Microsoft Sentinel 的最佳做法
Microsoft Sentinel 的技術檔會提供最佳做法指引。 本文重點說明部署、管理及使用 Microsoft Sentinel 時要使用的一些重要指引。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
設定 Microsoft Sentinel
從 Microsoft Sentinel 的部署指南開始。 部署指南涵蓋規劃、部署及微調 Microsoft Sentinel 部署的高階步驟。 從該指南中,選取提供的連結,以尋找部署中每個階段的詳細指引。
Microsoft 安全性服務整合
Microsoft Sentinel 是由將數據傳送至工作區的元件所賦予的授權,而且透過與其他 Microsoft 服務的整合更強大。 任何擷取到產品中的記錄,例如 適用於雲端的 Microsoft Defender Apps、適用於端點的 Microsoft Defender 和 適用於身分識別的 Microsoft Defender,都允許這些服務建立偵測,並接著將這些偵測提供給 Microsoft Sentinel。 記錄也可以直接內嵌至 Microsoft Sentinel,為事件和事件提供更完整的畫面。
例如,下圖顯示 Microsoft Sentinel 如何從其他 Microsoft 服務 和多重雲端和合作夥伴平臺內嵌數據,為您的環境提供涵蓋範圍:
Microsoft Sentinel 除了從其他來源擷取警示和記錄以外:
- 使用它內嵌與 機器學習 的資訊,以提供更好的事件相互關聯、警示匯總、異常偵測等等。
- 透過 活頁簿建置和呈現互動式視覺效果,顯示用於系統管理工作和調查的趨勢、相關信息和重要數據。
- 執行 劇本 以處理警示、收集資訊、對專案執行動作,以及將通知傳送至各種平臺。
- 與 ServiceNow 和 Jira 等合作夥伴平臺整合,為 SOC 小組提供基本服務。
- 從威脅情報平臺擷取和擷取擴充摘要,以帶來寶貴的數據來調查。
如需從其他服務或提供者整合數據的詳細資訊,請參閱 Microsoft Sentinel 數據連接器。
請考慮將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站,以將功能與事件管理和進階搜捕等 Microsoft Defender 全面偵測回應 整合。 如需詳細資訊,請參閱下列文章:
事件管理和回應
下圖顯示事件管理和回應程式中的建議步驟。
下表提供如何使用 Microsoft Sentinel 功能進行事件管理和回應的高階描述。 如需詳細資訊,請參閱使用 Microsoft Sentinel 調查事件。
| 功能 | 最佳做法 |
|---|---|
| 事故 | 任何產生的事件都會顯示在 [事件 ] 頁面上,其可作為分級和早期調查的中央位置。 [ 事件] 頁面會列出標題、嚴重性和相關警示、記錄,以及任何感興趣的實體。 事件也提供快速跳到收集的記錄和與事件相關的任何工具。 |
| 調查圖表 | [事件] 頁面可與調查圖表搭配運作,這是一種互動式工具,可讓使用者探索並深入探索警示,以顯示攻擊的完整範圍。 然後,使用者可以建構事件的時程表,並探索威脅鏈結的範圍。 探索重要實體,例如帳戶、URL、IP 位址、主機名、活動、時程表等等。 使用此數據來瞭解您 手邊是否有誤判 ,在此情況下您可以直接關閉事件。 如果您發現事件為真真,請直接從 [事件 ] 頁面採取動作來調查記錄、實體和探索威脅鏈結。 在您識別威脅並建立行動計劃之後,請使用 Microsoft Sentinel 和其他 Microsoft 安全性服務中的其他工具繼續調查。 |
| 資訊視覺效果 | 若要可視化並取得環境所發生狀況的分析,請先查看 Microsoft Sentinel 概觀儀錶板,以了解組織的安全性狀態。 如需詳細資訊,請參閱 將收集的數據可視化。 除了 Microsoft Sentinel 概觀頁面上的信息和趨勢之外,活頁簿也是有價值的調查工具。 例如,使用 Investigation Insights 活頁簿 來調查特定事件,以及任何相關聯的實體和警示。 此活頁簿可讓您藉由顯示相關的記錄、動作和警示,深入了解實體。 |
| 威脅搜尋 | 在調查和搜尋根本原因時,執行內建的威脅搜捕查詢,並檢查是否有任何入侵指標的結果。 如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅搜捕。 在調查期間,或在採取步驟來補救和消除威脅之後,請使用 即時串流。 即時串流可讓您即時監視是否有任何揮之不去的惡意事件,或惡意事件仍在繼續。 |
| 實體行為 | Microsoft Sentinel 中的實體行為可讓使用者檢閱和調查特定實體的動作和警示,例如調查帳戶和主機名。 如需詳細資訊,請參閱 - 在 Microsoft Sentinel 中啟用使用者和實體行為分析 (UEBA) - 使用 UEBA 數據調查事件 - Microsoft Sentinel UEBA 擴充參考 |
| 關注清單 | 使用結合內嵌數據和外部來源之數據的監看清單,例如擴充數據。 例如,建立貴組織或最近終止員工所使用的IP位址範圍清單。 使用監視清單搭配劇本來收集擴充數據,例如將惡意IP位址新增至監視清單,以在偵測、威脅搜捕和調查期間使用。 在事件期間,使用監看清單來包含調查數據,然後在調查完成時加以刪除,以確保敏感數據不會維持在檢視中。 如需詳細資訊,請參閱 Microsoft Sentinel 中的監看清單。 |
要執行的一般SOC活動
定期排程下列 Microsoft Sentinel 活動,以確保持續的安全性最佳做法:
每日工作
分級並調查事件。 檢閱 Microsoft Sentinel 事件 頁面,以檢查目前設定的分析規則所產生的新事件,並開始調查任何新的事件。 如需詳細資訊,請參閱使用 Microsoft Sentinel 調查事件。
探索搜捕查詢和書籤。 探索所有內建查詢的結果,並更新現有的搜捕查詢和書籤。 如果適用,請手動產生新事件或更新舊事件。 如需詳細資訊,請參閱
分析規則。 檢閱並啟用適用的新分析規則,包括最近連線數據連接器中新發行或新可用的規則。
資料連接器。 檢閱從每個數據連接器接收的最後一個記錄的狀態、日期和時間,以確保數據正在流動。 檢查是否有新的連接器,並檢閱擷取以確保未超過設定限制。 如需詳細資訊,請參閱數據收集最佳做法和 連線 數據源。
Log Analytics 代理程式。 確認伺服器和工作站已主動連線到工作區,並針對任何失敗的連線進行疑難解答並補救。 如需詳細資訊,請參閱 Log Analytics代理程式概觀。
劇本失敗。 確認劇本執行狀態,並針對任何失敗進行疑難解答。 如需詳細資訊,請參閱 教學課程:在 Microsoft Sentinel 中使用劇本搭配自動化規則來回應威脅。
每周工作
解決方案或獨立內容的內容檢閱。 從內容中樞取得已安裝解決方案或獨立內容的任何內容更新。 檢閱可能對您的環境具有價值的新解決方案或獨立內容,例如分析規則、活頁簿、搜捕查詢或劇本。
Microsoft Sentinel 稽核。 檢閱 Microsoft Sentinel 活動,以查看誰更新或刪除了資源,例如分析規則、書籤等等。 如需詳細資訊,請參閱 稽核 Microsoft Sentinel 查詢和活動。
每月工作
檢閱使用者存取權。 檢閱用戶的許可權,並檢查非使用中使用者。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。
Log Analytics 工作區檢閱。 檢閱Log Analytics工作區數據保留原則仍然符合貴組織的原則。 如需詳細資訊,請參閱 數據保留原則 和 整合 Azure 數據總管以進行長期記錄保留。
相關內容
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: