Microsoft Sentinel 的部署指南
本文介紹可協助您規劃、部署及微調 Microsoft Sentinel 部署的活動。
規劃和準備概觀
本節介紹可協助您在部署 Microsoft Sentinel 之前規劃和準備的活動和必要條件。
規劃和準備階段通常是由 SOC 架構師或相關角色執行。
| Step | 詳細資料 |
|---|---|
| 1.規劃和準備概觀與必要條件 | 檢閱 Azure 租用戶必要條件。 |
| 2.規劃工作區架構 | 設計針對 Microsoft Sentinel 啟用的 Log Analytics 工作區。 請考慮參數,例如: - 無論您是使用單一租用戶還是多個租用戶 - 您對於資料收集和儲存體的任何合規性需求 - 如何控制 Microsoft Sentinel 資料的存取 請參閱以下文章: 1.設計工作區架構 3.檢閱範例工作區設計 4.準備多個工作區 |
| 3.設定資料連接器的優先順序 | 判斷您需要的資料來源和資料大小需求,協助您精確地推算部署的預算和時程表。 您可以在商務使用案例檢閱期間判斷這項資訊,或透過評估您已備妥的目前的 SIEM 來判斷。 如果您已經有 SIEM,請分析您的資料,以了解哪些資料來源能提供最多值,而應擷取至 Microsoft Sentinel。 |
| 4.規劃角色及權限 | 使用 Azure 角色型存取控制 (RBAC) 在安全性作業小組內建立和指派角色,以授與 Microsoft Sentinel 的適當存取權。 不同角色可讓您精細控制 Microsoft Sentinel 使用者所能查看和執行的項目。 工作區或 Microsoft Sentinel 繼承工作區所屬的訂閱或資源群組,可以直接指派 Azure 角色。 |
| 5.規劃成本 | 開始規劃預算,考慮每個規劃案例的成本影響。 請確定您的預算涵蓋 Microsoft Sentinel 和 Azure Log Analytics 的資料擷取成本、即將部署的任何劇本等等。 |
部署概觀
部署階段通常是由 SOC 分析員或相關角色執行。
| Step | 詳細資料 |
|---|---|
| 1.啟用 Microsoft Sentinel、健康情況和稽核,以及內容 | 啟用 Microsoft Sentinel、啟用健康情況和稽核功能,以及根據貴組織需求所找出的解決方案和內容。 若要使用 API 上線至 Microsoft Sentinel,請參閱最新支援的 Sentinel 上線狀態版本。 |
| 2.設定內容 | 設定不同類型的 Microsoft Sentinel 安全性內容,可讓您偵測、監視及回應系統中的安全性威脅:資料連接器、分析規則、自動化規則、劇本、活頁簿和關注清單。 |
| 3.設定跨工作區架構 | 如果您的環境需要多個工作區,您現在可以將其設定為部署的一部分。 在本文中,您了解如何設定 Microsoft Sentinel 以延伸至多個工作區和租用戶。 |
| 4.啟用使用者與實體行為分析 (UEBA) | 啟用及使用 UEBA 功能來簡化分析程序。 |
| 5.設定互動式和長期資料保留 | 設定互動式和長期資料保留,以確定組織能保留長期重要的資料。 |
微調和檢閱:部署後檢查清單
檢閱部署後檢查清單,以協助您確定部署程序如預期般運作,且您部署的安全性內容會根據需求和使用案例運作並保護您的組織。
微調和檢閱階段通常是由 SOC 工程師或相關角色執行。
| Step | 動作 |
|---|---|
| ✅檢閱事件和事件程序 | - 檢查您看到的事件和事件數目是否反映環境中實際發生的情況。 - 檢查 SOC 的事件程序是否能夠有效率地處理事件:您是否已將不同類型的事件指派給 SOC 的不同層級/階層? 深入了解如何瀏覽和調查事件,以及如何處理事件工作。 |
| ✅檢閱和微調分析規則 | - 根據您的事件檢閱,檢查您的分析規則是否如預期般觸發,以及規則是否反映您感興趣的事件類型。 - 處理誤判為真,使用自動化或修改排程的分析規則。 - Microsoft Sentinel 提供內建微調功能,協助您分析分析規則。 檢閱這些內建深入解析並實作相關建議。 |
| ✅檢閱自動化規則和劇本 | - 類似於分析規則,請檢查您的自動化規則是否如預期般運作,並反映您關心且感興趣的事件。 - 檢查您的劇本是否如預期般回應警示和事件。 |
| ✅將資料新增至關注清單 | 檢查您的關注清單是否為最新狀態。 如果您的環境中發生任何變更,例如新的使用者或使用案例,據此更新您的關注清單。 |
| ✅檢閱定額層 | 檢閱定額層,這是您一開始設定的定額層,並確認這些層級反映您目前的設定。 |
| ✅追蹤擷取成本 | 若要追蹤擷取成本,請使用下列其中一個活頁簿: - 工作區使用量報告活頁簿提供工作區的資料使用量、成本和使用量統計資料。 活頁簿提供工作區的資料擷取狀態,以及免費或計費的資料量。 您可以使用活頁簿邏輯來監視資料擷取和成本,並建置自訂檢視和規則型警示。 - Microsoft Sentinel 成本活頁簿提供更聚焦的 Microsoft Sentinel 成本檢視,包括擷取和保留資料、適用於合格資料來源的擷取資料、Logic Apps 計費資訊等等。 |
| ✅微調資料收集規則 (DCR) | - 檢查您的 DCR 是否反映資料擷取需求和使用案例。 - 如果需要,實作擷取時間轉換以篩選無關的資料,即使資料第一次儲存在工作區中。 |
| ✅根據 MITRE 架構檢查分析規則 | 檢查 Microsoft Sentinel MITRE 頁面中的 MITRE 涵蓋範圍:根據 MITRE ATT&CK® 架構的策略和技術,檢視已在工作區中作用中的偵測,以及可供您設定的偵測,以了解貴組織的安全性涵蓋範圍。 |
| ✅搜捕可疑的活動 | 請確定您的 SOC 有主動式威脅搜捕的程序。 搜捕是安全性分析員尋找未偵測到的威脅和惡意行為的程序。 藉由建立假設、搜尋資料,以及驗證該假設,他們會決定要採取什麼動作。 動作包括建立新的偵測、新的威脅情報,或啟動新的事件。 |
相關文章
在本文中,您已檢閱可協助您部署 Microsoft Sentinel 的每個階段中的活動。
根據您所在的階段,選擇適當的後續步驟:
- 規劃和準備 - 部署 Azure Sentinel 的必要條件
- 部署 - 啟用 Microsoft Sentinel 和初始功能及內容
- 微調和檢閱 - 瀏覽並調查 Microsoft Sentinel 中的事件
當您完成 Microsoft Sentinel 的部署時,請檢閱涵蓋一般工作的教學課程,繼續探索 Microsoft Sentinel 功能:
- 使用 Azure 監視器代理程式將 syslog 資料轉送到具有 Microsoft Sentinel 的 Log Analytics 工作區
- 設定資料保留原則
- 使用分析規則偵測威脅
- 在事件中自動檢查和記錄 IP 位址信譽資訊
- 使用自動化回應威脅
- 使用非原生動作擷取事件實體
- 使用 UEBA 調查
- 建置和監視零信任
請檢閱 Microsoft Sentinel 操作指南,以取得我們建議您每天、每週和每月執行的一般 SOC 活動。