設定 Microsoft Sentinel 內容
在上一個部署步驟中,您已啟用 Microsoft Sentinel、健康情況監視和必要的解決方案。 在本文中,您將瞭解如何設定不同類型的Microsoft Sentinel 安全性內容,讓您偵測、監視及回應系統中的安全性威脅。 本文是 Microsoft Sentinel 部署指南的一部分。
設定安全性內容
Step | 描述 |
---|---|
設定資料連接器 | 根據您在 規劃部署時選取的資料來源,以及 啟用相關解決方案 之後選取的資料來源,您現在可以安裝或設定資料連接器。 - 如果您使用現有的連接器,請從這份完整資料連接器清單中 尋找您的連接器。 - 如果您要建立自訂連接器,請使用 這些資源。 - 如果您要設定連接器以內嵌 CEF 或 Syslog 記錄,請檢閱這些 選項。 |
設定分析規則 | 設定 Microsoft Sentinel 以收集貴組織的所有資料後,您可以開始使用 分析規則 來偵測威脅。 選取設定及設定分析規則所需的步驟: - 從範本 建立排程規則或 從頭開始:建立分析規則,以協助探索環境中的威脅和異常行為。 - 將資料欄位對應至實體:在分析規則中新增或變更實體對應。 - 警示中的 Surface 自訂詳細資料:在分析規則中新增或變更自訂詳細資料。 - 自訂警示詳細資料:使用基礎查詢結果中的內容覆寫警示的預設屬性。 - 導出和匯入分析規則:將分析規則匯出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案,然後您可以重新命名、移動,以及像任何其他檔案一樣處理。 - 建立近乎即時 (NRT) 偵測分析規則:建立近乎即時的分析規則,以即時偵測現用的威脅。 這種類型的規則旨在以一分鐘的間隔執行其查詢,以便能快速回應。 - 使用異常偵測分析規則:使用會用到成千資料來源和數百萬事件的內建異常範本,或變更使用者介面內異常狀況的臨界值和參數。 - 管理排程分析規則的範本版本:追蹤分析規則範本的版本,並將作用中規則還原為現有的範本版本,或將它們更新為新的範本版本。 - 處理排程分析規則中的擷取延遲:瞭解擷取延遲如何影響您的排程分析規則,以及如何修正它們以彌補這些差距。 |
設定自動化規則 | 建立自動化規則。 定義觸發程式和條件,以判斷您的 自動化規則 執行時間、您可以讓規則執行的各種動作,以及其餘的特性和功能。 |
設定劇本 | 劇本 是您從 Microsoft Sentinel 執行的補救動作集合,可協助自動化及協調您的威脅回應。 若要設定劇本: - 檢閱 建議的劇本 - 從範本建立劇本:劇本範本是預先建置、測試及現成使用的工作流程,並可加以自訂以符合您的需求。 範本也可以作為從頭開始開發劇本時的最佳做法參考,或作為新自動化案例的靈感。 - 檢閱這些 步驟以建立劇本 |
設定活頁簿 | 活頁簿 提供彈性的畫布,可在 Microsoft Sentinel 內建立豐富的視覺報表。 活頁簿範本可讓您在連接資料來源時快速取得資料深入解析。 若要設定活頁簿: - 檢閱 常用 Microsoft Sentinel 活頁簿 - 使用封裝解決方案可用的現有活頁簿範本 - 跨資料建立自訂活頁簿 |
設定關注清單 | 關注清單 可讓您將資料來源中的資料與您Microsoft Sentinel 環境中的事件相互關聯。 若要設定關注清單: - 建立關注清單 - 建置具有關注清單查詢或偵測規則:將關注清單視為聯結和查閱的資料表,針對關注清單中的資料在任何資料表中查詢資料。 當您建立關注清單時,您會定義 SearchKey。 搜尋索引鍵是您預期作為與其他資料聯結或常用搜尋物件的關注清單中資料行的名稱。 |
下一步
在本文中,您已瞭解如何設定不同類型的 Microsoft Sentinel 安全性內容。