Guida alla distribuzione per Microsoft Sentinel
Questo articolo presenta le attività che consentono di pianificare, distribuire e ottimizzare la distribuzione di Microsoft Sentinel.
Pianificare e preparare la panoramica
Questa sezione presenta le attività e i prerequisiti che consentono di pianificare e preparare prima di distribuire Microsoft Sentinel.
La fase di pianificazione e preparazione viene in genere eseguita da un architetto SOC o da ruoli correlati.
| Procedi | Dettagli |
|---|---|
| 1. Pianificare e preparare la panoramica e i prerequisiti | Esaminare i prerequisiti del tenant di Azure. |
| 2. Pianificare l'architettura dell'area di lavoro | Progettare l'area di lavoro di Microsoft Sentinel. Considerare i parametri, ad esempio: - Indica se si userà un singolo tenant o più tenant - Tutti i requisiti di conformità per la raccolta e l'archiviazione dei dati - Come controllare l'accesso ai dati di Microsoft Sentinel Esaminare questi articoli: 1. Esaminare le procedure consigliate 2. Progettare l'architettura dell'area di lavoro 3. Esaminare le progettazioni di aree di lavoro di esempio 4. Preparare più aree di lavoro |
| 3. Assegnare priorità ai connettori dati | Determinare le origini dati necessarie e i requisiti relativi alle dimensioni dei dati per proiettare accuratamente il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già presente. Se si dispone già di una soluzione SIEM, analizzare i dati per comprendere quali origini dati forniscono il massimo valore e devono essere inseriti in Microsoft Sentinel. |
| 4. Pianificare ruoli e autorizzazioni | Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare ruoli all'interno del team operativo della sicurezza per concedere l'accesso appropriato a Microsoft Sentinel. I diversi ruoli consentono di controllare con granularità fine sugli elementi che gli utenti di Microsoft Sentinel possono visualizzare e fare. I ruoli di Azure possono essere assegnati direttamente nell'area di lavoro di Microsoft Sentinel o in una sottoscrizione o in un gruppo di risorse a cui appartiene l'area di lavoro, a cui eredita Microsoft Sentinel. |
| 5. Pianificare i costi | Iniziare a pianificare il budget, considerando le implicazioni relative ai costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dei dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. |
Cenni preliminari sulla distribuzione
La fase di distribuzione viene in genere eseguita da un analista SOC o da ruoli correlati.
| Procedi | Dettagli |
|---|---|
| 1. Abilitare Microsoft Sentinel, integrità e controllo e contenuto | Abilitare Microsoft Sentinel, abilitare la funzionalità integrità e controllo e abilitare le soluzioni e i contenuti identificati in base alle esigenze dell'organizzazione. |
| 2. Configurare il contenuto | Configurare i diversi tipi di contenuto di sicurezza di Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi: connettori dati, regole di analisi, regole di automazione, playbook, cartelle di lavoro e watchlist. |
| 3. Configurare un'architettura tra aree di lavoro | Se l'ambiente richiede più aree di lavoro, è ora possibile configurarle come parte della distribuzione. Questo articolo illustra come configurare Microsoft Sentinel per estendersi tra più aree di lavoro e tenant. |
| 4. Abilitare Analisi del comportamento dell'utente e dell'entità (UEBA) | Abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. |
| 5. Configurare la conservazione e l'archivio dei dati | Configurare la conservazione e l'archivio dei dati per assicurarsi che l'organizzazione mantenga i dati importanti a lungo termine. |
Ottimizzare ed esaminare: Elenco di controllo per la post-distribuzione
Esaminare l'elenco di controllo post-distribuzione per assicurarsi che il processo di distribuzione funzioni come previsto e che il contenuto di sicurezza distribuito funzioni e protea l'organizzazione in base alle esigenze e ai casi d'uso.
La fase di ottimizzazione e revisione viene in genere eseguita da un tecnico SOC o da ruoli correlati.
| Procedi | Azioni |
|---|---|
| ✅Esaminare gli eventi imprevisti e il processo degli eventi imprevisti | - Controllare se gli eventi imprevisti e il numero di eventi imprevisti visualizzati riflettono ciò che sta effettivamente accadendo nell'ambiente. - Controllare se il processo di eventi imprevisti del SOC sta lavorando per gestire in modo efficiente gli eventi imprevisti: sono stati assegnati diversi tipi di eventi imprevisti a livelli/livelli diversi del SOC? Altre informazioni su come esplorare e analizzare gli eventi imprevisti e su come usare le attività degli eventi imprevisti. |
| ✅Esaminare e ottimizzare le regole di analisi | - In base alla verifica degli eventi imprevisti, verificare se le regole di analisi vengono attivate come previsto e se le regole riflettono i tipi di eventi imprevisti a cui si è interessati. - Gestire i falsi positivi, usando l'automazione o modificando le regole di analisi pianificate. - Microsoft Sentinel offre funzionalità di ottimizzazione predefinite che consentono di analizzare le regole di analisi. Esaminare queste informazioni dettagliate predefinite e implementare le raccomandazioni pertinenti. |
| ✅Esaminare le regole di automazione e i playbook | - Analogamente alle regole di analisi, verificare che le regole di automazione funzionino come previsto e riflettano gli eventi imprevisti a cui si è interessati e che si è interessati. - Controllare se i playbook rispondono agli avvisi e agli eventi imprevisti come previsto. |
| ✅Aggiungere dati agli elenchi di controllo | Verificare che le watchlist siano aggiornate. Se sono state apportate modifiche nell'ambiente, ad esempio nuovi utenti o casi d'uso, aggiornare di conseguenza gli elenchi di controllo. |
| ✅Esaminare i livelli di impegno | Esaminare i livelli di impegno configurati inizialmente e verificare che questi livelli riflettano la configurazione corrente. |
| ✅Tenere traccia dei costi di inserimento | Per tenere traccia dei costi di inserimento, usare una di queste cartelle di lavoro: - La cartella di lavoro Report sull'utilizzo dell'area di lavoro fornisce le statistiche sull'utilizzo, sui costi e sull'utilizzo dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento e i costi dei dati e per creare visualizzazioni personalizzate e avvisi basati su regole. - La cartella di lavoro Costo di Microsoft Sentinel offre una visualizzazione più mirata dei costi di Microsoft Sentinel, inclusi i dati di inserimento e conservazione, i dati di inserimento per origini dati idonee, le informazioni di fatturazione di App per la logica e altro ancora. |
| ✅Ottimizzare le regole di raccolta dati | - Verificare che i controller di dominio riflettano le esigenze di inserimento dei dati e i casi d'uso. - Se necessario, implementare la trasformazione in fase di inserimento per filtrare i dati irrilevanti anche prima che vengano archiviati nell'area di lavoro. |
| ✅Controllare le regole di analisi in base al framework MITRE | Controllare la copertura MITRE nella pagina MITRE di Microsoft Sentinel: visualizzare i rilevamenti già attivi nell'area di lavoro e quelli disponibili per la configurazione, per comprendere la copertura della sicurezza dell'organizzazione, in base alle tattiche e alle tecniche del framework MITRE ATT&CK®. |
| ✅Cercare attività sospette | Assicurarsi che il SOC disponga di un processo per la ricerca proattiva delle minacce. La ricerca è un processo in cui gli analisti della sicurezza cercano minacce e comportamenti dannosi non rilevati. Creando un'ipotesi, eseguendo una ricerca nei dati e convalidando tale ipotesi, determinano cosa agire. Le azioni possono includere la creazione di nuovi rilevamenti, la nuova intelligence sulle minacce o la rotazione di un nuovo evento imprevisto. |
Articoli correlati
In questo articolo sono state esaminate le attività in ognuna delle fasi che consentono di distribuire Microsoft Sentinel.
A seconda della fase in cui ci si trova, scegliere i passaggi successivi appropriati:
- Pianificare e preparare - Prerequisiti per la distribuzione di Azure Sentinel
- Distribuire : abilitare Microsoft Sentinel e le funzionalità iniziali e il contenuto
- Ottimizzare ed esaminare : esplorare e analizzare gli eventi imprevisti in Microsoft SentinelNavigate e analizzare gli eventi imprevisti in Microsoft Sentinel
Al termine della distribuzione di Microsoft Sentinel, continuare a esplorare le funzionalità di Microsoft Sentinel esaminando le esercitazioni che illustrano le attività comuni:
- Inoltrare i dati syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure
- Configurare i criteri di conservazione dei dati
- Rilevare le minacce usando le regole di analisi
- Controllare e registrare automaticamente le informazioni sulla reputazione degli indirizzi IP negli eventi imprevisti
- Rispondere alle minacce usando l'automazione
- Estrarre le entità evento imprevisto con un'azione non nativa
- Analizzare con UEBA
- Compilare e monitorare Zero Trust