在前一個部署步驟中,你啟用了 Microsoft Sentinel、健康監控以及所需的解決方案。 在本文中,您將學習如何配置不同類型的 Microsoft Sentinel 安全內容,這些內容能讓您在系統中偵測、監控並回應安全威脅。 本文是 Microsoft Sentinel 部署指南的一部分。
設定您的安全內容
| 步驟 | 描述 |
|---|---|
| 設定資料連接器 | 根據 你規劃部署時選擇的資料來源,並在 啟用相關解決方案後,你現在可以安裝或設定資料連接器。 - 如果你正在使用現有的連接器,請從這份完整的資料連接器清單 中找到你的連接器 。 - 如果你要建立自訂連接器,請使用 這些資源。 - 如果你正在設定連接器來匯入 CEF 或 Syslog 日誌,請檢視這些 選項。 |
| 設定分析規則 | 當你設定 Microsoft Sentinel 以收集整個組織的資料後,就可以開始使用分析規則來偵測威脅。 選擇您需要設定與設定分析規則的步驟: - 從範本 或 從零開始建立排程規則:建立分析規則,協助發現環境中的威脅與異常行為。 - 將資料欄位映射到實體:在分析規則中新增或變更實體映射。 - 在警報中顯示自訂細節:在分析規則中新增或變更自訂細節。 - 自訂警報細節:用底層查詢結果的內容覆蓋警報的預設屬性。 - 匯出與匯入分析規則:將分析規則匯出為Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則。 匯出動作會在瀏覽器的下載位置建立一個 JSON 檔案,你可以像其他檔案一樣重新命名、移動或處理它。 - 建立近即時 (NRT) 偵測分析規則:立即建立即時分析規則,提供即時威脅偵測。 這類規則設計上能高度響應,透過每隔一分鐘執行查詢。 - 運用異常偵測分析規則:使用內建異常範本,使用數千個資料來源和數百萬事件,或在使用者介面中更改異常的閾值與參數。 - 管理排程分析規則的範本版本:追蹤分析規則範本的版本,並將有效規則還原為現有範本版本,或更新為新版本。 - 處理排程分析規則中的資料擷取延遲:了解資料擷取延遲如何影響你的排程分析規則,以及如何修正它們以彌補這些缺口。 |
| 設定自動化規則 | 建立自動化規則。 定義決定 自動化規則 何時執行的觸發條件、規則可執行的各種動作,以及其他功能與功能。 |
| 設定戰術手冊 |
操作手冊是一套由 Microsoft Sentinel 例行執行的修復行動集合,幫助自動化並協調你的威脅回應。 要建立戰術手冊: - 評測 推薦戰術書 - 從範本建立戰術手冊:戰術手冊範本是預先建置、測試過且可用且可依需求客製化的工作流程。 範本也能作為從零開始開發遊戲手冊時的最佳實務參考,或是新自動化情境的靈感來源。 - 回顧這些 製作劇本的步驟 |
| 設置工作簿 |
工作簿為 Microsoft Sentinel 內的資料分析與豐富視覺化報告的建立提供了靈活的畫布。 工作簿範本讓你在連結資料來源後,能迅速獲得資料的洞察。 要設置工作簿: - 回顧常用的 Microsoft Sentinel 工作簿 - 使用現有的套裝解決方案範本 - 在你的資料中建立自訂工作簿 |
| 建立觀察清單 |
監控清單允許你將所提供的資料來源資料與 Microsoft Sentinel 環境中的事件關聯起來。 要建立觀看清單: - 建立觀察清單 - 用監視清單建立查詢或偵測規則:將任何資料表中的資料與監視清單資料當作加入和查詢的表來查詢。 當你建立監視清單時,你會定義 SearchKey。 搜尋鍵是你觀察清單中一個欄位的名稱,你預期用它與其他資料連接或作為頻繁搜尋的物件。 |
後續步驟
在本文中,你學會了如何配置不同類型的 Microsoft Sentinel 安全內容。