你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 部署指南
本文介绍可帮助你规划、部署和微调 Microsoft Sentinel 部署的活动。
本部分介绍可帮助你在部署 Microsoft Sentinel 之前进行规划和准备的活动和先决条件。
规划和准备阶段通常由 SOC 架构师或相关角色执行。
步骤 |
详细信息 |
1. 规划和准备概述和先决条件 |
查看 Azure 租户先决条件。 |
2. 规划工作区体系结构 |
设计启用 Microsoft Sentinel 的 Log Analytics 工作区。 请考虑以下参数:
- 你将使用单租户还是多租户 - 你对数据收集和存储的任何合规性要求 - 如何控制对 Microsoft Sentinel 数据的访问
查看以下文章:
1.设计工作区体系结构 3. 查看示例工作区设计 4. 准备多个工作区 |
3. 设置数据连接器的优先级 |
确定你需要的数据源和数据大小要求,以便准确地预测部署的预算和时间线。
你可以在业务用例评审过程中确定此信息,也可以通过评估现有的 SIEM 来这样做。 如果 SIEM 已就位,请分析你的数据,以了解哪些数据源可以提供最大的价值,因此应当引入到 Microsoft Sentinel 中。 |
4. 规划角色和权限 |
使用 Azure 基于角色的访问控制 (RBAC) 在安全运营团队中创建和分配角色,以授予对 Microsoft Sentinel 的适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在工作区中分配 Azure 角色,或在工作区所属的订阅或资源组(由 Microsoft Sentinel 继承)中进行分配。 |
5. 计划成本 |
开始规划预算,并考虑每个计划方案的成本影响。
请确保预算涵盖了 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何 playbook 的成本,等等。 |
部署阶段通常由 SOC 分析师或相关角色执行。
查看部署后核对清单,以帮助确保部署过程按预期进行,并且你部署的安全内容按照你的需求和用例工作并保护你的组织。
微调和查看阶段通常由 SOC 工程师或相关角色执行。
步骤 |
操作 |
✅
查看事件和事件流程 |
- 检查你所看到的事件和事件数量是否反映出环境中实际发生的情况。 - 检查 SOC 的事件流程是否有效处理事件:是否已将不同类型的事件分配给 SOC 的不同层/层级?
详细了解如何导航和调查事件,以及如何处理事件任务。 |
✅
查看和微调分析规则 |
- 根据事件评审结果,检查分析规则是否按预期触发,以及这些规则是否反映你感兴趣的事件类型。 通过使用自动化或修改计划的分析规则来- 处理误报。 - Microsoft Sentinel 提供内置微调功能来帮助你分析分析规则。
查看这些内置见解并实施相关建议。 |
✅
查看自动化规则和脚本 |
- 与分析规则类似,检查自动化规则按预期工作,以及是否反映出你关注和感兴趣的事件。 - 检查脚本是否按预期响应警报和事件。 |
✅
将数据添加到监视列表 |
检查监视列表是否为最新。 如果环境中发生了任何更改(例如新用户或用例),则相应地更新监视列表。 |
✅
查看承诺层级 |
查看最初设置的承诺层级,并验证这些层级是否反映当前配置。 |
✅
跟踪引入成本 |
请使用以下其中一个工作簿来跟踪引入成本: - “工作区使用量报告”工作簿提供工作区的数据消耗、成本和使用量统计信息。 此工作簿提供了工作区的数据引入状态以及免费和付费数据的数量。 可以使用该工作簿的逻辑来监视数据引入和成本,并生成自定义视图和基于规则的警报。 - “Microsoft Sentinel 成本”工作簿提供更集中的 Microsoft Sentinel 成本视图,其中包含引入和保留数据、合格数据源的引入数据、Azure 逻辑应用计费信息等。 |
✅
微调数据收集规则 (DCR) |
- 检查 DCR 是否反映数据引入需求和用例。 - 需要时,“实现引入-时间转换”筛选掉不相关的数据,甚至是在这些数据首次存储到工作区之前。 |
✅
根据 MITRE 框架检查分析规则 |
在 Microsoft Sentinel MITRE 页面中检查 MITRE 覆盖范围:查看工作区中已处于活动状态的检测,以及可供你配置的检测,以便根据 MITRE ATT&CK® 框架中的策略和技术了解组织的安全覆盖范围。 |
✅
搜寻可疑活动 |
确保安全运营中心有用于主动搜寻威胁的流程。 搜寻是安全分析师查找未检测到的威胁和恶意行为的过程。 他们通过创建假设、搜索数据并验证该假设,来确定要执行哪些操作。 操作可能包括创建新检测、新威胁情报或启动新事件。 |
在本文中,你已查看每个阶段中有助于部署 Microsoft Sentinel 的活动。
请根据你所处的阶段,选择适当的后续步骤:
完成 Microsoft Sentinel 部署后,请通过查看介绍常见任务的教程继续探索 Microsoft Sentinel 功能:
查看 Microsoft Sentinel 操作指南,了解我们建议每天、每周和每月执行一次的常规 SOC 活动。