Ajánlott eljárások a Microsoft Sentinelhez
Az ajánlott eljárásokkal kapcsolatos útmutatást a Microsoft Sentinel műszaki dokumentációjában találja. Ez a cikk a Microsoft Sentinel üzembe helyezése, kezelése és használata során használható néhány kulcsfontosságú útmutatást mutat be.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A Microsoft Sentinel beállítása
Kezdje a Microsoft Sentinel üzembe helyezési útmutatójával. Az üzembe helyezési útmutató a Microsoft Sentinel üzembe helyezésének megtervezéséhez, üzembe helyezéséhez és finomhangolásához szükséges magas szintű lépéseket ismerteti. Az útmutatóban válassza ki a megadott hivatkozásokat, hogy részletes útmutatást találjon az üzembe helyezés egyes szakaszaihoz.
A Microsoft biztonsági szolgáltatás integrációi
A Microsoft Sentinelt azok az összetevők támogatják, amelyek adatokat küldenek a munkaterületre, és más Microsoft-szolgáltatások való integráció révén erősebbek lesznek. A termékekbe, például Felhőhöz készült Microsoft Defender Alkalmazásokba, Végponthoz készült Microsoft Defender és Microsoft Defender for Identitybe betöltött naplók lehetővé teszik, hogy ezek a szolgáltatások észleléseket hozzanak létre, és ezeket az észleléseket a Microsoft Sentinelnek is biztosítják. A naplók közvetlenül a Microsoft Sentinelbe is betölthetők, így teljesebb képet kaphatnak az eseményekről és incidensekről.
Az alábbi képen például az látható, hogy a Microsoft Sentinel hogyan használja fel az adatokat más Microsoft-szolgáltatások és többfelhős és partnerplatformokról, hogy lefedettséget biztosítson a környezet számára:
A Microsoft Sentinel a riasztások és naplók más forrásokból való betöltésén kívül a következőket is tartalmazza:
- A gépi tanulással betöltött információkat használja, amelyek jobb eseménykorrelációt, riasztási aggregációt, anomáliadetektálást és egyebeket biztosítanak.
- Interaktív vizualizációkat készít és jelenít meg munkafüzeteken keresztül, amelyek trendeket, kapcsolódó információkat és a rendszergazdai feladatokhoz és vizsgálatokhoz használt kulcsfontosságú adatokat mutatnak be.
- Forgatókönyveket futtat a riasztások kezeléséhez, az információk gyűjtéséhez, az elemeken végzett műveletek végrehajtásához és az értesítések különböző platformokra való küldéséhez.
- Integrálható olyan partnerplatformokkal, mint a ServiceNow és a Jira, hogy alapvető szolgáltatásokat nyújtson az SOC-csapatok számára.
- Betölti és lekéri a fenyegetésfelderítési platformokról származó gazdagító hírcsatornákat, hogy értékes adatokat hozzon a vizsgálathoz.
További információ a más szolgáltatásokból vagy szolgáltatókból származó adatok integrálásáról: Microsoft Sentinel adatösszekötők.
Fontolja meg a Microsoft Sentinel előkészítését a Microsoft Defender portálra, hogy egyesítse a Microsoft Defender XDR funkcióit, például az incidenskezelést és a speciális vadászatot. További információért tekintse át az alábbi cikkeket:
- A Microsoft Sentinel Csatlakozás a Microsoft Defender XDR-be
- Microsoft Sentinel a Microsoft Defender portálon
Incidenskezelés és -reagálás
Az alábbi képen az incidenskezelés és a válaszfolyamat ajánlott lépései láthatók.
Az alábbi táblázat magas szintű leírásokat tartalmaz a Microsoft Sentinel-funkciók incidenskezeléshez és -reagáláshoz való használatához. További információ: Incidensek vizsgálata a Microsoft Sentinellel.
Funkció | Ajánlott eljárások |
---|---|
Incidensek | A létrehozott incidensek az Incidensek oldalon jelennek meg, amely a triage és a korai vizsgálat központi helyszíne. Az Incidensek oldal felsorolja a címet, a súlyosságot és a kapcsolódó riasztásokat, naplókat és minden érdekes entitást. Az incidensek gyors ugrást biztosítanak az összegyűjtött naplókba és az incidenshez kapcsolódó eszközökbe is. |
Vizsgálati gráf | Az Incidensek oldal együttműködik a Vizsgálati gráfmal, amely egy interaktív eszköz, amellyel a felhasználók egy riasztást vizsgálva és részletesen megvizsgálva jeleníthetik meg a támadás teljes hatókörét. A felhasználók ezután létrehozhatnak egy eseménysort, és felfedezhetik a fenyegetéslánc mértékét. Fedezze fel a legfontosabb entitásokat, például fiókokat, URL-címeket, IP-címet, gazdagépneveket, tevékenységeket, idősorokat stb. Ezen adatok segítségével megtudhatja, hogy van-e hamis pozitív a kezében, ebben az esetben közvetlenül is lezárhatja az incidenst. Ha azt tapasztalja, hogy az incidens valódi pozitív, közvetlenül az Incidensek oldalról műveletet hajthat végre a naplók, entitások vizsgálatához és a fenyegetéslánc felderítéséhez. Miután azonosította a fenyegetést, és létrehozott egy cselekvési tervet, használja a Microsoft Sentinel és más Microsoft biztonsági szolgáltatások egyéb eszközeit a vizsgálat folytatásához. |
Információvizualizáció | Először tekintse meg a Microsoft Sentinel áttekintési irányítópultját, hogy képet kapjon a szervezet biztonsági helyzetéről, és elemezhesse a környezetében zajló eseményeket. További információkért lásd az összegyűjtött adatok vizualizációja című témakört. A Microsoft Sentinel áttekintési oldalán található információk és trendek mellett a munkafüzetek értékes vizsgálati eszközök. A Vizsgálat Elemzések munkafüzettel például megvizsgálhat bizonyos incidenseket a társított entitásokkal és riasztásokkal együtt. Ez a munkafüzet lehetővé teszi az entitások mélyebb megismerését a kapcsolódó naplók, műveletek és riasztások megjelenítésével. |
Veszélyforrás-keresés | A kiváltó okok kivizsgálása és keresése során futtassa a beépített veszélyforrás-keresési lekérdezéseket, és ellenőrizze az eredményeket a biztonsági rések bármilyen jelére vonatkozóan. További információ: Fenyegetéskeresés a Microsoft Sentinelben. A vizsgálat során vagy a fenyegetés elhárításához és megszüntetéséhez szükséges lépések elvégzése után használja a livestreamet. A Livestream segítségével valós időben figyelheti, hogy vannak-e maradandó kártékony események, vagy hogy a rosszindulatú események továbbra is folytatódnak-e. |
Entitás viselkedése | Az entitások viselkedése a Microsoft Sentinelben lehetővé teszi a felhasználók számára, hogy áttekintse és kivizsgálják az adott entitásokkal kapcsolatos műveleteket és riasztásokat, például a fiókokat és a gazdagépneveket. További információk: - Felhasználói és entitási viselkedéselemzés (UEBA) engedélyezése a Microsoft Sentinelben - Incidensek vizsgálata UEBA-adatokkal - Microsoft Sentinel UEBA-bővítési referencia |
Figyelőlisták | Használjon egy figyelőlistát, amely egyesíti a betöltött adatokból és külső forrásokból származó adatokat, például a bővítési adatokat. Létrehozhat például a szervezet vagy a közelmúltban leállított alkalmazottak által használt IP-címtartományok listáját. Az figyelőlisták és forgatókönyvek segítségével bővítő adatokat gyűjthet, például rosszindulatú IP-címeket adhat hozzá a figyelőlistákhoz az észlelés, fenyegetéskeresés és vizsgálatok során. Az incidensek során figyelőlistákkal tárolhatja a vizsgálati adatokat, majd törölheti őket, amikor a vizsgálat befejeztével meggyőződhet arról, hogy a bizalmas adatok nem maradnak láthatók. További információ: Figyelőlisták a Microsoft Sentinelben. |
Rendszeres SOC-tevékenységek végrehajtása
Rendszeresen ütemezze a következő Microsoft Sentinel-tevékenységeket a folyamatos biztonsági ajánlott eljárások biztosítása érdekében:
Napi feladatok
Az incidensek osztályozása és kivizsgálása. Tekintse át a Microsoft Sentinel incidensek oldalát a jelenleg konfigurált elemzési szabályok által létrehozott új incidensek kereséséhez, és kezdjen el kivizsgálni az új incidenseket. További információ: Incidensek vizsgálata a Microsoft Sentinellel.
A keresési lekérdezések és könyvjelzők felfedezése. Fedezze fel az összes beépített lekérdezés eredményeit, és frissítse a meglévő keresési lekérdezéseket és könyvjelzőket. Manuálisan hozzon létre új incidenseket, vagy szükség esetén frissítse a régi incidenseket. További információk:
Elemzési szabályok. Szükség szerint tekintse át és engedélyezze az új elemzési szabályokat, beleértve az újonnan kiadott vagy újonnan elérhető szabályokat is a nemrég csatlakoztatott adatösszekötőkből.
Adatösszekötők. Tekintse át az egyes adatösszekötőktől kapott utolsó napló állapotát, dátumát és időpontját, hogy meggyőződjön az adatok áramlásáról. Ellenőrizze az új összekötőket, és tekintse át a betöltési elemet, hogy a megadott korlátok ne léphetők túl. További információkért tekintse meg az adatgyűjtés ajánlott eljárásait és Csatlakozás adatforrásokat.
Log Analytics-ügynök. Ellenőrizze, hogy a kiszolgálók és munkaállomások aktívan csatlakoznak-e a munkaterülethez, és elhárítja és elhárítja a sikertelen kapcsolatokat. További információkért tekintse meg a Log Analytics-ügynök áttekintését.
Forgatókönyvhibák. Ellenőrizze a forgatókönyvek futási állapotát, és hárítsa el a hibákat. További információ : Oktatóanyag: A fenyegetésekre való reagálás forgatókönyvek és automatizálási szabályok használatával a Microsoft Sentinelben.
Heti feladatok
Megoldások vagy önálló tartalmak tartalomvizsgálata. Szerezze be a telepített megoldásokhoz vagy különálló tartalmakhoz tartozó tartalomfrissítéseket a Content Hubról. Tekintse át a környezet szempontjából értékes új megoldásokat vagy különálló tartalmakat, például elemzési szabályokat, munkafüzeteket, keresési lekérdezéseket vagy forgatókönyveket.
Microsoft Sentinel-naplózás. Tekintse át a Microsoft Sentinel-tevékenységet, és nézze meg, hogy ki frissítette vagy törölte az erőforrásokat, például elemzési szabályokat, könyvjelzőket stb. További információ: Microsoft Sentinel-lekérdezések és -tevékenységek naplózása.
Havi feladatok
Tekintse át a felhasználói hozzáférést. Tekintse át a felhasználók engedélyeit, és ellenőrizze az inaktív felhasználókat. További információ: Engedélyek a Microsoft Sentinelben.
Log Analytics-munkaterület áttekintése. Ellenőrizze, hogy a Log Analytics-munkaterület adatmegőrzési szabályzata továbbra is megfelel-e a szervezet házirendjének. További információ: Adatmegőrzési szabályzat és Az Azure Data Explorer integrálása a hosszú távú naplómegőrzéshez.