Osvědčené postupy pro Microsoft Sentinel
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tato kolekce osvědčených postupů obsahuje pokyny pro použití při nasazování, správě a používání služby Microsoft Sentinel, včetně odkazů na další články, kde najdete další informace.
Důležité
Před nasazením Microsoft Sentinelu zkontrolujte a dokončete aktivity a předpoklady pro předběžné nasazení.
Odkazy na osvědčené postupy
Dokumentace ke službě Microsoft Sentinel má osvědčené postupy v rámci našich článků. Kromě obsahu uvedeného v tomto článku najdete další informace v následujících tématech:
Uživatelé s oprávněními správce:
- Aktivity před nasazením a předpoklady pro nasazení Microsoft Sentinel
- Osvědčené postupy pro architekturu pracovního prostoru Microsoft Sentinel
- Navrhněte svoji architekturu pracovního prostoru Microsoft Sentinel
- Návrhy pracovních prostorů ukázek Microsoft Sentinel
- Osvědčené postupy pro shromažďování dat
- Náklady a fakturace Microsoft Sentinel
- Oprávnění v Microsoft Sentinel
- Ochrana duševního vlastnictví MSSP v Microsoft Sentinel
- Integrace analýzy hrozeb v Microsoft Sentinel
- Auditovat dotazy a aktivity služby Microsoft Sentinel
Analytici:
- Doporučené playbooky
- Zpracovat falešně pozitivní kladné hodnoty v Microsoft Sentinel
- Loven pro hrozby s Microsoft Sentinel
- Běžně používané sešity Sentinel společnosti Microsoft
- Integrovaná detekce hrozeb
- Vytváření vlastních analytických pravidel pro detekci hrozeb
- Proaktivní vyhledávání bezpečnostních hrozeb s využitím aplikace Jupyter Notebook
Další informace najdete také v našem videu: architekt SecOps pro úspěch: osvědčené postupy pro nasazení Microsoft Sentinel
Pravidelné SOC aktivity k provedení
Pravidelně Naplánujte následující ověřovací aktivity společnosti Microsoft, abyste zajistili, že budou osvědčené postupy zabezpečení:
Každodenní úlohy
Třídění a vyšetřování incidentů. Na stránce incidenty Microsoft Sentinel se můžete podívat na nové incidenty vygenerované aktuálně nakonfigurovanými analytickými pravidly a zahájit šetření všech nových incidentů. Další informace najdete v tématu kurz: prozkoumání incidentů pomocí nástroje Microsoft Sentinel.
Prozkoumejte lovecké dotazy a záložky. Prozkoumejte výsledky pro všechny integrované dotazy a aktualizujte stávající lovecké dotazy a záložky. Ručně vygenerujte nové incidenty nebo aktualizujte staré incidenty, pokud jsou k dispozici. Další informace naleznete v tématu:
Analytická pravidla. Zkontrolujte a podle potřeby povolte nová analytická pravidla, včetně nově vydaných nebo nově dostupných pravidel z nedávno připojených datových konektorů.
Datové konektory. Zkontrolujte stav, datum a čas posledního přijatého protokolu z jednotlivých datových konektorů, abyste zajistili tok dat. Zkontrolujte nové konektory a zkontrolujte ingestování, abyste zajistili překročení nastavených limitů. další informace najdete v tématech osvědčené postupy shromažďování dat a Připojení zdroje dat.
Agent Log Analytics. Ověřte, že jsou servery a pracovní stanice aktivně připojené k pracovnímu prostoru, a vyřešte problémy a opravte všechna neúspěšná připojení. Další informace najdete v tématu Přehled agenta Log Analytics.
PlayBook selhání. Ověřte, že PlayBook spouští stavy a vyřešte případné chyby. Další informace najdete v tématu kurz: použití playbooky s pravidly automatizace v Microsoft Sentinel.
Týdenní úkoly
Aktualizuje sešit. Ověřte, jestli některé sešity mají aktualizace, které je potřeba nainstalovat. Další informace najdete v tématu běžně používané sešity s ověřovacími informacemi společnosti Microsoft.
kontrola úložiště GitHub Microsoft Sentinel. projděte si úložiště Microsoft Sentinel GitHub , abyste se seznámili s tím, jestli existují nové nebo aktualizované prostředky hodnoty pro vaše prostředí, jako jsou analytická pravidla, sešity, lovecké dotazy nebo playbooky.
Auditování Sentinel společnosti Microsoft. Zkontrolujte aktivitu Microsoft Sentinel a zjistěte, kdo má aktualizované nebo odstraněné prostředky, jako jsou analytická pravidla, záložky atd. Další informace najdete v tématu auditování dotazů a aktivit služby Microsoft Sentinel.
Měsíční úkoly
Zkontrolujte přístup uživatelů. Zkontrolujte oprávnění pro uživatele a zkontrolujte, jestli neaktivním uživatelům. Další informace najdete v tématu oprávnění v Microsoft Sentinel.
Kontrola pracovního prostoru Log Analytics. Zkontrolujte, jestli zásady uchovávání dat v pracovním prostoru Log Analytics stále odpovídají zásadám vaší organizace. Další informace najdete v tématu zásady uchovávání dat a integrace služby Azure Průzkumník dat pro dlouhodobé uchovávání protokolů.
Integrace se službami zabezpečení společnosti Microsoft
služba Microsoft Sentinel je oprávněná součástmi, které odesílají data do vašeho pracovního prostoru, a jsou silnější prostřednictvím integrace s jinými služby Microsoft. Všechny protokoly ingestované do produktů, jako je Microsoft Defender pro cloudové aplikace, Microsoft Defender pro koncové body a Microsoft Defender pro identitu, umožňují těmto službám vytvářet detekce a zase jim poskytnou tato zjišťování do Microsoft Sentinel. Protokoly lze také ingestovat přímo do programu Microsoft Sentinel a poskytnout tak úplný přehled o událostech a událostech.
následující obrázek například ukazuje, jak Microsoft Sentinel ingestuje data z jiných služby Microsoft a partnerských platforem a poskytuje pokrytí pro vaše prostředí:
V případě více než ingestování výstrah a protokolů z jiných zdrojů je také možné, že Microsoft Sentinel:
- Používá informace, které ingestuje se službou Machine Learning , která umožňuje lepší korelaci událostí, agregaci výstrah, detekci anomálií a další.
- Sestavuje a prezentuje interaktivní vizuály prostřednictvím sešitů, zobrazuje trendy, související informace a klíčová data používaná pro úlohy a vyšetřování správců.
- Spustí playbooky , aby se jednalo o výstrahy, shromažďování informací, provádění akcí u položek a odesílání oznámení na různé platformy.
- Integruje se s partnerskými platformami, jako jsou ServiceNow a JIRA, a poskytuje tak základní služby pro SOC týmy.
- Ingestuje a načítá informační kanály pro obohacení z platforem pro analýzy hrozeb , aby přinesla cenná data pro zkoumání.
Správa incidentů a reakce na ně
Následující obrázek ukazuje doporučené kroky v procesu správy incidentů a odpovědí.
V následujících částech najdete nejdůležitější popisy, jak používat funkce Microsoft Sentinel pro správu incidentů a reakci v průběhu celého procesu. Další informace najdete v tématu kurz: prozkoumání incidentů pomocí nástroje Microsoft Sentinel.
Použití stránky incidenty a grafu šetření
Spusťte jakýkoli proces třídění pro nové incidenty na stránce incidenty Microsoft Sentinel v nástroji Microsoft Sentinel a v grafu šetření.
Seznamte se s klíčovými entitami, jako jsou účty, adresy URL, IP adresa, názvy hostitelů, aktivity, časová osa a další. Tato data vám pomůžou pochopit, jestli máte na ruce falešně pozitivní hodnotu . v takovém případě můžete incident uzavřít přímo.
Všechny vygenerované incidenty se zobrazí na stránce incidenty , která slouží jako centrální umístění pro třídění a prvotní šetření. Stránka incidenty obsahuje název, závažnost a související výstrahy, protokoly a libovolné entity, které vás zajímají. Incidenty také poskytují rychlý přechod na shromážděné protokoly a všechny nástroje související s incidentem.
Stránka incidenty spolupracuje s grafem šetření a interaktivním nástrojem, který umožňuje uživatelům prozkoumat a podrobně hloubku na výstrahu a zobrazit tak úplný rozsah útoku. Uživatelé pak mohou vytvořit časovou osu událostí a zjistit rozsah řetězce hrozby.
Pokud zjistíte, že incident je pravdivé kladné, proveďte akci přímo ze stránky incidenty k prozkoumání protokolů, entit a prozkoumání řetězce hrozeb. Po zjištění hrozby a vytvoření plánu akce použijte další nástroje v programu Microsoft Sentinel a Další služby Microsoft Security , abyste mohli pokračovat v šetření.
Zpracování incidentů pomocí sešitů
Kromě vizualizace a zobrazování informací a trendůjsou sešity s ověřovacími informacemi společnosti Microsoft cenné nástroje pro zkoumání.
můžete například použít vyšetřovací Přehledy sešit a prozkoumat konkrétní incidenty spolu s případnými přidruženými entitami a výstrahami. Tento sešit vám umožní podrobně hlouběji do entit díky zobrazení souvisejících protokolů, akcí a výstrah.
Zpracování incidentů díky lovu hrozeb
Při zkoumání a hledání hlavních příčin můžete spustit integrované dotazy na lovecké hrozby a výsledky kontroly pro všechny indikátory ohrožení.
Během šetření nebo po přijetí kroků k nápravě a eradikaci hrozby použijte živě k monitorování v reálném čase, ať už nedochází ke zmírnění škodlivých událostí, nebo pokud pořád pokračuje škodlivá událost.
Zpracování incidentů s chováním entit
Chování entit v rámci Microsoft Sentinel umožňuje uživatelům kontrolovat a zkoumat akce a výstrahy pro konkrétní entity, jako je třeba vyšetřování účtů a názvů hostitelů. Další informace naleznete v tématu:
- Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel
- Prozkoumat incidenty pomocí UEBA dat
- Reference k rozšíření Microsoft Sentinel UEBA obohacení
Zpracování incidentů pomocí watchlists a analýzy hrozeb
Aby bylo možné maximalizovat detekci hrozeb, ujistěte se, že používáte datové konektory Threat Intelligence k ingestování indikátorů ohrožení:
- Připojení zdroje dat vyžadované výstrahami fúze a čř pro mapování čř
- Příjem ukazatelů z platforem TAXII a Tip
Používejte indikátory kompromisů v analytických pravidlech, pokud se jedná o lovecké hrozby, šetření protokolů nebo generování dalších incidentů.
Použijte seznamu ke zhlédnutí, který kombinuje data z přijatých dat a externích zdrojů, jako jsou například data o obohacení. Můžete například vytvořit seznam rozsahů IP adres, které vaše organizace používá nebo nedávno ukončila zaměstnance. Pomocí watchlists s playbooky Shromážděte data o obohacení, jako je například přidání škodlivých IP adres do watchlists pro použití během zjišťování, lov hrozeb a vyšetřování.
Během incidentu použijte watchlists k tomu, aby obsahovala data pro šetření, a po dokončení šetření je odstraňte, aby se zajistilo, že citlivá data nezůstanou v zobrazení.
Další kroky
Chcete-li začít s nástrojem Microsoft Sentinel, přečtěte si téma: