دليل النشر ل Microsoft Sentinel
تقدم هذه المقالة الأنشطة التي تساعدك على تخطيط نشر Microsoft Sentinel ونشره وضبطه.
نظرة عامة على التخطيط والتحضير
يقدم هذا القسم الأنشطة والمتطلبات الأساسية التي تساعدك على التخطيط والاستعداد قبل نشر Microsoft Sentinel.
عادة ما يتم تنفيذ مرحلة الخطة والتحضير بواسطة مهندس SOC أو الأدوار ذات الصلة.
| الخطوة | التفاصيل |
|---|---|
| 1. تخطيط وإعداد النظرة العامة والمتطلبات الأساسية | راجع المتطلبات الأساسية لمستأجر Azure. |
| 2. تخطيط بنية مساحة العمل | صمم مساحة عمل Microsoft Azure Sentinel الخاصة بك. ضع في اعتبارك معلمات مثل: - سواء كنت ستستخدم مستأجرا واحدا أو مستأجرين متعددين - أي متطلبات امتثال لديك لجمع البيانات وتخزينها - كيفية التحكم في الوصول إلى بيانات Microsoft Sentinel راجع هذه المقالات: 1. مراجعة أفضل الممارسات 2. تصميم بنية مساحة العمل 3. مراجعة نماذج تصميمات مساحة العمل 4. الاستعداد لمساحات عمل متعددة |
| 3. تحديد أولويات موصلات البيانات | حدد data sources التي تحتاجها ومتطلبات حجم البيانات لمساعدتك في توقع موازنة التوزيع والجدول الزمني بدقة. يمكنك تحديد هذه المعلومات أثناء مراجعة حالة استخدام عملك، أو عن طريق تقييم SIEM الحالي الذي لديك بالفعل. إذا كان لديك بالفعل SIEM في مكانه، فقم بتحليل بياناتك لفهم مصادر البيانات التي توفر أكبر قيمة ويجب استيعابها في Microsoft Azure Sentinel. |
| 4. تخطيط الأدوار والأذونات | استخدم التحكم في الوصول المستند إلى دور Azure (RBAC) لإنشاء الأدوار وتعيينها داخل فريق عمليات الأمان لمنح الوصول المناسب إلى Microsoft Sentinel. تمنحك الأدوار المختلفة تحكما دقيقا فيما يمكن لمستخدمي Microsoft Sentinel رؤيته وفعله. يمكن تعيين أدوار Azure في مساحة عمل Microsoft Sentinel مباشرة، أو في اشتراك أو مجموعة موارد تنتمي إليها مساحة العمل، والتي يرثها Microsoft Sentinel. |
| 5. تخطيط التكاليف | ابدأ في تخطيط ميزانيتك، مع مراعاة الآثار المترتبة على التكلفة لكل سيناريو مخطط له. تأكد من أن ميزانيتك تغطي تكلفة نقل البيانات لكل من Microsoft Azure Sentinel وAzure Log Analytics وأي كتيبات تشغيل سيتم توزيعها وما إلى ذلك. |
نظرة عامة على التوزيع
عادة ما يتم تنفيذ مرحلة التوزيع بواسطة محلل SOC أو الأدوار ذات الصلة.
| الخطوة | التفاصيل |
|---|---|
| 1. تمكين Microsoft Sentinel والصحة والتدقيق والمحتوى | قم بتمكين Microsoft Sentinel، وتمكين ميزة الصحة والتدقيق، وتمكين الحلول والمحتوى الذي حددته وفقا لاحتياجات مؤسستك. |
| 2. تكوين المحتوى | تكوين أنواع مختلفة من محتوى أمان Microsoft Sentinel، والتي تسمح لك بالكشف عن تهديدات الأمان ومراقبتها والاستجابة لها عبر أنظمتك: موصلات البيانات وقواعد التحليلات وقواعد التشغيل التلقائي ودلائل المبادئ والمصنفات وقوائم المشاهدة. |
| 3. إعداد بنية عبر مساحة العمل | إذا كانت بيئتك تتطلب مساحات عمل متعددة، يمكنك الآن إعدادها كجزء من التوزيع. في هذه المقالة، ستتعرف على كيفية إعداد Microsoft Sentinel لتوسيعه عبر مساحات عمل ومستأجرين متعددين. |
| 4. تمكين تحليلات سلوك المستخدم والكيان (UEBA) | تمكين واستخدام ميزة UEBA لتبسيط عملية التحليل. |
| 5. إعداد استبقاء البيانات وأرشيفها | قم بإعداد استبقاء البيانات وأرشيفها، للتأكد من أن مؤسستك تحتفظ بالبيانات المهمة على المدى الطويل. |
ضبط ومراجعة: قائمة اختيار لما بعد النشر
راجع قائمة التحقق بعد التوزيع لمساعدتك على التأكد من أن عملية التوزيع تعمل كما هو متوقع، وأن محتوى الأمان الذي قمت بنشره يعمل ويحمي مؤسستك وفقا لاحتياجاتك وحالات الاستخدام الخاصة بك.
عادة ما يتم تنفيذ مرحلة الضبط والمراجعة بواسطة مهندس SOC أو الأدوار ذات الصلة.
| الخطوة | الإجراءات |
|---|---|
| ✅مراجعة الحوادث وعملية الحوادث | - تحقق مما إذا كانت الحوادث وعدد الحوادث التي تراها تعكس ما يحدث بالفعل في بيئتك. - تحقق مما إذا كانت عملية الحوادث الخاصة ب SOC تعمل على معالجة الحوادث بكفاءة: هل قمت بتعيين أنواع مختلفة من الحوادث إلى طبقات/طبقات مختلفة من SOC؟ تعرف على المزيد حول كيفية التنقل والتحقيق في الحوادث وكيفية العمل مع مهام الحوادث. |
| ✅مراجعة قواعد التحليلات وضبطها | - استنادا إلى مراجعة الحدث، تحقق مما إذا كان يتم تشغيل قواعد التحليلات الخاصة بك كما هو متوقع، وما إذا كانت القواعد تعكس أنواع الحوادث التي تهتم بها. - التعامل مع الإيجابيات الخاطئة، إما باستخدام الأتمتة أو عن طريق تعديل قواعد التحليلات المجدولة. - يوفر Microsoft Sentinel قدرات ضبط مضمنة لمساعدتك في تحليل قواعد التحليلات الخاصة بك. راجع هذه الرؤى المضمنة ونفذ التوصيات ذات الصلة. |
| ✅مراجعة قواعد التشغيل التلقائي ودلائل المبادئ | - على غرار قواعد التحليلات، تحقق من أن قواعد التشغيل التلقائي الخاصة بك تعمل كما هو متوقع، وتعكس الحوادث التي تهتم بها وتهتم بها. - تحقق مما إذا كانت أدلة المبادئ تستجيب للتنبيهات والحوادث كما هو متوقع. |
| ✅إضافة بيانات إلى قوائم المشاهدة | تحقق من أن قوائم المشاهدة محدثة. إذا حدثت أي تغييرات في بيئتك، مثل المستخدمين الجدد أو حالات الاستخدام، فقم بتحديث قوائم المشاهدة وفقا لذلك. |
| ✅مراجعة مستويات الالتزام | راجع مستويات الالتزام التي قمت بإعدادها في البداية، وتحقق من أن هذه المستويات تعكس التكوين الحالي. |
| ✅تعقب تكاليف الاستيعاب | لتتبع تكاليف الاستيعاب، استخدم أحد هذه المصنفات: - يوفر مصنف تقرير استخدام مساحة العمل إحصائيات استهلاك البيانات والتكلفة والاستخدام لمساحة العمل. يعطي المصنف حالة استيعاب بيانات مساحة العمل ومقدار البيانات المجانية القابلة للفوترة. يمكنك استخدام منطق المصنف لمراقبة استيعاب البيانات والتكاليف، وإنشاء طرق عرض مخصصة وتنبيهات مستندة إلى القواعد. - يوفر مصنف تكلفة Microsoft Sentinel عرضا أكثر تركيزا لتكاليف Microsoft Sentinel، بما في ذلك بيانات الاستيعاب والاستبقاء، وبيانات الاستيعاب لمصادر البيانات المؤهلة، ومعلومات فوترة Logic Apps، والمزيد. |
| ✅ضبط قواعد تجميع البيانات (DCRs) | - تحقق من أن DCRs تعكس احتياجات استيعاب البيانات وحالات الاستخدام. - إذا لزم الأمر، فقم بتنفيذ تحويل وقت الاستيعاب لتصفية البيانات غير ذات الصلة حتى قبل تخزينها لأول مرة في مساحة العمل الخاصة بك. |
| ✅التحقق من قواعد التحليلات مقابل إطار عمل MITRE | تحقق من تغطية MITRE في صفحة Microsoft Sentinel MITRE: اعرض الاكتشافات النشطة بالفعل في مساحة العمل الخاصة بك، وتلك المتوفرة لك لتكوينها، لفهم تغطية الأمان لمؤسستك، استنادا إلى التكتيكات والتقنيات من إطار عمل MITRE ATT&CK®. |
| ✅البحث عن نشاط مشبوه | تأكد من أن SOC الخاص بك لديه عملية تتبع استباقية للتهديدات. التتبع هو عملية يبحث فيها محللو الأمان عن التهديدات غير المكتشفة والسلوكيات الضارة. من خلال إنشاء فرضية والبحث في البيانات والتحقق من صحة هذه الفرضية، فإنها تحدد ما يجب العمل عليه. يمكن أن تتضمن الإجراءات إنشاء اكتشافات جديدة أو معلومات ذكية جديدة عن التهديدات أو تدوير حادث جديد. |
المقالات ذات الصلة
في هذه المقالة، راجعت الأنشطة في كل مرحلة من المراحل التي تساعدك على نشر Microsoft Sentinel.
استنادا إلى المرحلة التي أنت فيها، اختر الخطوات التالية المناسبة:
- التخطيط والتحضير - المتطلبات الأساسية لنشر Azure Sentinel
- النشر - تمكين Microsoft Sentinel والميزات والمحتوى الأولي
- ضبط ومراجعة - التنقل والتحقيق في الحوادث في Microsoft Sentinelالتنقل والتحقيق في الحوادث في Microsoft Sentinel
عند الانتهاء من نشر Microsoft Sentinel، استمر في استكشاف قدرات Microsoft Sentinel من خلال مراجعة البرامج التعليمية التي تغطي المهام الشائعة:
- إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics باستخدام Microsoft Sentinel باستخدام Azure Monitor Agent
- تكوين نهج استبقاء البيانات
- الكشف عن التهديدات باستخدام قواعد التحليلات
- التحقق تلقائيا من معلومات سمعة عنوان IP وتسجيلها في الحوادث
- الاستجابة للتهديدات باستخدام الأتمتة
- استخراج كيانات الحادث مع إجراء غير أصلي
- التحقيق مع UEBA
- إنشاء ومراقبة ثقة معدومة