Najlepsze rozwiązania dotyczące usługi Microsoft Sentinel
Wskazówki dotyczące najlepszych rozwiązań są udostępniane w całej dokumentacji technicznej dotyczącej usługi Microsoft Sentinel. Ten artykuł zawiera najważniejsze wskazówki dotyczące wdrażania i używania usługi Microsoft Sentinel oraz zarządzania nimi.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Konfigurowanie usługi Microsoft Sentinel
Zacznij od przewodnika wdrażania usługi Microsoft Sentinel. Przewodnik wdrażania obejmuje ogólne kroki planowania, wdrażania i dostosowywania wdrożenia usługi Microsoft Sentinel. W tym przewodniku wybierz podane linki, aby znaleźć szczegółowe wskazówki dotyczące każdego etapu wdrożenia.
Integracje usług zabezpieczeń firmy Microsoft
Usługa Microsoft Sentinel jest upoważniona przez składniki wysyłające dane do obszaru roboczego i jest silniejsza dzięki integracji z innymi usługi firmy Microsoft. Wszystkie dzienniki pozyskane do produktów, takich jak aplikacje Microsoft Defender dla Chmury, Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity, umożliwiają tym usługom tworzenie wykryć, a z kolei zapewniają te wykrycia w usłudze Microsoft Sentinel. Dzienniki można również pozyskiwać bezpośrednio do usługi Microsoft Sentinel, aby zapewnić pełniejszy obraz zdarzeń i zdarzeń.
Na przykład na poniższej ilustracji pokazano, jak usługa Microsoft Sentinel pozyskuje dane z innych platform usługi firmy Microsoft i wielochmurowych i partnerskich w celu zapewnienia pokrycia środowiska:
Więcej niż pozyskiwanie alertów i dzienników z innych źródeł, usługa Microsoft Sentinel również:
- Używa informacji pozyskiwanych za pomocą uczenia maszynowego, które umożliwiają lepszą korelację zdarzeń, agregację alertów, wykrywanie anomalii i nie tylko.
- Kompiluje i prezentuje interaktywne wizualizacje za pośrednictwem skoroszytów, pokazując trendy, powiązane informacje i kluczowe dane używane zarówno do zadań administracyjnych, jak i badań.
- Uruchamia podręczniki do działania na alertach, zbierania informacji, wykonywania akcji dotyczących elementów i wysyłania powiadomień do różnych platform.
- Integruje się z platformami partnerskimi, takimi jak ServiceNow i Jira, w celu zapewnienia podstawowych usług dla zespołów SOC.
- Pozyskiwanie i pobieranie źródeł wzbogacania z platform analizy zagrożeń w celu uzyskania cennych danych do badania.
Aby uzyskać więcej informacji na temat integrowania danych z innych usług lub dostawców, zobacz Łączniki danych usługi Microsoft Sentinel.
Rozważ dołączanie usługi Microsoft Sentinel do portalu usługi Microsoft Defender w celu ujednolicenia możliwości za pomocą usługi Microsoft Defender XDR, takich jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Połączenie usługi Microsoft Sentinel do usługi Microsoft Defender XDR
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
Zarządzanie zdarzeniami i reagowanie na nie
Na poniższej ilustracji przedstawiono zalecane kroki w procesie zarządzania zdarzeniami i reagowania.
Poniższa tabela zawiera ogólne opisy dotyczące korzystania z funkcji usługi Microsoft Sentinel na potrzeby zarządzania zdarzeniami i reagowania na nie. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.
| Możliwość | Najlepsze rozwiązanie |
|---|---|
| Zdarzenia | Wszystkie wygenerowane zdarzenia są wyświetlane na stronie Incydenty , która służy jako centralna lokalizacja klasyfikacji i wczesnego badania. Strona Incydenty zawiera tytuł, ważność i powiązane alerty, dzienniki i wszystkie interesujące jednostki. Zdarzenia zapewniają również szybki skok do zebranych dzienników i wszystkich narzędzi związanych ze zdarzeniem. |
| Wykres badania | Strona Incydenty współpracuje z grafem Badanie, interaktywnym narzędziem umożliwiającym użytkownikom eksplorowanie i zagłębianie się w alert w celu wyświetlenia pełnego zakresu ataku. Użytkownicy mogą następnie konstruować oś czasu zdarzeń i odkrywać zakres łańcucha zagrożeń. Odnajdź kluczowe jednostki, takie jak konta, adresy URL, adres IP, nazwy hostów, działania, oś czasu i inne. Użyj tych danych, aby dowiedzieć się, czy masz wynik fałszywie dodatni , w którym przypadku możesz bezpośrednio zamknąć zdarzenie. Jeśli okaże się, że zdarzenie jest prawdziwie dodatnie, podejmij działania bezpośrednio ze strony Incydenty, aby zbadać dzienniki , jednostki i zbadać łańcuch zagrożeń. Po zidentyfikowaniu zagrożenia i utworzeniu planu działania użyj innych narzędzi w usłudze Microsoft Sentinel i innych usługach zabezpieczeń firmy Microsoft, aby kontynuować badanie. |
| Wizualizacja informacji | Aby zwizualizować i uzyskać analizę tego, co dzieje się w danym środowisku, najpierw zapoznaj się z pulpitem nawigacyjnym przeglądu usługi Microsoft Sentinel, aby zapoznać się z stanem zabezpieczeń organizacji. Aby uzyskać więcej informacji, zobacz Wizualizowanie zebranych danych. Oprócz informacji i trendów na stronie przeglądu usługi Microsoft Sentinel skoroszyty są cennymi narzędziami śledczymi. Na przykład użyj skoroszytu Badanie Szczegółowe informacje, aby zbadać określone zdarzenia wraz z skojarzonymi jednostkami i alertami. Ten skoroszyt umożliwia dokładniejsze zagłębienie się w jednostki, wyświetlając powiązane dzienniki, akcje i alerty. |
| Wyszukiwanie zagrożeń | Podczas badania i wyszukiwania głównych przyczyn uruchom wbudowane zapytania wyszukiwania zagrożeń i sprawdź wyniki pod kątem wszelkich wskaźników naruszenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel. Podczas badania lub po podjęciu kroków w celu skorygowania i wyeliminowania zagrożenia użyj transmisji strumieniowej na żywo. Transmisja strumieniowa na żywo umożliwia monitorowanie w czasie rzeczywistym, niezależnie od tego, czy istnieją jakiekolwiek złośliwe zdarzenia, czy też złośliwe zdarzenia są nadal kontynuowane. |
| Zachowanie jednostki | Zachowanie jednostki w usłudze Microsoft Sentinel umożliwia użytkownikom przeglądanie i badanie akcji i alertów dotyczących określonych jednostek, takich jak badanie kont i nazw hostów. Aby uzyskać więcej informacji, zobacz: - Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel - Badanie zdarzeń przy użyciu danych UEBA - Dokumentacja wzbogacenia ueBA usługi Microsoft Sentinel |
| Listy do obejrzenia | Użyj listy kontrolnej, która łączy dane z pozyskanych danych i źródeł zewnętrznych, takich jak dane wzbogacania. Na przykład utwórz listy zakresów adresów IP używanych przez organizację lub niedawno zakończonych pracowników. Użyj list do obejrzenia z podręcznikami, aby zebrać dane wzbogacania, takie jak dodawanie złośliwych adresów IP do list obserwowanych do użycia podczas wykrywania, wyszukiwania zagrożeń i badań. Podczas zdarzenia użyj list kontrolnych, aby zawierać dane badania, a następnie usuń je po zakończeniu badania, aby upewnić się, że poufne dane nie pozostaną w widoku. Aby uzyskać więcej informacji, zobacz Listy do obejrzenia w usłudze Microsoft Sentinel. |
Regularne działania SOC do wykonania
Regularnie zaplanuj następujące działania usługi Microsoft Sentinel, aby zapewnić dalsze najlepsze rozwiązania w zakresie zabezpieczeń:
Codzienne zadania
Klasyfikacja i badanie zdarzeń. Przejrzyj stronę Zdarzenia usługi Microsoft Sentinel, aby sprawdzić, czy nie są generowane nowe zdarzenia wygenerowane przez aktualnie skonfigurowane reguły analizy, i rozpocznij badanie wszelkich nowych zdarzeń. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Eksplorowanie zapytań dotyczących wyszukiwania zagrożeń i zakładek. Zapoznaj się z wynikami wszystkich wbudowanych zapytań i zaktualizuj istniejące zapytania wyszukiwania zagrożeń i zakładki. Ręcznie wygeneruj nowe zdarzenia lub zaktualizuj stare zdarzenia, jeśli ma to zastosowanie. Aby uzyskać więcej informacji, zobacz:
Reguły analizy. Przejrzyj i włącz nowe reguły analizy zgodnie z zastosowaniem, w tym zarówno nowo wydane, jak i nowo dostępne reguły z niedawno połączonych łączników danych.
Łączniki danych. Przejrzyj stan, datę i godzinę ostatniego dziennika odebranego z każdego łącznika danych, aby upewnić się, że dane przepływają. Sprawdź nowe łączniki i przejrzyj pozyskiwanie, aby upewnić się, że nie przekroczono limitów. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zbierania danych i Połączenie źródła danych.
Agent usługi Log Analytics. Sprawdź, czy serwery i stacje robocze są aktywnie połączone z obszarem roboczym, oraz rozwiąż problemy i rozwiąż wszelkie nieudane połączenia. Aby uzyskać więcej informacji, zobacz Omówienie agenta usługi Log Analytics.
Błędy podręcznika. Zweryfikuj stan uruchamiania podręcznika i rozwiąż problemy z błędami. Aby uzyskać więcej informacji, zobacz Samouczek: reagowanie na zagrożenia przy użyciu podręczników z regułami automatyzacji w usłudze Microsoft Sentinel.
Zadania tygodniowe
Przegląd zawartości rozwiązań lub zawartości autonomicznej. Pobierz wszystkie aktualizacje zawartości dla zainstalowanych rozwiązań lub zawartości autonomicznej z centrum zawartości. Przejrzyj nowe rozwiązania lub zawartość autonomiczną, która może być wartością dla danego środowiska, takich jak reguły analizy, skoroszyty, zapytania wyszukiwania zagrożeń lub podręczniki.
Inspekcja usługi Microsoft Sentinel. Przejrzyj działania usługi Microsoft Sentinel, aby zobaczyć, kto zaktualizował lub usunął zasoby, takie jak reguły analizy, zakładki itd. Aby uzyskać więcej informacji, zobacz Audit Microsoft Sentinel queries and activities (Inspekcja zapytań i działań usługi Microsoft Sentinel).
Zadania miesięczne
Przejrzyj dostęp użytkowników. Przejrzyj uprawnienia użytkowników i sprawdź, czy nieaktywni użytkownicy. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.
Przegląd obszaru roboczego usługi Log Analytics. Sprawdź, czy zasady przechowywania danych obszaru roboczego usługi Log Analytics są nadal zgodne z zasadami organizacji. Aby uzyskać więcej informacji, zobacz Zasady przechowywania danych i Integrowanie usługi Azure Data Explorer na potrzeby długoterminowego przechowywania dzienników.