你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用工作簿跟踪 Microsoft Sentinel 迁移

项目
06/01/2023

由于组织的安全运营中心 (SOC) 处理的数据量不断增加，因此规划和监视部署状态至关重要。虽然可以使用通用工具（例如 Microsoft Project、Microsoft Excel、Teams 或 Azure DevOps）跟踪迁移过程，但这些工具并不特定于 SIEM 迁移跟踪。为了帮助你跟踪，我们在名为 Microsoft Sentinel 部署和迁移的 Microsoft Sentinel 中提供了一个专用工作簿。

该工作簿可帮助你：

直观显示迁移进度
部署和跟踪数据源
部署和监视分析规则和事件
部署和使用工作簿
部署和执行自动化
部署和自定义用户和实体行为分析 (UEBA)

本文介绍如何使用“Microsoft Sentinel 部署和迁移”工作簿跟踪迁移，如何自定义和管理工作簿，以及如何使用工作簿选项卡来部署和监视数据连接器、分析、事件、演练手册、自动化规则、UEBA 和数据管理。详细了解如何在 Microsoft Sentinel 中使用 Azure Monitor 工作簿。

部署工作簿内容并查看工作簿

在 Azure 门户中，选择 Microsoft Sentinel，然后选择“工作簿”。
在搜索栏中搜索 migration。
从搜索结果中选择“Microsoft Sentinel 部署和迁移”工作簿，然后选择“保存”。 Microsoft Sentinel 将部署工作簿并将工作簿保存在你的环境中。
若要查看工作簿，请选择“打开保存的工作簿”。

部署监视列表

在 Microsoft Sentinel GitHub 存储库中，选择 DeploymentandMigration 文件夹，然后选择“部署到 Azure”以开始 Azure 中的模板部署。
提供 Microsoft Sentinel 资源组和工作区名称。
选择“查看并创建”。
验证信息后，选择“创建”。

使用部署和迁移操作更新监视列表

此步骤对于跟踪设置过程至关重要。如果跳过此步骤，工作簿将不会反映要跟踪的项。

若要使用部署和迁移操作更新监视列表，请执行以下操作：

在 Azure 门户中，选择 Microsoft Sentinel，然后选择“监视列表”。
找到别名为“部署”的监视列表。
选择监视列表，然后选择右下角的“更新监视列表”>“编辑监视列表项”。
为部署和迁移所需的操作提供信息，然后选择“保存”。

现在可以在迁移跟踪器工作簿中查看监视列表。了解如何管理监视列表。

此外，你的团队可能会在部署过程中更新或完成任务。为了应对这些变化，你可以在确定新用例或设置新要求时更新现有操作或添加新操作。若要更新或添加操作，请编辑之前部署的“部署”监视列表。若要简化此过程，请选择左下角的“编辑部署监视列表”，直接从工作簿打开监视列表。

查看部署状态

若要快速查看部署进度，请在“Microsoft Sentinel 部署和迁移”工作簿中选择“部署”，并向下滚动以找到“进度摘要”。该区域显示部署状态，包括以下信息：

报告数据的表
报告数据的表数
报告的日志数以及报告日志数据的表
启用的规则数与未部署的规则数
部署的推荐工作簿
部署的工作簿总数
部署的演练手册总数

部署和监视数据连接器

若要监视已部署的资源并部署新的连接器，请在“Microsoft Sentinel 部署和迁移”工作簿中选择“数据连接器”>“监视”。 “监视”视图列出了：

当前引入趋势
引入数据的表
每个表报告的数据量
使用 Microsoft Monitoring Agent (MMA) 进行报告的终结点
使用 Azure Monitoring Agent (AMA) 进行报告的终结点
同时使用 MMA 和 AMA 代理进行报告的终结点
资源组中的数据收集规则以及与规则关联的设备
数据连接器运行状况（更改和失败）
指定时间范围内的运行状况日志

若要配置数据连接器，请执行以下操作：

选择“配置”视图。
选择带有要配置的连接器名称的按钮。
在打开的连接器状态屏幕中配置连接器。如果找不到所需的连接器，请选择连接器名称以打开连接器库或解决方案库。

部署和监视分析和事件

在工作区中报告数据后，现在可以配置和监视分析规则。在“Microsoft Sentinel 部署和迁移”工作簿中，选择“分析”以查看所有已部署的规则模板和列表。此视图将指示当前正在使用的规则以及规则生成事件的频率。

如果需要更多覆盖范围，请选择左侧表格下方的“查看 MITRE 覆盖范围”。使用此选项可在迁移项目的任何阶段定义哪些区域获得更多覆盖以及部署哪些规则。

部署所需的分析规则并将 Defender 产品连接器配置为发送警报后，可以在“部署”>“进度摘要”下监视事件的创建和频率。此区域按产品、标题和分类显示有关警报生成的指标，以指示 SOC 的运行状况以及哪些警报最需要关注。如果生成的警报数量过多，请返回“分析”选项卡来修改逻辑。

部署和使用工作簿

若要直观显示有关 Microsoft Sentinel 执行的数据引入和检测的信息，请在“Microsoft Sentinel 部署和迁移”工作簿中选择“工作簿”。与“数据连接器”选项卡类似，你可以使用“监视”和“配置”视图查看监视和配置信息。

下面是可在“工作簿”选项卡中执行的一些有用任务：

若要查看环境中所有工作簿的列表以及部署的工作簿数量，请选择“监视”。
若要查看“Microsoft Sentinel 部署和迁移”工作簿中的特定工作簿，请选择一个工作簿，然后选择“打开所选工作簿”。
如果尚未部署工作簿，请选择“配置”以查看常用和推荐工作簿的列表。如果某个工作簿未列出，请选择“转到工作簿库”或“转到内容中心”以部署相关工作簿。

部署和监视演练手册和自动化规则

配置数据引入、检测和可视化效果后，现在可以了解一下自动化。在“Microsoft Sentinel 部署和迁移”工作簿中，选择“自动化”以查看部署的演练手册，并查看哪些演练手册当前连接到自动化规则。如果存在自动化规则，工作簿会突出显示有关每个规则的以下信息：

名称
状态
规则的一项或多项操作
修改规则的最后日期和修改规则的用户
规则的创建日期

若要在工作簿的当前部分查看、部署和测试自动化，请选择左下角的“部署自动化资源”。

了解用于演练手册和用于自动化规则的 Microsoft Sentinel SOAR 功能。

部署和监视 UEBA

由于数据报告和检测发生在实体级别，因此监视实体行为和趋势至关重要。若要在 Microsoft Sentinel 中启用 UEBA 功能，请在“Microsoft Sentinel 部署和迁移”工作簿中选择“UEBA”。在这里，你可以自定义实体页面的实体时间线，查看哪些实体相关表填充了数据。

工作簿“UEBA”选项卡的屏幕截图。

若要启用 UEBA，请执行以下操作：

选择表列表上方的“启用 UEBA”。
若要启用 UEBA，请选择“打开”。
选择要用于生成见解的数据源。
选择“应用”。

启用 UEBA 后，可以监视并确保 Microsoft Sentinel 正在生成 UEBA 数据。

若要自定义时间线，请执行以下操作：

选择表列表上方的“自定义实体时间线”。
创建自定义项，或选择现用模板之一。
若要部署模板并完成向导，请选择“创建”。

详细了解 UEBA 或了解如何自定义时间线。

配置和管理数据生命周期

部署或迁移到 Microsoft Sentinel 时，必须管理传入日志的使用情况和生命周期。为此，请在“Microsoft Sentinel 部署和迁移”工作簿中选择“数据管理”，以查看和配置表保留和存档。

可以查看以下信息：

为基本日志引入配置的表
为分析层引入配置的表
配置为存档的表
默认工作区保留期内的表

若要修改表的现有保留策略，请执行以下操作：

选择“默认保留表”视图。
选择要修改的表，然后选择“更新保留期”。可以编辑以下信息：
- 工作区中的当前保留期
- 存档中的当前保留期
- 数据将在环境中生存的总天数
编辑 TotalRetention 值，以设置数据应在环境中保留的新的总天数。

ArchiveRetention 值的计算方法是将 InteractiveRetention 值减去 TotalRetention 值。如果需要调整工作区保留期，所做更改不会影响包含已配置存档的表，并且数据不会丢失。如果编辑 InteractiveRetention 值且 TotalRetention 值未更改，Azure Log Analytics 会调整存档保留期以补偿更改。

如果希望在 UI 中进行更改，请选择“在 UI 中更新保留期”以打开相关边栏选项卡。

了解数据生命周期管理。

启用迁移提示和说明

为了协助部署和迁移过程，该工作簿包含说明如何使用不同选项卡的提示以及相关资源的链接。这些提示基于 Microsoft Sentinel 迁移文档，与当前的 SIEM 相关。若要启用提示和说明，请在“Microsoft Sentinel 部署和迁移”工作簿的右上角，将“迁移提示”和“说明”设置为“是”。

后续步骤

通过本文，你已了解如何使用“Microsoft Sentinel 部署和迁移”工作簿来跟踪迁移。