你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 的最佳做法

注意

Azure Sentinel 现在称为 Microsoft Sentinel,我们将在几周内更新相关页面。 详细了解最近的 Microsoft 安全性增强

本最佳做法集合提供了在部署、管理和使用 Microsoft Sentinel 时的指南,包括指向提供详细信息的其他文章的链接。

重要

部署 Microsoft Sentinel 之前,请查看并完成部署前活动和先决条件

最佳做法参考

Microsoft Sentinel 文档提供了最佳做法指南,这些指南分散在我们的文章中。 本文提供的内容以外的其他信息请参阅以下文章:

有关详细信息,另请参阅我们的视频:构造 SecOps 以获得成功:部署 Microsoft Sentinel 的最佳做法

要执行的常规 SOC 活动

定期计划以下 Microsoft Sentinel 活动,以确保持续实现最佳安全做法:

每日任务

每周任务

  • 工作簿更新。 验证任何工作簿是否具有需要安装的更新。 有关详细信息,请参阅常用的 Microsoft Sentinel 工作簿

  • Microsoft Sentinel GitHub 存储库评审。 查看 Microsoft Sentinel GitHub 存储库,了解环境中是否有新的或更新后有价值的资源,例如分析规则、工作簿、搜寻查询或 playbook。

  • Microsoft Sentinel 审核。 查看 Microsoft Sentinel 活动,了解谁更新或删除了资源(例如分析规则、书签等)。 有关详细信息,请参阅审核 Microsoft Sentinel 查询和活动

每月任务

与 Microsoft 安全服务集成

Microsoft Sentinel 由将数据发送到工作区的组件提供支持,并且它通过与其他 Microsoft 服务集成而变得更加强大。 引入产品(例如 Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint 和 Microsoft Defender for Identity)的任何日志都允许这些服务创建检测,并反过来向 Microsoft Sentinel 提供这些检测。 日志也可以直接引入 Microsoft Sentinel,从而为事件提供更全面的描述。

例如,下图显示了 Microsoft Sentinel 如何从其他 Microsoft 服务、多云和合作平台中引入数据,以实现对环境的覆盖:

Microsoft Sentinel 与其他 Microsoft 和合作伙伴服务集成

除了引入其他源中的警报和日志,Microsoft Sentinel 还会:

  • 通过机器学习使用引入的信息,从而实现更好的事件关联、警报聚合和匿名检测等操作。
  • 通过工作簿生成和呈现交互式视觉对象,显示用于管理任务和调查的趋势、相关信息和关键数据。
  • 运行 playbook 以处理警报、收集信息、对项执行操作以及向各种平台发送通知。
  • 与合作伙伴平台(例如 ServiceNow 和 Jira)集成,以便为 SOC 团队提供基本服务。
  • 威胁情报平台引入和提取扩充源,以引入有价值的数据进行调查。

管理和响应事件

下图展示了事件管理和响应过程中的建议步骤。

事件管理过程:会审。准备。修复。根除。事件后活动。

以下部分提供有关如何在整个过程中使用 Microsoft Sentinel 功能进行事件管理和响应的一些简要说明。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件

使用“事件”页和“调查”图

在 Microsoft Sentinel 中 Microsoft Sentinel“事件”页和调查图中,启动对新事件的任何会审流程 。

发现关键实体,例如帐户、URL、IP 地址、主机名、活动、时间线等。 使用此数据了解是否有误报,在有误报的情况下,可以直接关闭事件。

生成的任何事件都显示在“事件”页上,该页充当会审和早期调查的中心位置。 “事件”页列出了标题、严重性和相关警报、日志以及任何有意义的实体。 事件还提供快速跳转到收集的日志和与事件相关的任何工具的功能。

“事件”页与“调查”图共同发挥作用。调查图是一种交互式工具,允许用户深入了解警报以显示攻击的完整范围 。 然后,用户可以构造事件的时间线,并发现威胁链的范围。

如果发现事件为真,请直接从“事件”页采取操作,调查日志、实体并浏览威胁链。 确定威胁并创建操作计划后,请使用 Microsoft Sentinel 中的其他工具和其他 Microsoft 安全服务继续进行调查。

使用工作簿处理事件

除了可视化和显示信息以及趋势外,Microsoft Sentinel 工作簿也是有价值的调查工具。

例如,使用调查见解工作簿来调查特定事件以及任何关联的实体和警报。 使用此工作簿可以显示相关的日志、操作和警报,从而深入了解实体。

使用威胁搜寻处理事件

在调查并搜寻根本原因时,请运行内置的威胁搜寻查询,并检查结果中是否有任何入侵迹象。

在调查期间,或在采取修复和消除威胁的步骤后,请使用 livestream 来实时监视是否存在任何拖延的恶意事件,或者恶意事件是否仍在继续。

使用实体行为处理事件

用户可以在 Microsoft Sentinel 中使用实体行为,查看和调查特定实体的操作和警报(例如调查帐户和主机名)。 有关详细信息,请参阅:

使用监视列表和威胁情报处理事件

若要最大程度地利用基于威胁情报的检测,请确保使用威胁情报数据连接器来引入入侵指标:

在搜寻威胁、调查日志或生成更多事件时,在分析规则中使用入侵指标。

使用将来自引入数据和外部源(例如扩充数据)组合在一起的监视列表。 例如,创建组织或最近离职的员工使用的 IP 地址范围列表。 将监视列表与 playbook 一起用于收集扩充数据,例如,将恶意 IP 地址添加到监视列表以在检测、威胁搜寻和调查期间使用。

在事件发生期间,使用监视列表包含调查数据,然后在调查完成后将其删除,以确保敏感数据不会保留在视图中。

后续步骤

若要开始使用 Microsoft Sentinel,请参阅: