Microsoft Sentinel için dağıtım kılavuzu
Bu makalede, Microsoft Sentinel dağıtımınızı planlamanıza, dağıtmanıza ve hassas ayarlamalara yardımcı olan etkinlikler tanıtılır.
Planlama ve hazırlamaya genel bakış
Bu bölümde, Microsoft Sentinel'i dağıtmadan önce planlamanıza ve hazırlanmanıza yardımcı olan etkinlikler ve önkoşullar tanıtılır.
Plan ve hazırlama aşaması genellikle bir SOC mimarı veya ilgili roller tarafından gerçekleştirilir.
Adım | Ayrıntılar |
---|---|
1. Genel bakış ve önkoşulları planlama ve hazırlama | Azure kiracısı önkoşullarını gözden geçirin. |
2. Çalışma alanı mimarisini planlama | Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanınızı tasarlar. Aşağıdakiler gibi parametreleri göz önünde bulundurun: - Tek bir kiracı mı yoksa birden çok kiracı mı kullanacağınız - Veri toplama ve depolama için sahip olduğunuz tüm uyumluluk gereksinimleri - Microsoft Sentinel verilerine erişimi denetleme Şu makaleleri gözden geçirin: 1. Çalışma alanı mimarisi tasarlama 3. Örnek çalışma alanı tasarımlarını gözden geçirin 4. Birden çok çalışma alanına hazırlanma |
3. Veri bağlayıcılarının önceliğini belirleme | Dağıtımınızın bütçesini ve zaman çizelgesini doğru şekilde yansıtmanıza yardımcı olmak için ihtiyacınız olan veri kaynaklarını ve veri boyutu gereksinimlerini belirleyin. Bu bilgileri iş kullanım örneği incelemeniz sırasında veya mevcut bir SIEM'i değerlendirerek belirleyebilirsiniz. Zaten bir SIEM'niz varsa verilerinizi analiz ederek en fazla değeri hangi veri kaynaklarının sağladığını ve Microsoft Sentinel'e alınması gerektiğini anlayın. |
4. Rolleri ve izinleri planlama | Microsoft Sentinel'e uygun erişim vermek üzere güvenlik operasyonları ekibinizde rol oluşturmak ve atamak için Azure rol tabanlı erişim denetimini (RBAC) kullanın. Farklı roller, Microsoft Sentinel kullanıcılarının görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlar. Azure rolleri doğrudan çalışma alanında veya çalışma alanının ait olduğu ve Microsoft Sentinel'in devraldığı bir abonelikte veya kaynak grubunda atanabilir. |
5. Plan maliyetleri | Planlı her senaryo için maliyet etkilerini göz önünde bulundurarak bütçenizi planlamaya başlayın. Bütçenizin hem Microsoft Sentinel hem de Azure Log Analytics için veri alımı maliyetini, dağıtılacak playbook'ları vb. kapsadığından emin olun. |
Dağıtıma genel bakış
Dağıtım aşaması genellikle bir SOC analisti veya ilgili roller tarafından gerçekleştirilir.
Adım | Ayrıntılar |
---|---|
1. Microsoft Sentinel'i, sistem durumunu ve denetimini ve içeriği etkinleştirin | Microsoft Sentinel'i etkinleştirin, sistem durumu ve denetim özelliğini etkinleştirin ve kuruluşunuzun ihtiyaçlarına göre tanımladığınız çözümleri ve içeriği etkinleştirin. API'yi kullanarak Microsoft Sentinel'e eklemek için Sentinel Ekleme Durumlarının desteklenen en son sürümüne bakın. |
2. İçeriği yapılandırma | Sistemlerinizdeki güvenlik tehditlerini algılamanıza, izlemenize ve yanıtlamanıza olanak tanıyan farklı Microsoft Sentinel güvenlik içeriği türlerini yapılandırın: Veri bağlayıcıları, analiz kuralları, otomasyon kuralları, playbook'lar, çalışma kitapları ve izleme listeleri. |
3. Çalışma alanları arası mimari ayarlama | Ortamınız birden çok çalışma alanı gerektiriyorsa, artık bunları dağıtımınızın bir parçası olarak ayarlayabilirsiniz. Bu makalede, Microsoft Sentinel'i birden çok çalışma alanı ve kiracıya genişletecek şekilde ayarlamayı öğreneceksiniz. |
4. Kullanıcı ve Varlık Davranış Analizini (UEBA) Etkinleştirme | Analiz sürecini kolaylaştırmak için UEBA özelliğini etkinleştirin ve kullanın. |
5. Etkileşimli ve uzun süreli veri saklamayı ayarlama | Kuruluşunuzun uzun vadede önemli olan verileri koruduğundan emin olmak için etkileşimli ve uzun süreli veri saklamayı ayarlayın. |
İnce ayar ve gözden geçirme: Dağıtım sonrası için denetim listesi
Dağıtım işleminizin beklendiği gibi çalıştığından ve dağıttığınız güvenlik içeriğinin çalıştığından ve kuruluşunuzu gereksinimlerinize ve kullanım örneklerinize göre koruduğundan emin olmanıza yardımcı olması için dağıtım sonrası denetim listesini gözden geçirin.
İnce ayar ve gözden geçirme aşaması genellikle bir SOC mühendisi veya ilgili roller tarafından gerçekleştirilir.
Adım | Eylemler |
---|---|
✅Olayları ve olay sürecini gözden geçirme | - Olayların ve gördüğünüz olay sayısının ortamınızda gerçekleşenleri yansıtıp yansıtmadığını denetleyin. - SOC'nizin olay işleminin olayları verimli bir şekilde işlemek için çalışıp çalışmadığını denetleyin: SOC'nin farklı katmanlarına/katmanlarına farklı olay türleri atadıysanız mı? Olaylarda gezinme ve olayları araştırma ve olay görevleriyle çalışma hakkında daha fazla bilgi edinin. |
✅Analiz kurallarını gözden geçirme ve ince ayar yapma | - Olay incelemenize bağlı olarak analiz kurallarınızın beklendiği gibi tetiklenip tetiklenmediğini ve kuralların ilgilendiğiniz olay türlerini yansıtıp yansıtmadığını denetleyin. - Otomasyon kullanarak veya zamanlanmış analiz kurallarını değiştirerek hatalı pozitif sonuçları işleyebilirsiniz. - Microsoft Sentinel, analiz kurallarınızı analiz etmeye yardımcı olmak için yerleşik ince ayar özellikleri sağlar. Bu yerleşik içgörüleri gözden geçirin ve ilgili önerileri uygulayın. |
✅Otomasyon kurallarını ve playbook'ları gözden geçirme | - Analiz kurallarına benzer şekilde, otomasyon kurallarınızın beklendiği gibi çalışıp çalışmadığını denetleyin ve ilgilendiğiniz ve ilgilendiğiniz olayları yansıtın. - Playbook'larınızın uyarılara ve olaylara beklendiği gibi yanıt verip vermediğini denetleyin. |
✅İzleme listelerine veri ekleme | İzleme listelerinizin güncel olup olmadığını denetleyin. Ortamınızda yeni kullanıcılar veya kullanım örnekleri gibi değişiklikler oluştuysa, izleme listelerinizi uygun şekilde güncelleştirin. |
✅Taahhüt katmanlarını gözden geçirme | Başlangıçta ayarladığınız taahhüt katmanlarını gözden geçirin ve bu katmanların geçerli yapılandırmanızı yansıttığını doğrulayın. |
✅Veri alımı maliyetlerini takip etme | Veri alımı maliyetlerini izlemek için şu çalışma kitaplarından birini kullanın: - Çalışma Alanı Kullanım Raporu çalışma kitabı, çalışma alanınızın veri tüketimi, maliyeti ve kullanım istatistiklerini sağlar. Çalışma kitabı, çalışma alanının veri alımı durumunu ve ücretsiz ve faturalanabilir veri miktarını verir. Veri alımını ve maliyetlerini izlemek ve özel görünümler ve kural tabanlı uyarılar oluşturmak için çalışma kitabı mantığını kullanabilirsiniz. - Microsoft Sentinel Maliyet çalışma kitabı, veri alımı ve bekletme verileri, uygun veri kaynakları için veri alımı, Logic Apps faturalama bilgileri ve daha fazlası dahil olmak üzere Microsoft Sentinel maliyetlerine daha odaklanmış bir görünüm sunar. |
✅Veri Toplama Kuralları'nın (DCR) ince ayarını yapma | - DCR'lerinizin veri alımı gereksinimlerinizi ve kullanım durumlarınızı yansıtıp yansıtmadığını denetleyin. - Gerekirse, ilgisiz verileri çalışma alanınızda ilk kez depolanmadan önce bile filtrelemek için alma zamanı dönüştürmesi uygulayın. |
✅MITRE çerçevesine karşı analiz kurallarını denetleme | Microsoft Sentinel MITRE sayfasında MITRE kapsamınızı denetleyin: MITRE ATT&CK® çerçevesinin taktiklerine ve tekniklerine bağlı olarak kuruluşunuzun güvenlik kapsamını anlamak için çalışma alanınızda zaten etkin olan algılamaları ve yapılandırmanız için uygun olan algılamaları görüntüleyin. |
✅Şüpheli etkinliği avla | SOC'nizin proaktif tehdit avcılığı için bir süreci olduğundan emin olun. Tehdit avcılığı, güvenlik analistlerinin algılanmayan tehditleri ve kötü amaçlı davranışları aradığı bir süreçtir. Bir hipotez oluşturarak, verilerde arama yaparak ve bu hipotezi doğrulayarak, ne üzerinde işlem yapmak zorunda olduklarını belirlerler. Eylemler arasında yeni algılamalar, yeni tehdit bilgileri oluşturma veya yeni bir olay oluşturma sayılabilir. |
İlgili makaleler
Bu makalede, Microsoft Sentinel'i dağıtmanıza yardımcı olan aşamaların her birinde yer alan etkinlikleri gözden geçirdiniz.
Bulunduğunuz aşamaya bağlı olarak, uygun sonraki adımları seçin:
- Planlama ve hazırlama - Azure Sentinel'i dağıtmak için önkoşullar
- Dağıtma - Microsoft Sentinel'i ve ilk özellikleri ve içeriği etkinleştirme
- İnce ayar ve inceleme - Microsoft Sentinel'de olaylara gitme ve olayları araştırma
Microsoft Sentinel dağıtımınızı tamamladığınızda, yaygın görevleri kapsayan öğreticileri gözden geçirerek Microsoft Sentinel özelliklerini keşfetmeye devam edin:
- Azure İzleyici Aracısı kullanarak Syslog verilerini Microsoft Sentinel ile Log Analytics çalışma alanına iletme
- Veri saklama ilkesini yapılandırma
- Analiz kurallarını kullanarak tehditleri algılama
- Olaylardaki IP adresi saygınlık bilgilerini otomatik olarak denetleme ve kaydetme
- Otomasyon kullanarak tehditlere yanıt verme
- Yerel olmayan eylemle olay varlıklarını ayıklama
- UEBA ile araştırma
- Sıfır Güven oluşturma ve izleme
Günlük, haftalık ve aylık olarak gerçekleştirmenizi önerdiğimiz düzenli SOC etkinlikleri için Microsoft Sentinel operasyonel kılavuzunu gözden geçirin.