你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的最佳做法
本最佳做法集合提供了在部署、管理和使用 Microsoft Sentinel 时的指南,包括指向提供详细信息的其他文章的链接。
重要
部署 Microsoft Sentinel 之前,请查看并完成部署前活动和先决条件。
最佳做法参考
Microsoft Sentinel 文档提供了最佳做法指南,这些指南分散在我们的文章中。 本文提供的内容以外的其他信息请参阅以下文章:
管理员用户:
分析师:
有关详细信息,另请参阅我们的视频:构造 SecOps 以获得成功:部署 Microsoft Sentinel 的最佳做法
要执行的常规 SOC 活动
定期计划以下 Microsoft Sentinel 活动,以确保持续实现最佳安全做法:
每日任务
会审和调查事件。 查看 Microsoft Sentinel“事件”页,检查当前配置的分析规则生成的新事件,并开始调查任何新事件。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件。
浏览搜寻查询和书签。 浏览所有内置查询的结果,并更新现有的搜寻查询和书签。 手动生成新事件或更新旧事件(如果适用)。 有关详细信息,请参阅:
分析规则。 查看并启用新的分析规则(如果适用),包括最近连接的数据连接器中新发布或新提供的规则。
数据连接器。 查看从每个数据连接器接收的最后一个日志的状态、日期和时间,以确保数据在流动。 检查新的连接器,并查看引入以确保没有超过设置的限制。 有关详细信息,请参阅数据集合最佳做法和连接数据源。
Log Analytics 代理。 验证服务器和工作站是否主动连接到工作区,并对任何失败的连接进行排查和修复。 有关详细信息,请参阅 Log Analytics 代理概述。
Playbook 故障。 验证 playbook 运行状态并排查任何故障。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中结合自动化规则使用 playbook。
每周任务
解决方案或独立内容的内容审查。 从内容中心获取已安装解决方案或独立内容的任何内容更新。 查看可能对你的环境有价值的新解决方案或独立内容,例如分析规则、工作簿、搜寻查询或 playbook。
Microsoft Sentinel 审核。 查看 Microsoft Sentinel 活动,了解谁更新或删除了资源(例如分析规则、书签等)。 有关详细信息,请参阅审核 Microsoft Sentinel 查询和活动。
每月任务
查看用户访问权限。 查看用户的权限并检查不活动的用户。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。
Log Analytics 工作区评审。 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。 有关详细信息,请参阅数据保留策略和集成 Azure 数据资源管理器以实现长期日志保留。
与 Microsoft 安全服务集成
Microsoft Sentinel 由将数据发送到工作区的组件提供支持,并且它通过与其他 Microsoft 服务集成而变得更加强大。 引入产品(例如 Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint 和 Microsoft Defender for Identity)的任何日志都允许这些服务创建检测,并反过来向 Microsoft Sentinel 提供这些检测。 日志也可以直接引入 Microsoft Sentinel,从而为事件提供更全面的描述。
例如,下图显示了 Microsoft Sentinel 如何从其他 Microsoft 服务、多云和合作平台中引入数据,以实现对环境的覆盖:
除了引入其他源中的警报和日志,Microsoft Sentinel 还会:
- 通过机器学习使用引入的信息,从而实现更好的事件关联、警报聚合和匿名检测等操作。
- 通过工作簿生成和呈现交互式视觉对象,显示用于管理任务和调查的趋势、相关信息和关键数据。
- 运行 playbook 以处理警报、收集信息、对项执行操作以及向各种平台发送通知。
- 与合作伙伴平台(例如 ServiceNow 和 Jira)集成,以便为 SOC 团队提供基本服务。
- 从威胁情报平台引入和提取扩充源,以引入有价值的数据进行调查。
管理和响应事件
下图展示了事件管理和响应过程中的建议步骤。
以下部分提供有关如何在整个过程中使用 Microsoft Sentinel 功能进行事件管理和响应的一些简要说明。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件。
使用“事件”页和“调查”图
在 Microsoft Sentinel 中 Microsoft Sentinel“事件”页和调查图中,启动对新事件的任何会审流程 。
发现关键实体,例如帐户、URL、IP 地址、主机名、活动、时间线等。 使用此数据了解是否有误报,在有误报的情况下,可以直接关闭事件。
生成的任何事件都显示在“事件”页上,该页充当会审和早期调查的中心位置。 “事件”页列出了标题、严重性和相关警报、日志以及任何有意义的实体。 事件还提供快速跳转到收集的日志和与事件相关的任何工具的功能。
“事件”页与“调查”图共同发挥作用。调查图是一种交互式工具,允许用户深入了解警报以显示攻击的完整范围 。 然后,用户可以构造事件的时间线,并发现威胁链的范围。
如果发现事件为真,请直接从“事件”页采取操作,调查日志、实体并浏览威胁链。 确定威胁并创建操作计划后,请使用 Microsoft Sentinel 中的其他工具和其他 Microsoft 安全服务继续进行调查。
使用工作簿处理事件
除了可视化和显示信息以及趋势外,Microsoft Sentinel 工作簿也是有价值的调查工具。
例如,使用调查见解工作簿来调查特定事件以及任何关联的实体和警报。 使用此工作簿可以显示相关的日志、操作和警报,从而深入了解实体。
使用威胁搜寻处理事件
在调查并搜寻根本原因时,请运行内置的威胁搜寻查询,并检查结果中是否有任何入侵迹象。
在调查期间,或在采取修复和消除威胁的步骤后,请使用 livestream 来实时监视是否存在任何拖延的恶意事件,或者恶意事件是否仍在继续。
使用实体行为处理事件
用户可以在 Microsoft Sentinel 中使用实体行为,查看和调查特定实体的操作和警报(例如调查帐户和主机名)。 有关详细信息,请参阅:
使用监视列表和威胁情报处理事件
若要最大程度地利用基于威胁情报的检测,请确保使用威胁情报数据连接器来引入入侵指标:
- 连接合成图和 TI 地图警报所需的数据源
- 从 TAXII 和 TIP 平台引入指标
在搜寻威胁、调查日志或生成更多事件时,在分析规则中使用入侵指标。
使用将来自引入数据和外部源(例如扩充数据)组合在一起的监视列表。 例如,创建组织或最近离职的员工使用的 IP 地址范围列表。 将监视列表与 playbook 一起用于收集扩充数据,例如,将恶意 IP 地址添加到监视列表以在检测、威胁搜寻和调查期间使用。
在事件发生期间,使用监视列表包含调查数据,然后在调查完成后将其删除,以确保敏感数据不会保留在视图中。
后续步骤
若要开始使用 Microsoft Sentinel,请参阅: