本文列出我們建議 SOC) 團隊及資安管理員規劃並執行的安全作業活動 (Microsoft Sentinel。 欲了解更多管理安全作業的資訊,請參閱 安全營運總覽。
日常任務
請每天安排以下活動。
| 工作 | 描述 |
|---|---|
| 分流與調查事件 | 請檢視 Microsoft Sentinel 事件頁面,檢查目前設定的分析規則是否產生新事件,並開始調查任何新的事件。 如需詳細資訊,請參閱: |
| 探索狩獵查詢與書籤 | 探索所有內建查詢的結果,並更新現有的狩獵查詢與書籤。 手動產生新事件,或如適用更新舊事件。 如需詳細資訊,請參閱: |
| 分析規則 | 檢視並啟用新的分析規則,包括新釋出或近期部署解決方案中新可用的規則。 如需詳細資訊,請參閱: 監控健康狀況並優化分析規則的執行。 如需詳細資訊,請參閱: |
| 資料連接器 | 檢查資料連接器的健康狀態,確保資料流動正常。 檢查是否有新的連接器,並檢視輸入過程以確保沒有超出設定的限制。 欲了解更多資訊,請參閱 「監控您的資料連接器健康狀況」。 |
| Azure Monitor Agent | 確認伺服器和工作站是否積極連接到工作區,並排除故障並修復任何連線失敗。 欲了解更多資訊,請參閱 Azure Monitor Agent 總覽。 |
| 戰術手冊失誤 | 確認操作手冊的執行狀態並排除任何故障。 欲了解更多資訊,請參閱教學:在 Microsoft Sentinel 中使用帶有自動化規則的 playbook 應對威脅。 |
每週任務
每週安排以下活動。
| 工作 | 描述 |
|---|---|
| 解決方案內容審查或獨立內容 | 可從 內容中心取得已安裝解決方案或獨立內容的任何內容更新。 檢視可能對環境有價值的新解決方案或獨立內容,例如分析規則、工作手冊、搜尋查詢或戰術手冊。 |
| Microsoft Sentinel 審計 | 檢視 Microsoft Sentinel 的活動,了解誰更新或刪除了資源,例如分析規則、書籤等。 欲了解更多資訊,請參閱審計 Microsoft Sentinel 查詢與活動。 |
每月任務
每月安排以下活動。
| 工作 | 描述 |
|---|---|
| 檢視使用者存取權限 | 檢視使用者權限並檢查是否非活躍用戶。 欲了解更多資訊,請參閱 Microsoft Sentinel 中的權限。 |
| Log Analytics 工作空間評測 | 檢視 Log Analytics 工作空間的資料保留政策是否仍與您組織的政策相符。 欲了解更多資訊,請參閱資料保留政策及整合Azure Data Explorer以實現長期日誌保存。 |