Metodtips för Microsoft Sentinel

Den här samlingen med metodtips ger vägledning när du distribuerar, hanterar och använder Microsoft Sentinel, inklusive länkar till andra artiklar för mer information.

Referenser till bästa praxis

Microsoft Sentinel-dokumentationen innehåller riktlinjer för bästa praxis som är utspridda i våra artiklar. Förutom det innehåll som anges i den här artikeln finns mer information i följande:

• Administratörer:

  • Aktiviteter före distributionen och förhandskrav för att distribuera Microsoft Sentinel
  • Metodtips för Microsoft Sentinel-arbetsytearkitektur
  • Utforma din Microsoft Sentinel-arbetsytearkitektur
  • Microsoft Sentinel- exempel på arbetsytedesign
  • Metodtips för datainsamling
  • Kostnader och fakturering för Microsoft Sentinel
  • Behörigheter i Microsoft Sentinel
  • Skydda immateriell egendom i MSSP i Microsoft Sentinel
  • Integrering av hotinformation i Microsoft Sentinel
  • Granska Microsoft Sentinel-frågor och aktiviteter

• Analytiker:

  • Rekommenderade spelböcker
  • Hantera falska positiva resultat i Microsoft Sentinel
  • Jaga efter hot med Microsoft Sentinel
  • Vanliga Microsoft Sentinel-arbetsböcker
  • Identifiera hot utan konfiguration
  • Skapa anpassade analysregler för att identifiera hot
  • Använda Jupyter Notebook för att söka efter säkerhetshot

Mer information finns också i vår video: Architecting SecOps for Success: Best Practices for Deploying Microsoft Sentinel (Skapa SecOps för framgång: Metodtips för att distribuera Microsoft Sentinel)

Vanliga SOC-aktiviteter att utföra

Schemalägg följande Microsoft Sentinel-aktiviteter regelbundet för att säkerställa fortsatt säkerhetsmetoder:

Dagliga uppgifter

• Beter och undersöker incidenter. På sidan Microsoft Sentinel Incidents (Microsoft Sentinel-incidenter) kan du söka efter nya incidenter som genereras av de aktuella konfigurerade analysreglerna och börja undersöka nya incidenter. Mer information finns i Självstudie: Undersöka incidenter med Microsoft Sentinel.

• Utforska jaktfrågor och bokmärken. Utforska resultaten för alla inbyggda frågor och uppdatera befintliga jaktfrågor och bokmärken. Generera nya incidenter manuellt eller uppdatera gamla incidenter om tillämpligt. Mer information finns i:

  • Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar
  • Jaga efter hot med Microsoft Sentinel
  • Håll koll på data under jakt med Microsoft Sentinel

• Analysregler. Granska och aktivera nya analysregler efter vad som är tillämpligt, inklusive både nyligen utgivna eller nyligen tillgängliga regler från nyligen anslutna dataanslutningar.

• Dataanslutningar. Granska status, datum och tid för den senaste loggen som togs emot från varje dataanslutning för att säkerställa att data flödar. Sök efter nya anslutningsappar och granska datainmatningen för att se till att de inställda gränserna inte har överskridits. Mer information finns i Metodtips för datainsamling och Anslut datakällor.

• Log Analytics Agent. Kontrollera att servrar och arbetsstationer aktivt är anslutna till arbetsytan och felsök och åtgärda eventuella misslyckade anslutningar. Mer information finns i Översikt över Log Analytics-agenten.

• Spelboksfel. Kontrollera spelbokens körningsstatus och felsök eventuella fel. Mer information finns i Självstudie: Använda spelböcker med automatiseringsregler i Microsoft Sentinel.

Veckovisa uppgifter

• Arbetsboken uppdaterar. Kontrollera om några arbetsböcker har uppdateringar som måste installeras. Mer information finns i Vanliga Microsoft Sentinel-arbetsböcker.

• Granska i Microsoft Sentinel GitHub-lagringsplatsen. Granska Lagringsplatsen för Microsoft Sentinel GitHub för att se om det finns nya eller uppdaterade resurser av värde för din miljö, till exempel analysregler, arbetsböcker, jaktfrågor eller spelböcker.

• Microsoft Sentinel-granskning. Granska Microsoft Sentinel-aktiviteten för att se vem som har uppdaterat eller tagit bort resurser, till exempel analysregler, bokmärken och så vidare. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter.

Månatliga uppgifter

• Granska användaråtkomst. Granska behörigheter för dina användare och sök efter inaktiva användare. Mer information finns i Behörigheter i Microsoft Sentinel.

• Granska Log Analytics-arbetsytan. Kontrollera att databevarandeprincipen för Log Analytics-arbetsytan fortfarande överensstämmer med organisationens princip. Mer information finns i Data retention policy (Databevarandeprincip) och Integrate Azure Data Explorer for long-term log retention (Integrera lagringsprincip för data) och Integrate Azure Data Explorer for long-term log retention (Integreralagring av loggar på lång sikt).

Integrera med Microsofts säkerhetstjänster

Microsoft Sentinel har de komponenter som skickar data till din arbetsyta och blir starkare genom integreringar med andra Microsoft-tjänster. Alla loggar som matas in i produkter som Microsoft Defender för molnappar, Microsoft Defender för slutpunkt och Microsoft Defender for Identity gör att dessa tjänster kan skapa identifieringar och ger i sin tur dessa identifieringar till Microsoft Sentinel. Loggar kan också matas in direkt i Microsoft Sentinel för att ge en mer fullständig bild av händelser och incidenter.

Följande bild visar till exempel hur Microsoft Sentinel matar in data från andra Microsoft-tjänster och flera moln och partnerplattformar för att tillhandahålla täckning för din miljö:

Microsoft Sentinel matar även in aviseringar och loggar från andra källor:

• Använder den information den matar in med maskininlärning som möjliggör bättre händelsekorrelation, aviseringsaggregering, avvikelseidentifiering med mera.
• Skapar och visar interaktiva visuella objekt via arbetsböcker, som visar trender, relaterad information och viktiga data som används för både administrativa uppgifter och undersökningar.
• Kör spelböcker för att agera på aviseringar, samla in information, utföra åtgärder på objekt och skicka meddelanden till olika plattformar.
• Integrerar med partnerplattformar, till exempel ServiceNow och Jira, för att tillhandahålla viktiga tjänster för SOC-team.
• Matar in och hämtar berikningsflöden från hotinformationsplattformar för att hämta värdefulla data för undersökning.

Hantera och reagera på incidenter

Följande bild visar rekommenderade steg i en process för incidenthantering och svar.

Följande avsnitt innehåller utförliga beskrivningar av hur du använder Microsoft Sentinel-funktioner för incidenthantering och incidenthantering under hela processen. Mer information finns i Självstudie: Undersöka incidenter med Microsoft Sentinel.

Använd sidan Incidenter och undersökningsdiagrammet

Starta en triageprocess för nya incidenter på sidan Microsoft Sentinel Incidents i Microsoft Sentinel och undersökningsdiagrammet.

Identifiera viktiga entiteter, till exempel konton, URL:er, IP-adress, värdnamn, aktiviteter, tidslinje med mera. Använd dessa data för att förstå om du har en falsk positiv händelse till hands, i vilket fall du kan stänga incidenten direkt.

Alla genererade incidenter visas på sidan Incidenter, som fungerar som central plats för tidig granskning och tidig undersökning. På sidan Incidenter visas rubrik, allvarlighetsgrad och relaterade aviseringar, loggar och eventuella entiteter av intresse. Incidenter ger också ett snabbt hopp till insamlade loggar och verktyg som är relaterade till incidenten.

Sidan Incidenter fungerar tillsammans med undersökningsdiagrammet , ett interaktivt verktyg som gör att användarna kan utforska och fördjupa sig i en avisering för att visa hela omfattningen av en attack. Användarna kan sedan skapa en tidslinje för händelser och identifiera omfattningen av en hotkedja.

Om du upptäcker att incidenten är en sann positiv händelse kan du vidta åtgärder direkt från sidan Incidenter för att undersöka loggar, entiteter och utforska hotkedjan. När du har identifierat hotet och skapat en åtgärdsplan kan du använda andra verktyg i Microsoft Sentinel och andra Microsoft-säkerhetstjänster för att fortsätta undersökningen.

Hantera incidenter med arbetsböcker

Förutom att visualisera och visa information och trender ärMicrosoft Sentinel-arbetsböcker värdefulla undersökningsverktyg.

Använd till exempel arbetsboken Undersöknings- Insights för att undersöka specifika incidenter tillsammans med eventuella associerade entiteter och aviseringar. Med den här arbetsboken kan du fördjupa dig i entiteter genom att visa relaterade loggar, åtgärder och aviseringar.

Hantera incidenter med hotjakt

När du undersöker och söker efter rotorsaker kan du köra inbyggda hotjaktsfrågor och kontrollera resultaten för eventuella indikatorer på hot.

Under en undersökning, eller efter att ha vidtagit åtgärder för att åtgärda och radera hotet, använder du livestream för att övervaka, i realtid, om det finns några kvarvarande skadliga händelser eller om skadliga händelser fortfarande fortsätter.

Hantera incidenter med entitetsbeteende

Med entitetsbeteende i Microsoft Sentinel kan användare granska och undersöka åtgärder och aviseringar för specifika entiteter, till exempel undersöka konton och värdnamn. Mer information finns i:

• Aktivera UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel
• Undersöka incidenter med UEBA-data
• Referens för Microsoft Sentinel UEBA-berikande

Hantera incidenter med visningslistor och hotinformation

Om du vill maximera hotinformationsbaserade identifieringar, se till att använda hotinformationsdatakopplingar för att mata in indikatorer på kompromettering:

• Anslut datakällor som krävs av Fusion- och TI-kartaviseringar
• Mata in indikatorer från TAXII- och TIP-plattformar

Använd indikatorer för komprometterande i analysregler när hotjakt, undersökning av loggar eller generering av fler incidenter.

Använd en visningslista som kombinerar data från indata och externa källor, till exempel berikningsdata. Du kan till exempel skapa listor över IP-adressintervall som används av din organisation eller nyligen avslutade anställda. Använd visningslistor med spelböcker för att samla in berikningsdata, till exempel lägga till skadliga IP-adresser till visningslistor som ska användas vid identifiering, hotjakt och undersökningar.

Under en incident kan du använda visningslistor för att innehålla undersökningsdata och sedan ta bort dem när undersökningen är klar för att säkerställa att känsliga data inte visas.

Nästa steg

Kom igång med Microsoft Sentinel genom att gå till:

• On-board Microsoft Sentinel
• Få insyn i aviseringar