Spåra din Microsoft Sentinel-migrering med en arbetsbok

Eftersom organisationens Security Operations Center (SOC) hanterar växande mängder data är det viktigt att planera och övervaka distributionsstatusen. Du kan spåra migreringsprocessen med hjälp av allmänna verktyg som Microsoft Project, Microsoft Excel, Teams eller Azure DevOps, men de här verktygen är inte specifika för SIEM-migreringsspårning. För att hjälpa dig med spårning tillhandahåller vi en dedikerad arbetsbok i Microsoft Sentinel med namnet Distribution och migrering av Microsoft Sentinel.

Arbetsboken hjälper dig att:

  • Visualisera migreringsstatus
  • Distribuera och spåra datakällor
  • Distribuera och övervaka analysregler och incidenter
  • Distribuera och använda arbetsböcker
  • Distribuera och utföra automatisering
  • Distribuera och anpassa beteendeanalys för användare och entiteter (U E B A)

Den här artikeln beskriver hur du spårar migreringen med arbetsboken Distribution och migrering i Microsoft Sentinel , hur du anpassar och hanterar arbetsboken och hur du använder arbetsboksflikarna för att distribuera och övervaka dataanslutningar, analys, incidenter, spelböcker, automatiseringsregler, U E B A och datahantering. Läs mer om hur du använder Azure Monitor-arbetsböcker i Microsoft Sentinel.

Distribuera arbetsbokens innehåll och visa arbetsboken

  1. I Azure Portal väljer du Microsoft Sentinel och sedan Arbetsböcker.
  2. Sök efter migrationi sökfältet.
  3. I sökresultaten väljer du arbetsboken Distribution och migrering i Microsoft Sentinel och väljer Spara. Microsoft Sentinel distribuerar arbetsboken och sparar arbetsboken i din miljö.
  4. Om du vill visa arbetsboken väljer du Öppna sparad arbetsbok.

Distribuera visningslistan

  1. I GitHub-lagringsplatsen för Microsoft Sentinel väljer du mappen DeploymentandMigration och sedan Distribuera till Azure för att påbörja malldistributionen i Azure.
  2. Ange resursgruppen och arbetsytans namn i Microsoft Sentinel. Skärmbild av distribution av visningslistan till Azure.
  3. Välj Granska och skapa.
  4. När informationen har verifierats väljer du Skapa.

Uppdatera visningslistan med distributions- och migreringsåtgärder

Det här steget är avgörande för konfigurationsprocessen för spårning. Om du hoppar över det här steget återspeglar inte arbetsboken objekten för spårning.

Så här uppdaterar du visningslistan med distributions- och migreringsåtgärder:

  1. I Azure Portal väljer du Microsoft Sentinel och sedan Visningslista.
  2. Leta upp visningslistan med distributionsaliaset .
  3. Välj visningslistan och välj sedan Uppdatera visningslistan > redigera visningslista objekt längst ned till höger. Skärmbild av uppdatering av visningslisteobjekt med distributions- och migreringsåtgärder.
  4. Ange information om de åtgärder som krävs för distributionen och migreringen och välj Spara.

Nu kan du visa visningslistan i arbetsboken för migreringsspårare. Lär dig hur du hanterar visningslistor.

Dessutom kan ditt team uppdatera eller slutföra uppgifter under distributionsprocessen. För att åtgärda dessa ändringar kan du uppdatera befintliga åtgärder eller lägga till nya åtgärder när du identifierar nya användningsfall eller ställer in nya krav. Om du vill uppdatera eller lägga till åtgärder redigerar du distributionsbevakningslistan som du distribuerade tidigare. För att förenkla processen väljer du Redigera distributionsbevakningslista längst ned till vänster för att öppna visningslistan direkt från arbetsboken.

Visa distributionsstatus

Om du snabbt vill visa distributionsframstegen går du till arbetsboken Distribution och migrering i Microsoft Sentinel och väljer Distribution och rullar ned för att hitta sammanfattningen av förloppet. I det här området visas distributionsstatus, inklusive följande information:

  • Rapportdata för tabeller
  • Antal tabeller som rapporterar data
  • Antal rapporterade loggar och vilka tabeller som rapporterar loggdata
  • Antal aktiverade regler jämfört med odistribuerade regler
  • Rekommenderade arbetsböcker distribuerade
  • Totalt antal distribuerade arbetsböcker
  • Totalt antal distribuerade spelböcker

Distribuera och övervaka dataanslutningsprogram

Om du vill övervaka distribuerade resurser och distribuera nya anslutningsappar går du till arbetsboken Distribution och migrering i Microsoft Sentinel och väljer Övervakare av dataanslutningsappar>. Övervakningsvyn visar:

  • Aktuella datainmatningstrender
  • Tabeller som matar in data
  • Hur mycket data varje tabell rapporterar
  • Slutpunktsrapportering med Microsoft Monitoring Agent (MMA)
  • Slutpunktsrapportering med Azure Monitoring Agent (AMA)
  • Slutpunkter som rapporterar med både MMA- och AMA-agenterna
  • Regler för datainsamling i resursgruppen och de enheter som är länkade till reglerna
  • Hälsotillstånd för dataanslutningsprogram (ändringar och fel)
  • Hälsologgar inom det angivna tidsintervallet

Skärmbild av arbetsbokens fliken Dataanslutningsappar i övervakningsvyn.

Så här konfigurerar du en dataanslutning:

  1. Välj vyn Konfigurera .
  2. Välj knappen med namnet på den anslutningsapp som du vill konfigurera.
  3. Konfigurera anslutningsappen på statusskärmen för anslutningsappen som öppnas. Om du inte hittar en anslutningsapp som du behöver väljer du anslutningsappens namn för att öppna anslutningsgalleriet eller lösningsgalleriet. Skärmbild av arbetsbokens konfigurera-vy.

Distribuera och övervaka analyser och incidenter

När data har rapporterats på arbetsytan kan du nu konfigurera och övervaka analysregler. I arbetsboken Distribution och migrering i Microsoft Sentinel väljer du Analys för att visa alla distribuerade regelmallar och listor. Den här vyn anger vilka regler som används för närvarande och hur ofta reglerna genererar incidenter.

Skärmbild av arbetsbokens analysflik.

Om du behöver mer täckning väljer du Granska MITRE-täckning under tabellen till vänster. Använd det här alternativet för att definiera vilka områden som får mer täckning och vilka regler som distribueras, i alla skeden av migreringsprojektet.

Skärmbild av arbetsbokens MITRE-täckningsvy.

När de önskade analysreglerna har distribuerats och Defender-produktanslutningsappen har konfigurerats för att skicka aviseringarna kan du övervaka skapande av incidenter och frekvens under Distributionssammanfattning > av förloppet. I det här området visas mått för generering av aviseringar efter produkt, rubrik och klassificering, för att ange hälsotillståndet för SOC och vilka aviseringar som kräver mest uppmärksamhet. Om aviseringar genererar för mycket volym går du tillbaka till fliken Analys för att ändra logiken.

Skärmbild av sammanfattningen av förloppet under arbetsbokens analysflik.

Distribuera och använda arbetsböcker

Om du vill visualisera information om datainmatning och identifieringar som Microsoft Sentinel utför väljer du Arbetsböcker i arbetsboken Distribution och migrering i Microsoft Sentinel. På liknande sätt som på fliken Dataanslutningsprogram kan du använda vyerna Övervaka och Konfigurera för att visa övervaknings- och konfigurationsinformation.

Här följer några användbara uppgifter som du kan utföra på fliken Arbetsböcker :

  • Om du vill visa en lista över alla arbetsböcker i miljön och hur många arbetsböcker som distribueras väljer du Övervaka.

  • Om du vill visa en specifik arbetsbok i arbetsboken Distribution och migrering i Microsoft Sentinel väljer du en arbetsbok och sedan Öppna vald arbetsbok.

    Skärmbild av att välja en arbetsbok på fliken Arbetsbok.

  • Om du ännu inte har distribuerat arbetsböcker väljer du Konfigurera för att visa en lista över vanliga och rekommenderade arbetsböcker. Om en arbetsbok inte visas väljer du Gå till arbetsboksgalleriet eller Gå till innehållshubben för att distribuera den relevanta arbetsboken.

    Skärmbild av att visa en arbetsbok från fliken Arbetsbok.

Distribuera och övervaka spelböcker och automatiseringsregler

När du har konfigurerat datainmatning, identifieringar och visualiseringar kan du nu undersöka automatisering. I arbetsboken Distribution och migrering i Microsoft Sentinel väljer du Automation för att visa distribuerade spelböcker och för att se vilka spelböcker som för närvarande är anslutna till en automatiseringsregel. Om det finns automatiseringsregler visar arbetsboken följande information om varje regel:

  • Name
  • Status
  • Åtgärd eller åtgärder för regeln
  • Det senaste datumet då regeln ändrades och användaren som ändrade regeln
  • Det datum då regeln skapades

Om du vill visa, distribuera och testa automatisering i det aktuella avsnittet i arbetsboken väljer du Distribuera automatiseringsresurser längst ned till vänster.

Läs mer om SOAR-funktioner i Microsoft Sentinel för spelböcker och automatiseringsregler.

Skärmbild av arbetsbokens Automation-flik.

Distribuera och övervaka U E B A

Eftersom datarapportering och identifieringar sker på entitetsnivå är det viktigt att övervaka entitetsbeteende och trender. Om du vill aktivera U E B A-funktionen i Microsoft Sentinel går du till arbetsboken Distribution och migrering i Microsoft Sentinel och väljer UEBA. Här kan du anpassa entitetstidslinjen för entitetssidor och visa vilka entitetsrelaterade tabeller som fylls med data.

Skärmbild av arbetsbokens U E B A-flik.

Så här aktiverar du U E B A:

  1. Välj Aktivera UEBA ovanför listan över tabeller.
  2. Om du vill aktivera U E B A väljer du .
  3. Välj de datakällor som du vill använda för att generera insikter.
  4. Välj Använd.

När du har aktiverat U E B A kan du övervaka och se till att Microsoft Sentinel genererar U E B A-data.

Så här anpassar du tidslinjen:

  1. Välj Anpassa entitetstidslinje ovanför listan över tabeller.
  2. Skapa ett anpassat objekt eller välj en av de färdiga mallarna.
  3. Om du vill distribuera mallen och slutföra guiden väljer du Skapa.

Läs mer om U E B A eller lär dig hur du anpassar tidslinjen.

Konfigurera och hantera datalivscykeln

När du distribuerar eller migrerar till Microsoft Sentinel är det viktigt att hantera användning och livscykel för inkommande loggar. För att hjälpa till med detta går du till arbetsboken Distribution och migrering i Microsoft Sentinel och väljer Datahantering för att visa och konfigurera kvarhållning och arkivering av tabeller.

Skärmbild av arbetsbokens Datahantering-flik.

Du kan visa information om:

  • Tabeller som konfigurerats för grundläggande logginmatning
  • Tabeller som konfigurerats för inmatning på analysnivå
  • Tabeller som konfigurerats för att arkiveras
  • Tabeller i standardkvarhållningen för arbetsytan

Så här ändrar du den befintliga kvarhållningsprincipen för tabeller:

  1. Välj vyn Standardkvarhållningstabeller .
  2. Välj den tabell som du vill ändra och välj Uppdatera kvarhållning. Du kan redigera följande information:
    • Aktuell kvarhållning på arbetsytan
    • Aktuell kvarhållning i arkivet
    • Totalt antal dagar som data kommer att finnas i miljön
  3. Redigera totalretention-värdet för att ange ett nytt totalt antal dagar som data ska finnas i miljön.

Värdet ArchiveRetention beräknas genom att subtrahera värdet TotalRetention från värdet InteractiveRetention . Om du behöver justera kvarhållningen av arbetsytan påverkar ändringen inte tabeller som innehåller konfigurerade arkiv och data går inte förlorade. Om du redigerar värdet InteractiveRetention och totalretentionsvärdet inte ändras justerar Azure Log Analytics arkivkvarhållningen för att kompensera ändringen.

Om du föredrar att göra ändringar i användargränssnittet väljer du Uppdatera kvarhållning i användargränssnittet för att öppna det relevanta bladet.

Läs mer om hantering av datalivscykel.

Aktivera migreringstips och instruktioner

För att hjälpa till med distributions- och migreringsprocessen innehåller arbetsboken tips som förklarar hur du använder de olika flikarna och länkar till relevanta resurser. Tipsen baseras på migreringsdokumentationen för Microsoft Sentinel och är relevanta för din aktuella SIEM. Om du vill aktivera tips och instruktioner går du till arbetsboken Distribution och migrering i Microsoft Sentinel längst upp till höger och ställer in Migreringstips och InstruktionerJa.

Skärmbild av arbetsbokens migreringstips och instruktioner.

Nästa steg

I den här artikeln har du lärt dig hur du spårar migreringen med arbetsboken Distribution och migrering i Microsoft Sentinel .