Implementatiehandleiding voor Microsoft Sentinel
In dit artikel worden de activiteiten geïntroduceerd die u helpen bij het plannen, implementeren en afstemmen van uw Microsoft Sentinel-implementatie.
Overzicht plannen en voorbereiden
In deze sectie worden de activiteiten en vereisten geïntroduceerd die u helpen bij het plannen en voorbereiden voordat u Microsoft Sentinel implementeert.
De plan- en voorbereidingsfase wordt doorgaans uitgevoerd door een SOC-architect of gerelateerde rollen.
| Stap | DETAILS |
|---|---|
| 1. Overzicht en vereisten plannen en voorbereiden | Controleer de vereisten voor de Azure-tenant. |
| 2. Werkruimtearchitectuur plannen | Ontwerp uw Microsoft Sentinel-werkruimte. Overweeg parameters zoals: - Of u nu één tenant of meerdere tenants gebruikt - Alle nalevingsvereisten die u hebt voor het verzamelen en opslaan van gegevens - Toegang tot Microsoft Sentinel-gegevens beheren Bekijk deze artikelen: 1. Best practices controleren 2. Werkruimtearchitectuur ontwerpen 3. Voorbeeldwerkruimteontwerpen bekijken 4. Voorbereiden op meerdere werkruimten |
| 3. Prioriteit geven aan gegevensconnectors | Bepaal welke gegevensbronnen u nodig hebt en de vereisten voor de gegevensgrootte om u te helpen het budget en de tijdlijn van uw implementatie nauwkeurig te projecteren. U kunt deze informatie bepalen tijdens uw bedrijfsgebruiksscenariobeoordeling of door een huidige SIEM te evalueren die u al hebt. Als u al een SIEM hebt, analyseert u uw gegevens om te begrijpen welke gegevensbronnen de meeste waarde bieden en moeten worden opgenomen in Microsoft Sentinel. |
| 4. Rollen en machtigingen plannen | Gebruik op rollen gebaseerd toegangsbeheer (RBAC) van Azure om rollen te maken en toe te wijzen binnen uw beveiligingsteam om de juiste toegang te verlenen tot Microsoft Sentinel. De verschillende rollen geven u gedetailleerde controle over wat Microsoft Sentinel-gebruikers kunnen zien en doen. Azure-rollen kunnen rechtstreeks in de Microsoft Sentinel-werkruimte worden toegewezen, of in een abonnement of resourcegroep waartoe de werkruimte behoort, waarvan Microsoft Sentinel deel uitmaakt. |
| 5. Plankosten | Begin met het plannen van uw budget, rekening houdend met de kosten voor elk gepland scenario. Zorg ervoor dat uw budget de kosten van gegevensopname dekt voor zowel Microsoft Sentinel als Azure Log Analytics, eventuele playbooks die worden geïmplementeerd, enzovoort. |
Implementatieoverzicht
De implementatiefase wordt doorgaans uitgevoerd door een SOC-analist of gerelateerde rollen.
| Stap | DETAILS |
|---|---|
| 1. Microsoft Sentinel, status en controle en inhoud inschakelen | Schakel Microsoft Sentinel in, schakel de status- en controlefunctie in en schakel de oplossingen en inhoud in die u hebt geïdentificeerd volgens de behoeften van uw organisatie. |
| 2. Inhoud configureren | Configureer de verschillende typen beveiligingsinhoud van Microsoft Sentinel, waarmee u beveiligingsrisico's in uw systemen kunt detecteren, bewaken en erop kunt reageren: gegevensconnectors, analyseregels, automatiseringsregels, playbooks, werkmappen en volglijsten. |
| 3. Een architectuur voor meerdere werkruimten instellen | Als uw omgeving meerdere werkruimten vereist, kunt u deze nu instellen als onderdeel van uw implementatie. In dit artikel leert u hoe u Microsoft Sentinel instelt om meerdere werkruimten en tenants uit te breiden. |
| 4. UEBA (User and Entity Behavior Analytics) inschakelen | Schakel de UEBA-functie in en gebruik deze om het analyseproces te stroomlijnen. |
| 5. Gegevensretentie en -archief instellen | Stel gegevensretentie en archivering in om ervoor te zorgen dat uw organisatie de gegevens bewaart die op de lange termijn belangrijk zijn. |
Afstemmen en controleren: Controlelijst voor post-implementatie
Bekijk de controlelijst na de implementatie om ervoor te zorgen dat uw implementatieproces werkt zoals verwacht en dat de beveiligingsinhoud die u hebt geïmplementeerd, werkt en beveiligt uw organisatie op basis van uw behoeften en gebruiksscenario's.
De fase fine tune en review wordt doorgaans uitgevoerd door een SOC-engineer of gerelateerde rollen.
| Stap | Acties |
|---|---|
| ✅Incidenten en incidentproces controleren | - Controleer of de incidenten en het aantal incidenten dat u ziet, aangeven wat er daadwerkelijk gebeurt in uw omgeving. - Controleer of het incidentproces van uw SOC op efficiënte wijze incidenten verwerkt: Hebt u verschillende typen incidenten toegewezen aan verschillende lagen/lagen van de SOC? Meer informatie over het navigeren en onderzoeken van incidenten en het werken met incidenttaken. |
| ✅Analyseregels controleren en verfijnen | - Controleer op basis van uw incidentbeoordeling of uw analyseregels worden geactiveerd zoals verwacht en of de regels overeenkomen met de typen incidenten waarin u geïnteresseerd bent. - Fout-positieven afhandelen door automatisering te gebruiken of door geplande analyseregels te wijzigen. - Microsoft Sentinel biedt ingebouwde mogelijkheden voor het afstemmen van uw analyseregels. Bekijk deze ingebouwde inzichten en implementeer relevante aanbevelingen. |
| ✅Automatiseringsregels en playbooks controleren | - Controleer, net als bij analyseregels, of uw automatiseringsregels werken zoals verwacht, en geef de incidenten weer waarover u zich zorgen maakt en waarin u geïnteresseerd bent. - Controleer of uw playbooks reageren op waarschuwingen en incidenten zoals verwacht. |
| ✅Gegevens toevoegen aan volglijsten | Controleer of uw volglijsten up-to-date zijn. Als er wijzigingen zijn aangebracht in uw omgeving, zoals nieuwe gebruikers of use cases, werkt u de volglijsten dienovereenkomstig bij. |
| ✅Toezeggingslagen controleren | Controleer de toezeggingslagen die u in eerste instantie hebt ingesteld en controleer of deze lagen overeenkomen met uw huidige configuratie. |
| ✅Opnamekosten bijhouden | Gebruik een van deze werkmappen om de opnamekosten bij te houden: - De werkmap Werkruimtegebruiksrapport biedt de gegevensverbruik, kosten en gebruiksstatistieken van uw werkruimte. De werkmap geeft de gegevensopnamestatus van de werkruimte en de hoeveelheid gratis en factureerbare gegevens. U kunt de werkmaplogica gebruiken om gegevensopname en -kosten te bewaken en aangepaste weergaven en waarschuwingen op basis van regels te maken. - De werkmap Microsoft Sentinel Cost geeft een meer gerichte weergave van de kosten van Microsoft Sentinel, waaronder opname- en retentiegegevens, opnamegegevens voor in aanmerking komende gegevensbronnen, logic apps-factureringsgegevens en meer. |
| ✅Regels voor gegevensverzameling verfijnen (DCR's) | - Controleer of uw DCR's overeenkomen met uw gegevensopnamebehoeften en gebruiksvoorbeelden. - Implementeer indien nodig opname-tijdtransformatie om irrelevante gegevens te filteren, zelfs voordat deze voor het eerst in uw werkruimte worden opgeslagen. |
| ✅Analyseregels controleren op MITRE-framework | Controleer uw MITRE-dekking op de pagina Microsoft Sentinel MITRE: Bekijk de detecties die al actief zijn in uw werkruimte en de detecties die u kunt configureren, om inzicht te krijgen in de beveiligingsdekking van uw organisatie, op basis van de tactieken en technieken van het MITRE ATT&CK-framework®. |
| ✅Opsporing van verdachte activiteiten | Zorg ervoor dat uw SOC een proces heeft voor proactieve opsporing van bedreigingen. Opsporing is een proces waarbij beveiligingsanalisten niet-gedetecteerde bedreigingen en schadelijk gedrag zoeken. Door een hypothese te maken, gegevens te doorzoeken en die hypothese te valideren, bepalen ze waar ze op moeten reageren. Acties kunnen bestaan uit het maken van nieuwe detecties, nieuwe bedreigingsinformatie of het opzetten van een nieuw incident. |
Verwante artikelen:
In dit artikel hebt u de activiteiten in elk van de fasen bekeken waarmee u Microsoft Sentinel kunt implementeren.
Afhankelijk van de fase waarin u zich bevindt, kiest u de juiste volgende stappen:
- Plannen en voorbereiden : vereisten voor het implementeren van Azure Sentinel
- Implementeren - Microsoft Sentinel en initiële functies en inhoud inschakelen
- Afstemmen en beoordelen : navigeren en onderzoeken van incidenten in Microsoft SentinelNavigate en incidenten onderzoeken in Microsoft Sentinel
Wanneer u klaar bent met uw implementatie van Microsoft Sentinel, kunt u de mogelijkheden van Microsoft Sentinel blijven verkennen door zelfstudies te bekijken die betrekking hebben op algemene taken:
- Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van Azure Monitor Agent
- Beleid voor gegevensretentie configureren
- Bedreigingen detecteren met behulp van analyseregels
- Reputatiegegevens van IP-adressen automatisch controleren en vastleggen in incidenten
- Reageren op bedreigingen met automatisering
- Incidententiteiten extraheren met een niet-systeemeigen actie
- Onderzoeken met UEBA
- Zero Trust bouwen en bewaken