Microsoft Sentinel 的技術文件中提供了最佳實務指導。 本文重點介紹部署、管理及使用 Microsoft Sentinel 時應遵循的一些重要指引。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
想開始使用 Microsoft Sentinel,請參閱部署指南,該指南涵蓋規劃、部署及微調 Microsoft Sentinel 部署的高階步驟。 從該指南中,選擇提供的連結,即可找到部署各階段的詳細指引。
採用單一平台架構
Microsoft Sentinel 整合了現代化的資料湖,提供經濟實惠且長期的儲存,幫助團隊簡化資料管理、優化成本並加速 AI 的採用。 Microsoft Sentinel 資料湖實現單一平台架構,讓分析師擁有統一的查詢體驗,同時善用 Microsoft Sentinel 豐富的連接器生態系統。 欲了解更多資訊,請參閱 Microsoft Sentinel 資料湖。
將 Microsoft Sentinel 接入 Microsoft Defender 入口網站,並與 Microsoft Defender 全面偵測回應
考慮將 Microsoft Sentinel 導入 Microsoft Defender 入口網站,整合與 Microsoft Defender 全面偵測回應的功能,如事件管理與進階搜尋。
如果你沒有將 Microsoft Sentinel 導入 Microsoft Defender 入口網站,請注意:
- 到 2026 年 7 月,所有使用 Azure 入口網站的 Microsoft Sentinel 客戶將被重新導向至 Defender 入口網站。
- 在此之前,你可以使用 Defender 全面偵測回應資料連接器,將 Microsoft Defender 服務資料與 Microsoft Sentinel 整合到Azure 入口網站。
以下示意圖展示了 Microsoft 的 XDR 解決方案如何無縫整合 Microsoft Sentinel。
如需詳細資訊,請參閱下列文章:
- Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的整合
- 將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應
- Microsoft Defender 入口網站中的 Microsoft Sentinel
整合 Microsoft 安全服務
Microsoft Sentinel 由將資料傳送到工作空間的元件所賦能,並透過與其他 Microsoft 服務的整合而更強大。 任何被導入產品(如 Microsoft Defender for Cloud Apps、適用於端點的 Microsoft Defender)及 適用於身分識別的 Microsoft Defender 的日誌,都允許這些服務產生偵測,進而將偵測結果提供給 Microsoft Sentinel。 日誌也可以直接匯入 Microsoft Sentinel,以提供更完整的事件與事件全貌。
除了從其他來源接收警示和日誌外,Microsoft Sentinel 還提供:
| 功能 | 描述 |
|---|---|
| 威脅偵測 | 具備人工智慧的威脅偵測功能,讓您能透過工作簿建立並呈現互動視覺,運行操作手冊自動回應警報,整合機器學習模型以強化安全作業,並從威脅情報平台擷取與擷取豐富資訊流。 |
| 威脅調查 | 威脅調查功能 讓您能視覺化並探索警示與實體,偵測使用者與實體行為異常,並在調查期間監控即時事件。 |
| 資料收集 | 收集所有用戶、裝置、應用程式及基礎設施的資料,無論是本地部署還是多雲端。 |
| 威脅應對 | 威脅應變能力,例如可與 Azure 服務及現有工具整合的 Playbook。 |
| 合作夥伴整合 | 透過 Microsoft Sentinel 資料連接器與合作夥伴平台整合,為 SOC 團隊提供重要服務。 |
) 合作夥伴 (打造客製化整合解決方案
對於想要打造與 Microsoft Sentinel 整合的客製化解決方案的合作夥伴,請參閱與 Microsoft Sentinel 整合的最佳實務。
規劃事件管理與應變流程
下圖顯示事件管理與應變流程中的建議步驟。
下表提供高階事件管理與應變任務及相關最佳實務。 欲了解更多資訊,請參閱 Azure 入口網站中的 Microsoft Sentinel 事件調查,或 Microsoft Defender 入口網站的事件與警示。
| 工作 | 最佳作法 |
|---|---|
| 事件回顧頁面 | 請在 事件頁面查看 事件,該頁面列出標題、嚴重程度及相關警示、日誌及任何關注的實體。 你也可以從事件跳轉到收集的日誌和與事件相關的工具。 |
| 使用入射圖 | 檢視事件的 事件圖表 ,以了解攻擊的全貌。 接著你可以構建事件的時間軸,發現威脅鏈的範圍。 |
| 審查事件是否存在誤報 | 利用關鍵實體的資料,例如帳號、網址、IP 位址、主機名稱、活動、時間軸,判斷是否有 誤報 ,這時你可以直接關閉事件。 若發現事件為正面,請直接從 事件 頁面採取行動,調查日誌、實體並探索威脅鏈。 在您識別出威脅並制定行動計畫後,請使用Microsoft Sentinel及其他Microsoft安全服務中的其他工具繼續調查。 |
| 視覺化資訊 | 請參考 Microsoft Sentinel 總覽儀表板,了解貴組織的安全狀況。 欲了解更多資訊,請參閱 「視覺化收集資料」。 除了 Microsoft Sentinel 概覽頁面上的資訊與趨勢外,工作簿也是寶貴的調查工具。 例如,使用 調查洞察 工作簿來調查特定事件及相關實體與警示。 此工作手冊讓您能更深入探討相關日誌、動作與警示。 |
| 搜捕威脅 | 在調查與尋找根本原因時,執行內建的威脅狩獵查詢,並檢查結果是否有任何入侵跡象。 欲了解更多資訊,請參閱 Microsoft Sentinel 中的威脅狩獵。 |
| 實體行為 | Microsoft Sentinel 中的實體行為允許使用者檢視並調查特定實體的動作與警示,例如調查帳號與主機名稱。 如需詳細資訊,請參閱: - 啟用 UEBA) (使用者與實體行為分析Microsoft Sentinel - 調查使用 UEBA 資料的事件 - Microsoft Sentinel UEBA enrichments reference |
| 觀察名單 | 使用結合攝取資料與外部來源(如富集資料)的監測清單。 例如,建立貴組織或近期離職員工使用的 IP 位址範圍清單。 利用 playbook 的監視清單來收集豐富化資料,例如將惡意 IP 位址加入監控清單,以便在偵測、威脅狩獵和調查時使用。 事件發生時,使用監視清單來包含調查資料,調查結束後刪除,以確保敏感資料不會持續出現在視線範圍內。 欲了解更多資訊,請參閱 Microsoft Sentinel 中的監視清單。 |
優化資料收集與擷取
檢視 Microsoft Sentinel 資料收集的最佳實務,包括優先排序資料連接器、過濾日誌及優化資料擷取。
讓您的 Kusto 查詢語言查詢更快
請檢視 Kusto 查詢語言的最佳實務,讓查詢更快。