Microsoft Sentinel 的部署指南
本文介紹可協助您規劃、部署及微調 Microsoft Sentinel 部署的活動。
規劃和準備概觀
本節介紹可協助您在部署 Microsoft Sentinel 之前規劃和準備的活動和必要條件。
規劃和準備階段通常是由SOC架構師或相關角色執行。
| 步驟 | 詳細資料 |
|---|---|
| 1.規劃和準備概觀和必要條件 | 檢閱 Azure 租使用者必要條件。 |
| 2.規劃工作區架構 | 設計您的 Microsoft Sentinel 工作區。 請考慮參數,例如: - 無論您要使用單一租用戶還是多個租使用者 - 您對於資料收集和記憶體擁有的任何合規性需求 - 如何控制對 Microsoft Sentinel 數據的存取 檢閱下列文章: 1. 檢閱最佳做法 2. 設計工作區架構 3. 檢閱範例工作區設計 4. 準備多個工作區 |
| 3. 設定數據連接器的優先順序 | 判斷您需要的數據源和數據大小需求,以協助您準確地投影部署的預算和時程表。 您可能會在商務使用案例檢閱期間判斷這項資訊,或評估您已就緒的目前 SIEM。 如果您已經有 SIEM,請分析數據以瞭解哪些數據源提供最多值,且應該內嵌至 Microsoft Sentinel。 |
| 4. 規劃角色和許可權 | 使用 Azure 角色型存取控制 (RBAC) 在安全性作業小組內建立和指派角色,以授與 Microsoft Sentinel 的適當存取權。 不同的角色可讓您更精細地控制 Microsoft Sentinel 使用者可以看到和執行的動作。 Azure 角色可以直接在 Microsoft Sentinel 工作區中指派,或在工作區所屬的訂用帳戶或資源群組中指派,Microsoft Sentinel 會繼承這些角色。 |
| 5. 規劃成本 | 開始規劃預算,考慮每個計劃案例的成本影響。 請確定您的預算涵蓋 Microsoft Sentinel 和 Azure Log Analytics 的數據擷取成本、將部署的任何劇本等等。 |
部署概觀
部署階段通常是由SOC分析師或相關角色執行。
| 步驟 | 詳細資料 |
|---|---|
| 1.啟用 Microsoft Sentinel、健康情況和稽核,以及內容 | 啟用 Microsoft Sentinel、啟用健康情況和稽核功能,以及根據組織需求識別的解決方案和內容。 |
| 2.設定內容 | 設定不同類型的 Microsoft Sentinel 安全性內容,可讓您偵測、監視及響應系統中的安全性威脅:數據連接器、分析規則、自動化規則、劇本、活頁簿和監看清單。 |
| 3.設定跨工作區架構 | 如果您的環境需要多個工作區,您現在可以將其設定為部署的一部分。 在本文中,您將瞭解如何設定 Microsoft Sentinel,以跨多個工作區和租使用者延伸。 |
| 4.啟用使用者和實體行為分析 (UEBA) | 啟用並使用 UEBA 功能來簡化分析程式。 |
| 5.設定數據保留和封存 | 設定數據保留和封存,以確保貴組織會保留長期很重要的數據。 |
微調和檢閱:部署后檢查清單
檢閱部署后檢查清單,以協助您確定部署程式如預期般運作,且您所部署的安全性內容會根據需求和使用案例運作並保護您的組織。
微調和檢閱階段通常是由SOC工程師或相關角色執行。
| 步驟 | 動作 |
|---|---|
| ✅檢閱事件和事件程式 | - 檢查事件和您看到的事件數目是否反映環境中實際發生的情況。 - 檢查 SOC 的事件程式是否能夠有效率地處理事件:您是否已將不同類型的事件指派給 SOC 的不同層級/層? 深入瞭解如何 巡覽和調查 事件,以及如何 處理事件工作。 |
| ✅檢閱和微調分析規則 | - 根據您的事件檢閱,檢查您的分析規則是否如預期般觸發,以及規則是否反映您感興趣的事件類型。 - 使用自動化或修改排程的分析規則來處理誤判。 - Microsoft Sentinel 提供內建的微調功能,可協助您分析分析規則。 檢閱這些內建深入解析並實作相關建議。 |
| ✅檢閱自動化規則和劇本 | - 類似於分析規則,請檢查您的自動化規則是否如預期般運作,並反映您關心且感興趣的事件。 - 檢查您的劇本是否如預期般回應警示和事件。 |
| ✅將數據新增至關注清單 | 檢查您的關注清單是否為最新狀態。 如果您的環境中發生任何變更,例如新的使用者或使用案例, 請據以更新您的關注清單。 |
| ✅檢閱承諾層級 | 檢閱您最初設定的承諾層 ,並確認這些層反映您目前的設定。 |
| ✅追蹤擷取成本 | 若要追蹤擷取成本,請使用下列其中一個活頁簿: - 工作區 使用量報表 活頁簿 會提供工作區的數據耗用量、成本和使用量統計數據。 活頁簿會提供工作區的數據擷取狀態,以及免費和可計費的數據量。 您可以使用活頁簿邏輯來監視數據擷取和成本,以及建置自定義檢視和以規則為基礎的警示。 - Microsoft Sentinel 成本活頁簿提供更專注的 Microsoft Sentinel 成本檢視,包括擷取和保留數據、擷取合格數據源的數據、Logic Apps 計費資訊等等。 |
| ✅微調資料收集規則 (DCR) | - 檢查 DCR 是否反映數據擷取需求和使用案例。 - 如有需要,請實作擷取時間轉換,以篩選掉不相關的數據,即使它第一次儲存在您的工作區中也一樣。 |
| ✅檢查 MITRE 架構的分析規則 | 在 Microsoft Sentinel MITRE 頁面中檢查您的 MITRE 涵蓋範圍:檢視工作區中已作用中的偵測,以及可供您設定的偵測,以根據 MITRE ATT&CK® 架構的策略和技術,瞭解貴組織的安全性涵蓋範圍。 |
| ✅搜尋可疑活動 | 請確定您的SOC具有主動式威脅搜捕的流程。 搜捕是安全性分析師尋找未偵測到的威脅和惡意行為的程式。 藉由建立假設、搜尋數據,以及驗證該假設,它們會決定要採取什麼行動。 動作可能包括建立新的偵測、新的威脅情報,或啟動新的事件。 |
相關文章
在本文中,您已檢閱每個階段中的活動,以協助您部署 Microsoft Sentinel。
根據您所在的階段,選擇適當的後續步驟:
- 規劃和準備 - 部署 Azure Sentinel 的必要條件
- 部署 - 啟用 Microsoft Sentinel 和初始功能和內容
- 微調和檢閱 - 瀏覽和調查 Microsoft Sentinel中的事件巡覽和調查 Microsoft Sentinel 中的事件
完成 Microsoft Sentinel 部署后,請檢閱涵蓋一般工作的教學課程,以繼續探索 Microsoft Sentinel 功能: