antal dagar som datan finns i miljön
- Redigera värdet TotalRetention för att ange ett nytt totalt antal dagar som data ska finnas i miljön.
ArchiveRetention-värdet beräknas genom att subtrahera värdet TotalRetention från värdet InteractiveRetention. Om du behöver justera kvarhållningen av arbetsytan påverkar ändringen inte tabeller som innehåller konfigurerade arkiv och data går inte förlorade. Om du redigerar värdet InteractiveRetention och TotalRetention-värdet inte ändras justerar Azure Log Analytics arkivkvarhållningen för att kompensera ändringen.
Om du föredrar att göra ändringar i användargränssnittet väljer du Uppdatera kvarhållning i användargränssnittet för att öppna relevant sida.
Lär dig mer om datalivscykelhantering.
Aktivera migreringstips och instruktioner
För att hjälpa till med distributions- och migreringsprocessen innehåller arbetsboken tips som förklarar hur du använder de olika flikarna och länkar till relevanta resurser. Tipsen baseras på Microsoft Sentinel-migreringsdokumentationen och är relevanta för din aktuella SIEM. Om du vill aktivera tips och instruktioner går du till arbetsboken Distribution och migrering i Microsoft Sentinel längst upp till höger och ställer in MigrationTips och Instruktion på Ja.
Nästa steg
I den här artikeln har du lärt dig hur du spårar migreringen med arbetsboken Distribution och migrering i Microsoft Sentinel.