Melacak migrasi Microsoft Azure Sentinel Anda dengan buku kerja

Saat Pusat Operasi Keamanan (SOC) organisasi Anda menangani data dalam jumlah yang terus bertambah, penting untuk merencanakan dan memantau status penyebaran Anda. Meskipun Anda dapat melacak proses migrasi menggunakan alat generik seperti Microsoft Project, Microsoft Excel, Teams, atau Azure DevOps, alat ini tidak spesifik untuk pelacakan migrasi SIEM. Untuk membantu Anda melacak, kami menyediakan buku kerja khusus di Microsoft Sentinel bernama Penyebaran dan Migrasi Microsoft Sentinel.

Buku kerja membantu Anda untuk:

  • Memvisualisasikan kemajuan migrasi
  • Menyebarkan dan melacak sumber data
  • Menyebarkan dan memantau aturan dan insiden analitik
  • Menyebarkan dan menggunakan buku kerja
  • Menyebarkan dan melakukan automasi
  • Menyebarkan dan menyesuaikan analitik perilaku pengguna dan entitas (U E B A)

Artikel ini menjelaskan cara melacak migrasi Anda dengan buku kerja Penyebaran dan Migrasi Microsoft Sentinel, cara menyesuaikan dan mengelola buku kerja, dan cara menggunakan tab buku kerja untuk menyebarkan dan memantau konektor data, analitik, insiden, playbook, aturan otomatisasi, U E B A, dan manajemen data. Pelajari selengkapnya tentang cara menggunakan buku kerja Azure Monitor di Microsoft Sentinel.

Sebarkan konten buku kerja

  1. Di portal Microsoft Azure, pilih Microsoft Azure Sentinel dan pilih Buku kerja.
  2. Dari bilah pencarian, cari migration.
  3. Dari hasil pencarian, pilih buku kerja Penyebaran dan Migrasi Microsoft Sentinel lalu pilih Simpan. Microsoft Sentinel menyebarkan buku kerja dan menyimpan buku kerja di lingkungan Anda.
  4. Untuk menampilkan buku kerja, pilih Buka buku kerja yang disimpan.

Sebarkan daftar tonton

  1. Di repositori GitHub Microsoft Azure Sentinel, pilih folder DeploymentandMigration, dan pilih Sebarkan ke Azure untuk memulai penyebaran templat di Azure.
  2. Sediakan grup sumber daya dan nama ruang kerja Microsoft Azure Sentinel. Screenshot of deploying the watchlist to Azure.
  3. Pilih Tinjau dan buat.
  4. Setelah informasi divalidasi, pilih Buat.

Perbarui daftar tonton dengan tindakan penyebaran dan migrasi

Langkah ini sangat penting untuk proses penyiapan pelacakan. Jika Anda melewati langkah ini, buku kerja tidak akan mencerminkan item untuk pelacakan.

Untuk memperbarui daftar tonton dengan tindakan penyebaran dan migrasi:

  1. Di portal Microsoft Azure, pilih Microsoft Azure Sentinel dan pilih Daftar tonton.
  2. Temukan daftar tonton dengan alias Penyebaran.
  3. Pilih daftar tonton, lalu pilih Perbarui daftar tonton> edit item daftar tonton di kanan bawah. Screenshot of updating watchlist items with deployment and migration actions.
  4. Berikan informasi untuk tindakan yang diperlukan untuk penyebaran dan migrasi, lalu pilih Simpan.

Sekarang Anda dapat menampilkan daftar tonton dalam buku kerja pelacak migrasi. Pelajari cara mengelola daftar tonton.

Selain itu, tim Anda mungkin memperbarui atau menyelesaikan tugas selama proses penyebaran. Untuk mengatasi perubahan ini, Anda dapat memperbarui tindakan yang ada atau menambahkan tindakan baru saat mengidentifikasi kasus penggunaan baru atau menetapkan persyaratan baru. Untuk memperbarui atau menambahkan tindakan, edit daftar tonton Penyebaran yang Anda sebarkan sebelumnya. Untuk menyederhanakan proses, pilih Edit Daftar Tonton Penyebaran di kiri bawah untuk membuka daftar tonton langsung dari buku kerja.

Tampilkan status penyebaran

Untuk menampilkan kemajuan penyebaran dengan cepat, di buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Penyebaran dan gulir ke bawah untuk menemukan Ringkasan kemajuan. Area ini menampilkan status penyebaran, termasuk informasi berikut:

  • Data pelaporan tabel
  • Jumlah data pelaporan tabel
  • Jumlah log yang dilaporkan dan tabel mana yang melaporkan data log
  • Jumlah aturan yang diaktifkan vs. aturan yang tidak disebarkan
  • Buku kerja yang direkomendasikan disebarkan
  • Jumlah total buku kerja yang disebarkan
  • Jumlah total playbook yang disebarkan

Sebarkan dan pantau konektor data

Untuk memantau sumber daya yang disebarkan dan menyebarkan konektor baru, dalam buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Monitor Konektor > Data. Tampilan Monitor mencantumkan:

  • Tren penyerapan saat ini
  • Tabel yang menyerap data
  • Banyak data yang dilaporkan setiap tabel
  • Pelaporan titik akhir dengan Microsoft Monitoring Agent (MMA)
  • Pelaporan titik akhir dengan Azure Monitoring Agent (AMA)
  • Pelaporan titik akhir dengan agen MMA dan AMA
  • Aturan pengumpulan data dalam grup sumber daya dan perangkat yang ditautkan ke aturan
  • Kesehatan konektor data (perubahan dan kegagalan)
  • Log kesehatan dalam rentang waktu yang ditentukan

Screenshot of the workbook's Data Connectors tab Monitor view.

Untuk mengonfigurasi konektor data:

  1. Pilih tampilan Konfigurasi.
  2. Pilih tombol dengan nama konektor yang ingin Anda konfigurasi.
  3. Konfigurasikan konektor di layar status konektor yang terbuka. Jika Anda tidak dapat menemukan konektor yang dibutuhkan, pilih nama konektor untuk membuka galeri konektor atau galeri solusi. Screenshot of the workbook's Configure view.

Sebarkan dan pantau aturan dan insiden analitik

Setelah data dilaporkan di ruang kerja, Anda sekarang dapat mengonfigurasi dan memantau aturan analitik. Di buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Analitik untuk menampilkan semua templat dan daftar aturan yang disebarkan. Tampilan ini menunjukkan aturan mana yang saat ini digunakan dan seberapa sering aturan menghasilkan insiden.

Screenshot of the workbook's Analytics tab.

Jika Anda memerlukan cakupan lainnya, pilih Tinjau cakupan MITRE di bawah tabel di sebelah kiri. Gunakan opsi ini untuk menentukan area mana yang menerima lebih banyak cakupan dan aturan mana yang disebarkan, pada setiap tahap proyek migrasi.

Screenshot of the workbook's MITRE Coverage view.

Setelah aturan analitik yang diinginkan disebarkan dan konektor produk Defender dikonfigurasi untuk mengirim pemberitahuan, Anda dapat memantau pembuatan dan frekuensi insiden di bawah Ringkasan> Penyebaran kemajuan. Area ini menampilkan metrik mengenai pembuatan pemberitahuan berdasarkan produk, judul, dan klasifikasi, untuk menunjukkan kesehatan SOC dan pemberitahuan mana yang paling memerlukan perhatian. Jika pemberitahuan menghasilkan terlalu banyak volume, kembali ke tab Analitik untuk mengubah logika.

Screenshot of the summary of progress under the workbook's Analytics tab.

Menyebarkan dan menggunakan buku kerja

Untuk memvisualisasikan informasi mengenai penyerapan dan deteksi data yang dilakukan Microsoft Azure Sentinel, dalam buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Buku Kerja. Mirip dengan tab Konektor Data, Anda dapat menggunakan tampilan Monitor dan Konfigurasi untuk melihat informasi pemantauan dan konfigurasi.

Berikut adalah beberapa tugas berguna yang bisa Anda lakukan di tab Buku Kerja:

  • Untuk menampilkan daftar semua buku kerja di lingkungan dan banyak buku kerja yang disebarkan, pilih Monitor.

  • Untuk menampilkan buku kerja tertentu dalam buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih buku kerja lalu pilih Buka Buku Kerja yang Dipilih.

    Screenshot of selecting a workbook in the Workbook tab.

  • Jika Anda belum menyebarkan buku kerja, pilih Konfigurasikan untuk menampilkan daftar buku kerja yang umum digunakan dan direkomendasikan. Jika buku kerja tidak tercantum, pilih Buka Galeri Buku Kerja atau Buka Hub Konten untuk menyebarkan buku kerja yang relevan.

    Screenshot of viewing a workbook from the Workbook tab.

Sebarkan dan pantau playbook dan aturan automasi

Setelah mengonfigurasi penyerapan, deteksi, dan visualisasi data, kini Anda dapat melihat automasi. Di buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Automasi untuk menampilkan playbook yang disebarkan, dan untuk melihat playbook mana yang saat ini tersambung ke aturan automasi. Jika aturan automasi ada, buku kerja menyoroti informasi berikut mengenai setiap aturan:

  • Nama
  • Status
  • Tindakan atau tindakan aturan
  • Tanggal terakhir aturan diubah dan pengguna yang mengubah aturan
  • Tanggal pembuatan aturan

Untuk menampilkan, menyebarkan, dan menguji automasi dalam bagian buku kerja saat ini, pilih Sebarkan sumber daya automasi di kiri bawah.

Pelajari tentang kemampuan SOAR Microsoft Sentinel untuk playbook dan untuk aturan automasi.

Screenshot of the workbook's Automation tab.

Sebarkan dan pantau U E B A

Karena pelaporan dan deteksi data terjadi di tingkat entitas, penting untuk memantau perilaku dan tren entitas. Untuk mengaktifkan fitur U E B A dalam Microsoft Azure Sentinel, di buku kerja Penyebaran dan Migrasi Microsoft Sentinel, pilih UEBA. Di sini Anda dapat menyesuaikan garis waktu entitas untuk halaman entitas, dan melihat tabel terkait entitas mana yang diisi dengan data.

Screenshot of the workbook's U E B A tab.

Untuk mengaktifkan U E B A:

  1. Pilih Aktifkan UEBA di atas daftar tabel.
  2. Untuk mengaktifkan U E B A, pilih On.
  3. Pilih sumber data yang ingin Anda gunakan untuk menghasilkan wawasan.
  4. Pilih Terapkan.

Setelah mengaktifkan U E B A, Anda dapat memantau dan memastikan bahwa Microsoft Azure Sentinel menghasilkan data U E B A.

Untuk menyesuaikan garis waktu:

  1. Pilih Sesuaikan Garis Waktu Entitas di atas daftar tabel.
  2. Buat item kustom, atau pilih satu di templat siap pakai.
  3. Untuk menyebarkan templat dan menyelesaikan wizard, pilih Buat.

Pelajari selengkapnya tentang U E B A atau pelajari cara menyesuaikan garis waktu.

Konfigurasikan dan kelola siklus hidup data

Saat Anda menyebarkan atau bermigrasi ke Microsoft Sentinel, penting untuk mengelola penggunaan dan siklus hidup log masuk. Untuk membantu hal ini, dalam buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, pilih Manajemen Data untuk menampilkan dan mengonfigurasi retensi dan pengarsipan tabel.

Screenshot of the workbook's Data Management tab.

Anda dapat melihat informasi mengenai:

  • Tabel yang dikonfigurasi untuk penyerapan log dasar
  • Tabel yang dikonfigurasi untuk penyerapan tingkat analitik
  • Tabel yang dikonfigurasi untuk diarsipkan
  • Tabel pada retensi ruang kerja default

Untuk mengubah kebijakan penyimpanan yang ada untuk tabel:

  1. Pilih tampilan Tabel Retensi Default.
  2. Pilih tabel yang ingin Anda ubah, lalu pilih Perbarui Retensi. Anda dapat mengedit informasi berikut:
    • Retensi saat ini di ruang kerja
    • Retensi saat ini di tingkat arsip
    • Jumlah total hari dari data akan hidup di lingkungan
  3. Edit nilai TotalRetention untuk menetapkan jumlah total hari baru bahwa data harus ada dalam lingkungan.

Nilai ArchiveRetention dihitung dengan mengurangi nilai TotalRetention dari nilai InteractiveRetention. Jika Anda perlu menyesuaikan retensi ruang kerja, perubahan tersebut tidak memengaruhi tabel yang menyertakan arsip dan data yang dikonfigurasi tidak hilang. Jika Anda mengedit nilai InteractiveRetention dan nilai TotalRetention tidak berubah, Azure Log Analytics menyesuaikan retensi arsip untuk mengompensasi perubahan.

Jika Anda lebih suka membuat perubahan di UI, pilih Perbarui Retensi di UI untuk membuka bilah yang relevan.

Pelajari tentang manajemen siklus hidup data.

Mengaktifkan tips dan instruksi migrasi

Untuk membantu proses penyebaran dan migrasi, buku kerja menyertakan tips yang menjelaskan cara menggunakan tab yang berbeda, dan tautan ke sumber daya yang relevan. Tips didasarkan pada dokumentasi migrasi Microsoft Sentinel dan relevan dengan SIEM Anda saat ini. Untuk mengaktifkan tips dan instruksi, dalam buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel, di kanan atas, atur Tips Migrasi dan Instruksi ke Ya.

Screenshot of the workbook's migration tips and instructions.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara melacak migrasi Anda dengan buku kerja Penyebaran dan Migrasi Microsoft Azure Sentinel.