隨著貴組織的安全營運中心 (SOC) 處理日益龐大的資料量,規劃並監控部署狀態至關重要。 雖然你可以使用Microsoft Project、Microsoft Excel、Microsoft Teams或Azure DevOps等通用工具追蹤遷移流程,但這些工具並非專門用於SIEM) 遷移追蹤 (安全資訊與事件管理。 為了協助你追蹤,我們在 Microsoft Sentinel 中提供了一本專門的工作手冊,名為 Microsoft Sentinel 部署與遷移。
這本工作簿能幫助你:
- 視覺化遷移進度
- 部署與追蹤資料來源
- 部署並監控分析規則與事件
- 部署並運用工作簿
- 部署與執行自動化
- 部署並自訂使用者與實體行為分析 (U E B A)
本文說明如何使用 Microsoft Sentinel 部署與遷移工作簿追蹤遷移進度,如何自訂和管理工作簿,以及如何利用工作簿分頁部署與監控資料連接器、分析、事件、操作手本、自動化規則、U E B A 及資料管理。 了解更多如何在 Microsoft Sentinel 中使用 Azure Monitor 工作簿。
部署工作簿內容並查看工作簿
要取得工作簿,首先從 Microsoft Sentinel 的內容中心安裝獨立項目。
在 Microsoft Sentinel 內容中心,依內容類型 = 工作簿篩選所列出的內容,然後在搜尋欄輸入遷移。
從搜尋結果中,選擇 Microsoft Sentinel 部署與遷移工作手冊,然後選擇安裝。 Microsoft Sentinel 會部署工作簿並將工作簿儲存在您的環境中。
在 Microsoft Sentinel 的威脅管理中,選擇工作簿>範本。
選擇 Microsoft Sentinel 部署與遷移工作手冊並檢視範本。
部署監控名單
下一步是部署 Microsoft Sentinel GitHub 倉庫中的相關監控清單。
- 在 Microsoft Sentinel GitHub 儲存庫中,選擇 DeploymentandMigration 資料夾,並選擇「部署到 Azure」以開始在 Azure 中部署範本。
- 請提供 Microsoft Sentinel 資源群組及工作空間名稱。
- 選擇 檢視並建立。
- 資訊驗證後,選擇 建立。
更新監控清單中的部署與遷移行動
此步驟對追蹤設定過程至關重要。 如果你跳過這個步驟,工作簿就不會顯示出需要追蹤的項目。
要更新監視清單中的部署與遷移動作:
- 在 Azure 或 Microsoft Defender 入口網站中,選擇 Microsoft Sentinel,然後選擇 Watchlist。
- 選擇帶有 部署 別名的監視清單。
- 然後選擇 更新觀察清單 > 、編輯觀察清單項目。
- 提供部署與遷移所需行動的資訊。
- 選取 [儲存]。
你現在可以在遷移追蹤工作簿中查看監視清單。 學習如何 管理觀看清單。
此外,您的團隊在部署過程中可能會更新或完成任務。 為了因應這些變更,請在識別新用例或設定新需求時,更新現有動作或新增動作。 要更新或新增動作,請編輯你已部署的 部署 監視清單。 為了簡化流程,在工作簿中選擇 「編輯部署監控清單 」,即可直接從工作簿開啟監視清單。
查看部署狀態
要快速查看部署進度,請在 Microsoft Sentinel 部署與遷移工作手冊中選擇部署,然後往下滑找到進度摘要。 此區域顯示部署狀態,包括以下資訊:
- 資料表報告資料
- 報告資料表數量
- 報告日誌數量及哪些資料表報告日誌資料
- 啟用規則數量與未部署規則數量
- 推薦的練習手冊已部署
- 部署工作簿總數
- 部署的 playbook 總數
部署與監控資料連接器
要監控已部署的資源並部署新連接器,請在 Microsoft Sentinel 部署與遷移工作手冊中選擇「資料連接器監控>器」。 監控檢視列出:
- 目前的攝取趨勢
- 資料匯入表
- 每個資料表報告的資料量
- 端點透過 Azure 監控代理 (AMA) 回報
- 資源群組的資料收集規則及其相關裝置
- 資料連接器健康 (變更與故障)
- 指定時間範圍內的健康日誌
要設定資料連接器:
- 選擇 「配置 」檢視。
- 選擇你想設定的連接器名稱按鈕。
- 在開啟的連接器狀態畫面中設定連接器。 如果找不到需要的連接器,請選擇連接器名稱以開啟連接器圖庫或解決方案圖庫。
部署並監控分析與事件
當資料在工作區報告時,設定並監控分析規則。 在 Microsoft Sentinel 部署與遷移工作手冊中,選擇「分析」標籤以查看所有已部署的規則範本與清單。 此視圖顯示目前仍在使用的規則,以及這些規則產生事件的頻率。
如果您需要更多保障,請選擇左側表格下方的 「Review MITRE」保障 。 使用此選項定義哪些區域獲得更多覆蓋,以及在遷移專案的任何階段部署哪些規則。
當你部署分析規則,且 Defender 產品連接器設定為發送警報時,會在 部署 > 進度摘要中監控事件的產生與頻率。 此區域顯示依產品、標題及分類分類的警示產生指標,以指示 SOC 的健康狀況及哪些警示最需要關注。 如果警報產生過多的量,請回到 分析 標籤修改邏輯。
部署並運用工作簿
要視覺化 Microsoft Sentinel 執行的資料擷取與偵測資訊,請在 Microsoft Sentinel 部署與遷移工作簿中選擇工作簿。 類似於 資料連接器 分頁,使用 監控 與 配置 檢視來查看監控與設定資訊。
以下是在 工作簿 標籤中可以完成的一些實用任務:
若要查看環境中所有工作簿的清單及部署的作業簿數量,請選擇 「監控」。
若要在 Microsoft Sentinel 部署與遷移工作簿中查看特定工作簿,請選擇工作簿,然後選擇「開啟選取工作簿」。
如果你還沒部署工作簿,請選擇 配置 以查看常用及推薦的工作簿清單。 如果工作簿未被列出,請選擇 「前往工作簿相簿 」或「 前往內容中心 」來部署相關工作簿。
部署並監控 playbook 與自動化規則
當你設定資料擷取、偵測和視覺化時,現在可以考慮自動化。 在 Microsoft Sentinel 部署與遷移工作手冊中,選擇自動化以查看已部署的 Playbook,並查看目前連接自動化規則的 Playbook。 若有自動化規則,工作簿會標示以下關於每條規則的資訊:
- 名稱
- 狀態
- 規則的行動
- 規則最後修改日期以及修改規則的使用者
- 規則制定日期
要在工作簿目前區塊中檢視、部署及測試自動化,請在左下角選擇「 部署自動化資源 」。
了解 Microsoft Sentinel SOAR 在 Playbook 與自動化規則上的功能。
部署並監控 U E B A
由於資料報告與偵測發生在實體層級,因此監控實體行為與趨勢至關重要。 若要在Microsoft Sentinel中啟用 U E B A 功能,請在 Microsoft Sentinel 部署與遷移工作簿中選擇 UEBA。 在這裡你可以自訂實體頁面的時間軸,並查看哪些實體相關資料表已填滿資料。
啟用 U E B A:
- 在表格列表上方選擇 啟用 UEBA 。
- 要啟用 U E B A,請選擇 開啟。
- 選擇你想用來產生洞見的數據來源。
- 選取 [套用]。
啟用 U E B A 後,監控並確保 Microsoft Sentinel 是否產生 U E B A 資料。
自訂時間軸:
- 在表格列表上方選擇 「自訂實體時間軸 」。
- 建立自訂物品,或選擇現成的範本。
- 要部署範本並完成精靈,請選擇 「建立」。
了解更多關於 U E B A 的資訊,或學習如何 自訂時間軸。
配置與管理資料生命週期
當你部署或遷移到 Microsoft Sentinel 時,管理進來日誌的使用情況與生命週期是非常重要的。 在 Microsoft Sentinel 部署與遷移工作手冊中,選擇資料管理以檢視並設定資料表保留與歸檔。
查看有關以下資訊:
- 設定為基本日誌擷取的資料表
- 設定為分析層級擷取的資料表
- 設定為要歸檔的資料表
- 預設工作區保留的表格
要修改現有的資料表保留政策:
- 選擇預設保留表檢視。
- 選擇你想修改的資料表,然後選擇更新保留。 請依需要編輯以下資訊:
- 工作空間的現行保留率
- 目前檔案館的保存狀況
- 資料在環境中存在的總天數
- 編輯 TotalRetention 值,設定一個新的總天數,該資料在環境中應該存在的天數。
ArchiveRetention 值是透過 InteractiveRetention 值減去總保留值來計算。 如果你需要調整工作區保留,這個變更不會影響包含已設定檔案的資料表,資料也不會遺失。 如果你編輯了 InteractiveRetention 值,但 TotalRetention 值沒有改變,Azure Log Analytics 會調整歸檔保留值來補償這個變動。
如果你想在 UI 中做修改,請選擇 UI 中的「更新保留」 以開啟相關頁面。
學習 資料生命週期管理。
啟用遷移技巧與說明
為了協助部署與遷移流程,工作簿包含使用不同分頁的技巧,以及相關資源連結。 這些建議是根據 Microsoft Sentinel 遷移文件,並且與你目前的 SIEM 相關。 要啟用提示與說明,在 Microsoft Sentinel 部署與遷移工作手冊中,右上角將「遷移技巧與指示」設為「是」。
後續步驟
在本文中,你學會了如何使用 Microsoft Sentinel 部署與遷移工作手冊追蹤你的遷移過程。