Driftsguide för Microsoft Sentinel
I den här artikeln visas de operativa aktiviteter som vi rekommenderar att säkerhetsåtgärdsteam (SOC) och säkerhetsadministratörer planerar för och kör som en del av sina regelbundna säkerhetsaktiviteter med Microsoft Sentinel. Mer information om hur du hanterar dina säkerhetsåtgärder finns i Översikt över säkerhetsåtgärder.
Schemalägg följande aktiviteter dagligen.
Uppgift | description |
---|---|
Sortera och undersöka incidenter | Gå till sidan Microsoft Sentinel-incidenter för att söka efter nya incidenter som genererats av de för närvarande konfigurerade analysreglerna och börja undersöka eventuella nya incidenter. Mer information finns i Undersöka incidenter med Microsoft Sentinel. |
Utforska jaktfrågor och bokmärken | Utforska resultaten för alla inbyggda frågor och uppdatera befintliga jaktfrågor och bokmärken. Generera nya incidenter manuellt eller uppdatera gamla incidenter om det är tillämpligt. Mer information finns i: - Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar- Jaga efter hot med Microsoft Sentinel - Håll reda på data under jakt med Microsoft Sentinel |
Analysregler | Granska och aktivera nya analysregler efter behov, inklusive både nyligen släppta eller nyligen tillgängliga regler från nyligen anslutna dataanslutningar. |
Dataanslutningsprogram | Granska status, datum och tid för den senaste loggen som togs emot från varje dataanslutning för att säkerställa att data flödar. Sök efter nya anslutningsappar och granska inmatningen för att säkerställa att de angivna gränserna inte överskrids. Mer information finns i Metodtips för datainsamling och Anslut datakällor. |
Azure Monitor-agent | Kontrollera att servrar och arbetsstationer är aktivt anslutna till arbetsytan och felsöka och åtgärda eventuella misslyckade anslutningar. Mer information finns i Översikt över Azure Monitor Agent. |
Spelboksfel | Verifiera spelbokskörningsstatusar och felsök eventuella fel. Mer information finns i Självstudie: Svara på hot med hjälp av spelböcker med automatiseringsregler i Microsoft Sentinel. |
Schemalägg följande aktiviteter varje vecka.
Uppgift | description |
---|---|
Innehållsgranskning av lösningar eller fristående innehåll | Hämta eventuella innehållsuppdateringar för dina installerade lösningar eller fristående innehåll från innehållshubben. Granska nya lösningar eller fristående innehåll som kan vara av värde för din miljö, till exempel analysregler, arbetsböcker, jaktfrågor eller spelböcker. |
Microsoft Sentinel-granskning | Granska Microsoft Sentinel-aktiviteten för att se vem som uppdaterade eller tog bort resurser, till exempel analysregler, bokmärken och så vidare. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter. |
Schemalägg följande aktiviteter varje månad.
Uppgift | description |
---|---|
Granska användaråtkomst | Granska behörigheter för dina användare och sök efter inaktiva användare. Mer information finns i Behörigheter i Microsoft Sentinel. |
Granskning av Log Analytics-arbetsyta | Granska att Log Analytics-principen för datakvarhållning för arbetsytor fortfarande överensstämmer med organisationens princip. Mer information finns i Datakvarhållningsprincip och Integrera Azure Data Explorer för långsiktig loggkvarhållning. |