本文介紹協助你規劃、部署及微調 Microsoft Sentinel 部署的活動。
規劃與準備概述
本節介紹活動與前置條件,協助您在部署 Microsoft Sentinel 前規劃與準備。
規劃與準備階段通常由 SOC 架構師或相關職務執行。
| 步驟 | 詳細資料 |
|---|---|
| 1. 規劃並準備概述與先決條件 | 檢視 Azure 租戶的前置條件。 |
| 2. 規劃工作空間架構 | 設計您的日誌分析工作空間,啟用 Microsoft Sentinel。 無論你是否會加入 Microsoft Defender 入口網站,你仍然需要一個 Log Analytics 工作空間。 考慮以下參數: - 你是使用單一租戶還是多租戶 - 你對資料收集與儲存的任何合規要求 - 如何控制對 Microsoft Sentinel 資料的存取 請參考以下文章: 1. 設計工作空間架構 3. 檢視範例工作空間設計 4. 準備多個工作空間 |
| 3. 優先排序資料連接器 | 確定您需要哪些資料來源及資料量需求,以協助您準確預測部署預算與時程。 你可以在商業使用案例審查時,或是透過評估現有的 SIEM 來判斷這些資訊。 如果你已經有 SIEM,請分析你的資料,了解哪些資料來源最有價值,並應該整合進 Microsoft Sentinel。 |
| 4. 規劃角色與權限 | 利用Azure基於角色的存取控制 (RBAC) ,在安全運營團隊中建立並指派角色,以授予適當的存取權限Microsoft Sentinel。 不同角色讓你能細緻掌控 Microsoft Sentinel 使用者能看到和執行的內容。 Azure 角色可以直接在工作區中指派,或在工作空間所屬的訂閱或資源群組中分配,這些由 Microsoft Sentinel 繼承。 |
| 5. 計畫成本 | 開始規劃你的預算,並考慮每個計畫情境的成本影響。 請確保您的預算涵蓋 Microsoft Sentinel 與 Azure Log Analytics 的資料擷取成本、將部署的 Playbook 等。 |
部署概觀
部署階段通常由 SOC 分析師或相關職務執行。
| 步驟 | 詳細資料 |
|---|---|
| 1. 啟用 Microsoft Sentinel、健康與稽核及內容 | 啟用 Microsoft Sentinel,啟用健康與稽核功能,並根據組織需求啟用您已識別的解決方案與內容。
要使用 API 加入 Microsoft Sentinel,請參閱最新版本的 Sentinel 入門狀態。 |
| 2. 設定內容 | 配置不同類型的 Microsoft Sentinel 安全內容,讓你能偵測、監控並回應系統內的安全威脅:資料連接器、分析規則、自動化規則、操作手冊、工作簿和監控清單。 |
| 3. 建立跨工作區架構 | 如果你的環境需要多個工作區,現在你可以將它們作為部署的一部分來設置。 在本文中,您將學習如何設定 Microsoft Sentinel,以擴展至多個工作空間與租戶。 |
| 4. 啟用 UEBA) (使用者與實體行為分析 | 啟用並使用 UEBA 功能來簡化分析流程。 |
| 5. 配置 Microsoft Sentinel 數據湖 | 配置互動式與資料保留設定,確保您的組織能保留關鍵的長期資料,利用 Microsoft Sentinel 資料湖提供具成本效益的儲存、提升可視性,並無縫整合進階分析工具。 |
微調與檢視:部署後檢查清單
檢視部署後的檢查清單,幫助你確保部署流程如預期運作,且你部署的安全內容能依照需求與使用情境保護組織。
微調與審查階段通常由 SOC 工程師或相關職務執行。
| 步驟 | 動作 |
|---|---|
| ✅ 檢視事件及事件流程 | - 檢查你所看到的事件數量是否反映你環境中實際發生的情況。 - 檢查您的 SOC 事件流程是否有效處理事件:您是否將不同類型的事件分配到不同層級/層級? 了解更多關於如何 應對與調查 事件,以及如何 處理事件任務。 |
| ✅ 檢視與微調分析規則 | - 根據你的事件審查,檢查你的分析規則是否如預期觸發,以及規則是否反映你感興趣的事件類型。 - 處理誤報,無論是使用自動化或修改排程分析規則。 - Microsoft Sentinel 提供內建的微調功能,協助你分析分析規則。 檢視這些內建洞見並實施相關建議。 |
| ✅ 檢視自動化規則與操作手冊 | - 類似分析規則,檢查你的自動化規則是否如預期運作,並反映你關心及關注的事件。 - 檢查你的操作手冊是否如預期般回應警報與事件。 |
| ✅ 將資料加入觀察清單 | 檢查你的監控清單是否是最新的。 如果您的環境有任何變動,例如新增使用者或使用案例,請 相應地更新您的監控清單。 |
| ✅ 檢視承諾層級 | 檢視你最初設定的承諾層級,並確認這些層級是否反映你目前的配置。 |
| ✅ 追蹤攝取成本 | 要追蹤攝取成本,請使用以下工作簿之一: - Workspace 使用報告 工作簿 提供您工作空間的資料消耗、成本及使用統計資料。 工作簿會顯示工作區的資料擷取狀態,以及免費和可計費的資料量。 你可以利用工作簿邏輯來監控資料擷取與成本,並建立自訂檢視與規則式警示。 - Microsoft Sentinel 成本工作手冊提供更聚焦的 Microsoft Sentinel 成本視角,包括攝取與保留資料、符合資格資料來源的擷取資料、Logic Apps 帳單資訊等。 |
| ✅ DCR (微調資料收集規則) | - 檢查你的 DCR 是否反映你的資料擷取需求與使用情境。 - 如有需要, 實施擷取時間轉換 ,在資料尚未儲存到工作區前就過濾掉無關資料。 |
| ✅ 請檢查分析規則與 MITRE 框架的差異 | 請在Microsoft Sentinel MITRE頁面檢查您的MITRE覆蓋範圍:查看您工作區中已啟動的偵測,以及可供您設定的偵測,以了解您組織的安全覆蓋範圍,這些都是基於MITRE ATT&CK®框架的策略與技術。 |
| ✅ 尋找可疑活動 | 確保你的SOC有 主動威脅狩獵的流程。 搜尋是一種安全分析師尋找未被偵測到威脅與惡意行為的過程。 透過建立假設、搜尋資料並驗證該假設,他們決定該採取什麼行動。 行動可能包括建立新的偵測、新的威脅情報,或啟動新的事件。 |
相關文章
在這篇文章中,你回顧了每個階段中協助部署 Microsoft Sentinel 的活動。
根據你所處的階段,選擇適當的下一步:
- 規劃與準備——部署Azure Sentinel的前提條件
- 部署 - 啟用 Microsoft Sentinel 及初始功能與內容
- 微調與檢視——在 Microsoft Sentinel 中導航並調查事件
當你完成 Microsoft Sentinel 的部署後,請繼續透過閱讀涵蓋常見任務的教學,探索 Microsoft Sentinel 的功能:
- 什麼是 Microsoft Sentinel 資料湖?
- 使用 Azure Monitor Agent 將 Syslog 資料轉發到 Log Analytics workspace 與 Microsoft Sentinel
- 設定資料表層級的保留
- 使用分析規則偵測威脅
- 在事件中自動檢查並記錄 IP 位址聲譽資訊
- 利用自動化回應威脅
- 擷取帶有非原生動作的事件實體
- 使用 UEBA 調查
- 建立並監控零信任
請參考 Microsoft Sentinel 操作指南,了解我們建議您每日、每週及每月執行的常規 SOC 活動。