Metodtips för Microsoft Sentinel
Vägledning om bästa praxis finns i den tekniska dokumentationen för Microsoft Sentinel. Den här artikeln beskriver några viktiga riktlinjer som du kan använda när du distribuerar, hanterar och använder Microsoft Sentinel.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Konfigurera Microsoft Sentinel
Börja med distributionsguiden för Microsoft Sentinel. Distributionsguiden beskriver de övergripande stegen för att planera, distribuera och finjustera din Microsoft Sentinel-distribution. I den guiden väljer du de angivna länkarna för att hitta detaljerad vägledning för varje steg i distributionen.
Microsoft Security Service-integreringar
Microsoft Sentinel stöds av de komponenter som skickar data till din arbetsyta och blir starkare genom integreringar med andra Microsoft-tjänster. Alla loggar som matas in i produkter, till exempel Microsoft Defender för molnet-appar, Microsoft Defender för Endpoint och Microsoft Defender för identitet, gör det möjligt för dessa tjänster att skapa identifieringar och i sin tur tillhandahålla dessa identifieringar till Microsoft Sentinel. Loggar kan också matas in direkt i Microsoft Sentinel för att ge en mer fullständig bild av händelser och incidenter.
Följande bild visar till exempel hur Microsoft Sentinel matar in data från andra Microsoft-tjänster och plattformar för flera moln och partner för att tillhandahålla täckning för din miljö:
Mer än att mata in aviseringar och loggar från andra källor, microsoft sentinel också:
- Använder den information som matas in med maskininlärning som möjliggör bättre händelsekorrelation, aviseringsaggregering, avvikelseidentifiering med mera.
- Skapar och presenterar interaktiva visuella objekt via arbetsböcker som visar trender, relaterad information och viktiga data som används för både administratörsuppgifter och undersökningar.
- Kör spelböcker för att agera på aviseringar, samla in information, utföra åtgärder på objekt och skicka meddelanden till olika plattformar.
- Integrerar med partnerplattformar, till exempel ServiceNow och Jira, för att tillhandahålla viktiga tjänster för SOC-team.
- Matar in och hämtar berikningsflöden från plattformar för hotinformation för att få värdefulla data att undersöka.
Mer information om hur du integrerar data från andra tjänster eller leverantörer finns i Microsoft Sentinel-dataanslutningar.
Överväg att registrera Microsoft Sentinel på Microsoft Defender-portalen för att förena funktioner med Microsoft Defender XDR som incidenthantering och avancerad jakt. Mer information finns i följande artiklar:
- Anslut Microsoft Sentinel till Microsoft Defender XDR
- Microsoft Sentinel i Microsoft Defender-portalen
Incidenthantering och incidenthantering
Följande bild visar rekommenderade steg i en incidenthanterings- och svarsprocess.
Följande tabell innehåller beskrivningar på hög nivå för hur du använder Microsoft Sentinel-funktioner för incidenthantering och -svar. Mer information finns i Undersöka incidenter med Microsoft Sentinel.
| Kapacitet | Bästa metod |
|---|---|
| Incidenter | Alla genererade incidenter visas på sidan Incidenter , som fungerar som den centrala platsen för sortering och tidig undersökning. På sidan Incidenter visas rubrik, allvarlighetsgrad och relaterade aviseringar, loggar och eventuella entiteter av intresse. Incidenter ger också ett snabbt hopp till insamlade loggar och alla verktyg som är relaterade till incidenten. |
| Undersökningsgraf | Sidan Incidenter fungerar tillsammans med undersökningsdiagrammet, ett interaktivt verktyg som gör det möjligt för användare att utforska och fördjupa sig i en avisering för att visa hela omfattningen av en attack. Användarna kan sedan skapa en tidslinje med händelser och identifiera omfattningen av en hotkedja. Identifiera viktiga entiteter, till exempel konton, URL:er, IP-adress, värdnamn, aktiviteter, tidslinje med mera. Använd dessa data för att förstå om du har ett falskt positivt till hands, i vilket fall du kan stänga incidenten direkt. Om du upptäcker att incidenten är en sann positiv åtgärd kan du vidta åtgärder direkt från sidan Incidenter för att undersöka loggar, entiteter och utforska hotkedjan. När du har identifierat hotet och skapat en åtgärdsplan kan du använda andra verktyg i Microsoft Sentinel och andra Microsoft-säkerhetstjänster för att fortsätta undersöka. |
| Informationsvisualisering | Om du vill visualisera och få en analys av vad som händer i din miljö tar du först en titt på instrumentpanelen för Microsoft Sentinel-översikten för att få en uppfattning om organisationens säkerhetsstatus. Mer information finns i Visualisera insamlade data. Förutom information och trender på översiktssidan för Microsoft Sentinel är arbetsböcker värdefulla utredningsverktyg. Använd till exempel arbetsboken Investigation Insights för att undersöka specifika incidenter tillsammans med eventuella associerade entiteter och aviseringar. Med den här arbetsboken kan du fördjupa dig i entiteter genom att visa relaterade loggar, åtgärder och aviseringar. |
| Jakt på hot | När du undersöker och söker efter rotorsaker kan du köra inbyggda hotjaktfrågor och kontrollera resultaten för eventuella tecken på kompromisser. Mer information finns i Hotjakt i Microsoft Sentinel. Under en undersökning, eller efter att ha vidtagit åtgärder för att åtgärda och utrota hotet, använder du livestream. Med Livestream kan du i realtid övervaka om det finns kvardröjande skadliga händelser eller om skadliga händelser fortfarande fortsätter. |
| Entitetsbeteende | Entitetsbeteende i Microsoft Sentinel gör det möjligt för användare att granska och undersöka åtgärder och aviseringar för specifika entiteter, till exempel undersöka konton och värdnamn. Mer information finns i: - Aktivera användar- och entitetsbeteendeanalys (UEBA) i Microsoft Sentinel - Undersöka incidenter med UEBA-data - Microsoft Sentinel UEBA-berikningsreferens |
| Visningslistor | Använd en visningslista som kombinerar data från inmatade data och externa källor, till exempel berikande data. Skapa till exempel listor över IP-adressintervall som används av din organisation eller nyligen avslutade anställda. Använd visningslistor med spelböcker för att samla in berikningsdata, till exempel lägga till skadliga IP-adresser till visningslistor som ska användas under identifiering, hotjakt och undersökningar. Under en incident använder du visningslistor för att innehålla undersökningsdata och tar sedan bort dem när din undersökning görs för att säkerställa att känsliga data inte förblir i vyn. Mer information finns i Visningslistor i Microsoft Sentinel. |
Vanliga SOC-aktiviteter att utföra
Schemalägg följande Microsoft Sentinel-aktiviteter regelbundet för att säkerställa fortsatt metodtips för säkerhet:
Dagliga uppgifter
Sortera och undersöka incidenter. Gå till sidan Microsoft Sentinel-incidenter för att söka efter nya incidenter som genererats av de för närvarande konfigurerade analysreglerna och börja undersöka eventuella nya incidenter. Mer information finns i Undersöka incidenter med Microsoft Sentinel.
Utforska jaktfrågor och bokmärken. Utforska resultaten för alla inbyggda frågor och uppdatera befintliga jaktfrågor och bokmärken. Generera nya incidenter manuellt eller uppdatera gamla incidenter om det är tillämpligt. Mer information finns i:
Analysregler. Granska och aktivera nya analysregler efter behov, inklusive både nyligen släppta eller nyligen tillgängliga regler från nyligen anslutna dataanslutningar.
Dataanslutningar. Granska status, datum och tid för den senaste loggen som togs emot från varje dataanslutning för att säkerställa att data flödar. Sök efter nya anslutningsappar och granska inmatningen för att säkerställa att de angivna gränserna inte överskrids. Mer information finns i Metodtips för datainsamling och Anslut datakällor.
Log Analytics-agent. Kontrollera att servrar och arbetsstationer är aktivt anslutna till arbetsytan och felsöka och åtgärda eventuella misslyckade anslutningar. Mer information finns i Översikt över Log Analytics Agent.
Spelboksfel. Verifiera spelbokskörningsstatusar och felsök eventuella fel. Mer information finns i Självstudie: Svara på hot med hjälp av spelböcker med automatiseringsregler i Microsoft Sentinel.
Veckovisa uppgifter
Innehållsgranskning av lösningar eller fristående innehåll. Hämta eventuella innehållsuppdateringar för dina installerade lösningar eller fristående innehåll från innehållshubben. Granska nya lösningar eller fristående innehåll som kan vara av värde för din miljö, till exempel analysregler, arbetsböcker, jaktfrågor eller spelböcker.
Microsoft Sentinel-granskning. Granska Microsoft Sentinel-aktiviteten för att se vem som uppdaterade eller tog bort resurser, till exempel analysregler, bokmärken och så vidare. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter.
Månatliga uppgifter
Granska användaråtkomst. Granska behörigheter för dina användare och sök efter inaktiva användare. Mer information finns i Behörigheter i Microsoft Sentinel.
Granskning av Log Analytics-arbetsyta. Granska att Log Analytics-principen för datakvarhållning för arbetsytor fortfarande överensstämmer med organisationens princip. Mer information finns i Datakvarhållningsprincip och Integrera Azure Data Explorer för långsiktig loggkvarhållning.