你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文列出了建议的安全操作 (SOC) 团队和安全管理员使用Microsoft Sentinel计划并作为其常规安全活动的一部分运行的操作活动。 有关管理安全操作的详细信息,请参阅 安全操作概述。
每日任务
每天安排以下活动。
| 任务 | description |
|---|---|
| 会审和调查事件 | 查看“Microsoft Sentinel事件”页,检查当前配置的分析规则生成的新事件,并开始调查任何新事件。 有关更多信息,请参阅: |
| 探索搜寻查询和书签 | 浏览所有内置查询的结果,并更新现有搜寻查询和书签。 手动生成新事件或更新旧事件(如果适用)。 有关更多信息,请参阅: |
| 分析规则 | 查看并启用新的分析规则(如果适用),包括最近部署的解决方案中新发布的或新可用的规则。 有关更多信息,请参阅: 监视运行状况并优化分析规则的执行。 有关更多信息,请参阅: |
| 数据连接器 | 查看数据连接器的运行状况状态,确保数据正在流动。 检查是否有新连接器,并查看引入以确保未超出设置的限制。 有关详细信息,请参阅 监视数据连接器的运行状况。 |
| Azure Monitor 代理 | 验证服务器和工作站是否已主动连接到工作区,并对任何失败的连接进行故障排除和修正。 有关详细信息,请参阅 Azure Monitor 代理概述。 |
| Playbook 故障 | 验证 playbook 运行状态并排查任何故障。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中使用 playbook 和自动化规则响应威胁。 |
每周任务
每周安排以下活动。
| 任务 | description |
|---|---|
| 解决方案或独立内容的内容审查 | 从内容中心获取已安装解决方案或独立内容的任何 内容更新。 查看可能对你的环境有价值的新解决方案或独立内容,例如分析规则、工作簿、搜寻查询或 playbook。 |
| Microsoft Sentinel审核 | 查看Microsoft Sentinel活动,查看谁更新或删除了分析规则、书签等资源。 有关详细信息,请参阅审核Microsoft Sentinel查询和活动。 |
每月任务
每月安排以下活动。
| 任务 | description |
|---|---|
| 查看用户访问 | 查看用户的权限,并为非活动用户检查。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。 |
| Log Analytics 工作区评审 | 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。 有关详细信息,请参阅数据保留策略和集成长期日志保留Azure 数据资源管理器。 |