Microsoft Sentinel için en iyi uygulamalar
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Bu en iyi uygulamalar koleksiyonu, daha fazla bilgi için diğer makalelerin bağlantıları dahil olmak üzere Microsoft Sentinel 'i dağıtma, yönetme ve kullanma konusunda rehberlik sağlar.
Önemli
Microsoft Sentinel 'i dağıtılmadan önce dağıtım öncesi etkinlikleri ve önkoşullarıgözden geçirin ve doldurun.
En iyi yöntem başvuruları
Microsoft Sentinel belgelerinde, makalelerimiz genelinde en iyi uygulama kılavuzu dağılmış. Bu makalede belirtilen içeriğe ek olarak daha fazla bilgi için aşağıdakilere bakın:
Yönetici kullanıcılar:
- Microsoft Sentinel dağıtımı için dağıtım öncesi etkinlikler ve Önkoşullar
- Microsoft Sentinel çalışma alanı mimarisi en iyi uygulamaları
- Microsoft Sentinel çalışma alanı mimarinizi tasarlama
- Microsoft Sentinel örnek çalışma alanı tasarımları
- Veri toplamaya yönelik en iyi yöntemler
- Microsoft Sentinel maliyetler ve faturalandırma
- Microsoft Sentinel 'deki izinler
- Microsoft Sentinel 'de MSSP fikri mülkiyet özelliğini koruma
- Microsoft Sentinel 'de tehdit bilgileri tümleştirmesi
- Microsoft Sentinel sorgularını ve etkinliklerini denetleme
Analist:
- Önerilen PlayBook 'ları 'lar
- Microsoft Sentinel 'de yanlış pozitifleri işle
- Microsoft Sentinel ile tehditler için Hunt
- Yaygın olarak kullanılan Microsoft Sentinel çalışma kitapları
- Kullanıma hazır özelliklerle tehditleri algılama
- Tehditleri algılamak için özel analitik kuralları oluşturma
- Güvenlik tehditlerini avlamak için Jupyter Notebook kullanma
Daha fazla bilgi için bkz. videonuzun mimarisi: Microsoft Sentinel dağıtımı Için En Iyi uygulamalar:
Gerçekleştirilecek normal SOC etkinlikleri
Sürekli güvenlik en iyi yöntemlerini sağlamak için aşağıdaki Microsoft Sentinel etkinliklerini düzenli olarak zamanlayın:
Günlük görevler
Olayları önceliklendirme ve araştırın. Şu anda yapılandırılmış analiz kuralları tarafından oluşturulan yeni olayları denetlemek için Microsoft Sentinel olayları sayfasını gözden geçirin ve yeni olayların araştırarak başlayın. Daha fazla bilgi için bkz. öğretici: Microsoft Sentinel ile olayları araştırma.
Sorguları ve yer Imlerini araştırma. Tüm yerleşik sorgular için sonuçları keşfedebilir ve var olan arama sorgularını ve yer imlerini güncelleştirin. El ile yeni olaylar oluşturun veya varsa eski olayları güncelleştirin. Daha fazla bilgi için bkz.
Analiz kuralları. Son bağlantılı veri bağlayıcılarından hem yeni yayınlanan hem de yeni kullanılabilir kurallar dahil olmak üzere yeni analiz kurallarını uygun şekilde gözden geçirin ve etkinleştirin.
Veri bağlayıcıları. Verilerin akmasını sağlamak için her bir veri bağlayıcısından alınan son günlüğün durumunu, tarihini ve saatini gözden geçirin. Yeni bağlayıcılar olup olmadığını denetleyin ve ayarlanan limitlerin aşılmadığını sağlamak için alımı gözden geçirin. daha fazla bilgi için bkz. veri toplama en iyi uygulamalar ve Bağlan veri kaynakları.
Log Analytics Aracısı. Sunucuların ve iş istasyonlarının çalışma alanına etkin bir şekilde bağlandığını doğrulayın ve başarısız olan bağlantıların sorunlarını giderin ve düzeltin. Daha fazla bilgi için bkz. Log Analytics aracısına genel bakış.
PlayBook sorunları. PlayBook çalıştırma durumlarını doğrulayın ve hataları giderin. Daha fazla bilgi için bkz. öğretici: Microsoft Sentinel 'de Otomasyon kurallarıyla PlayBook 'ları kullanma.
Haftalık Görevler
Çalışma kitabı güncelleştirmeleri. Herhangi bir çalışma kitabının yüklenmesi gereken güncelleştirmeleri olup olmadığını doğrulayın. Daha fazla bilgi için bkz. yaygın olarak kullanılan Microsoft Sentinel çalışma kitapları.
Microsoft Sentinel GitHub depo incelemesi. ortamınız için analiz kuralları, çalışma kitapları, arama sorguları veya playbook 'lar gibi yeni veya güncelleştirilmiş değer kaynakları olup olmadığını araştırmak için Microsoft Sentinel GitHub deposunu gözden geçirin.
Microsoft Sentinel denetimi. Analiz kuralları, yer işaretleri ve benzeri kaynakları kimlerin güncelleştirdiklerini veya sildiği hakkında bilgi almak için Microsoft Sentinel etkinliğini gözden geçirin. Daha fazla bilgi için bkz. Microsoft Sentinel sorgularını ve etkinliklerini denetleme.
Aylık görevler
Kullanıcı erişimini gözden geçirin. Kullanıcılarınız için izinleri gözden geçirin ve etkin olmayan kullanıcıları denetleyin. Daha fazla bilgi için bkz. Microsoft Sentinel 'Teki izinler.
Log Analytics çalışma alanı incelemesi. Log Analytics çalışma alanı veri saklama ilkesinin hala kuruluşunuzun ilkesiyle hizalandığını gözden geçirin. Daha fazla bilgi için bkz. veri saklama ilkesi ve uzun süreli günlük tutma Için Azure Veri Gezgini tümleştirme.
Microsoft Güvenlik Hizmetleri ile tümleştirme
Microsoft Sentinel, çalışma alanınıza veri gönderen ve diğer Microsoft hizmetleri tümleştirmeler aracılığıyla daha güçlü hale getirilen bileşenler tarafından güçde bulunur. Bulut uygulamaları için Microsoft Defender, uç nokta için Microsoft Defender ve kimlik için Microsoft Defender gibi ürünlere alınan Günlükler, bu hizmetlerin algılama oluşturmalarına olanak tanır ve bu algılamaları Microsoft Sentinel 'e sağlar. Günlükler, olaylar ve olaylar için de daha fazla resim sağlamak üzere doğrudan Microsoft Sentinel 'e alınabilir.
örneğin, aşağıdaki görüntüde, Microsoft 'un ortamınız için kapsam sağlamak üzere diğer Microsoft hizmetleri ve çok bulut ve iş ortağı platformlarındaki verileri nasıl sağlamadığı gösterilmektedir:
Diğer kaynaklardan gelen uyarıları ve günlükleri geri almaya kıyasla Microsoft Sentinel de:
- , Daha iyi olay bağıntısı, uyarı toplama, anomali algılama ve daha fazlasını sağlayan makine öğrenimi Ile ilgili bilgileri kullanır .
- Her iki yönetici görevi ve araştırmalar için kullanılan eğilimleri, ilgili bilgileri ve anahtar verileri gösteren çalışma kitaplarıaracılığıyla etkileşimli görseller oluşturur ve sunar.
- , Uyarılar üzerinde işlem yapmak, bilgi toplamak, öğeler üzerinde eylemler gerçekleştirmek ve çeşitli platformlara bildirim göndermek için PlayBook 'lar çalıştırır.
- , SOC ekipleri için gerekli hizmetleri sağlamak üzere ServiceNow ve Jira gibi iş ortağı platformlarıyla tümleştirilir.
- Araştırma için değerli verileri getirmek amacıyla tehdit bilgileri platformlarından zenginleştirme ve Özet akışları getirir .
Olayları yönetme ve yanıtlama
Aşağıdaki görüntüde bir olay yönetimi ve yanıt işleminde önerilen adımlar gösterilmektedir.
Aşağıdaki bölümlerde, işlem boyunca olay yönetimi ve yanıt için Microsoft Sentinel özelliklerinin nasıl kullanılacağına ilişkin üst düzey açıklamalar sağlanmaktadır. Daha fazla bilgi için bkz. öğretici: Microsoft Sentinel ile olayları araştırma.
Olaylar sayfasını ve araştırma grafiğini kullanma
Microsoft Sentinel olayları sayfasında, yeni olaylar için tüm önceliklendirme sürecini Microsoft Sentinel ve araştırma grafiğinde başlatın.
Hesaplar, URL 'Ler, IP adresi, ana bilgisayar adları, Etkinlikler, zaman çizelgesi ve daha fazlası gibi temel varlıkları bulun. Bu verileri kullanarak el ile yanlış bir pozitif olup olmadığını anlayın, bu durumda olayı doğrudan kapatabilirsiniz.
Oluşturulan tüm olaylar, önceliklendirme ve erken araştırma için merkezi konum görevi gören Olaylar sayfasında görüntülenir. Olaylar sayfası başlığı, önem derecesini ve ilgili uyarıları, günlükleri ve ilgilendiğiniz tüm varlıkları listeler. Olaylar ayrıca, toplanan günlüklere ve olayla ilgili tüm araçlara hızlı bir şekilde zıplamaya de olanak sağlar.
Olaylar sayfası, kullanıcıların bir saldırının tam kapsamını göstermek için bir uyarıyı araştırmasına ve ayrıntılı bir şekilde derinlemesine olduğunu sağlayan etkileşimli bir araç olan araştırma Graf ile birlikte çalışarak Kullanıcılar daha sonra bir olay zaman çizelgesi oluşturabilir ve bir tehdit zincirinin kapsamını bulabilir.
Olayın gerçek bir pozitif olduğunu fark ederseniz, günlükleri, varlıkları araştırmak ve tehdit zincirini araştırmak için doğrudan Olaylar sayfasından işlem yapın. Tehdidi tanımladıktan ve bir eylem planı oluşturduktan sonra araştırmaya devam etmek için Microsoft Sentinel ve diğer Microsoft Güvenlik Hizmetleri 'ndeki diğer araçları kullanın.
Çalışma kitapları ile olayları işleme
Microsoft Sentinel çalışma kitapları, bilgi ve eğilimleri görselleştirmeye ve görüntülemeyeek olarak değerli araştırma araçlardır.
örneğin, belirli olayları ilişkili varlıklar ve uyarılarla birlikte araştırmak için araştırma Analizler çalışma kitabını kullanın. Bu çalışma kitabı ilgili günlükleri, eylemleri ve uyarıları göstererek varlıklara daha ayrıntılı bir şekilde erişmenizi sağlar.
Tehdit ile olayları işleme
Ana nedenleri araştırırken ve ararken, yerleşik tehdit oluşturma sorgularını çalıştırın ve herhangi bir uzlaşma göstergesi için sonuçları denetleyin.
Bir araştırma sırasında veya tehdidi düzeltme ve giderme adımlarını tamamladıktan sonra, sürekli kötü amaçlı olaylar olup olmadığını veya kötü amaçlı olaylar hala devam ediyorsa, gerçek zamanlı olarak izlemek için canlı akışı kullanın.
Varlık davranışı ile olayları işleme
Microsoft Sentinel 'deki varlık davranışı, kullanıcıların hesaplar ve ana bilgisayar adlarını araştırmak gibi belirli varlıklar için eylemleri ve uyarıları gözden geçirmesine ve araştırmalarını sağlar. Daha fazla bilgi için bkz.
- Microsoft Sentinel 'de Kullanıcı ve varlık davranışı analizlerini (UEBA) etkinleştirme
- UEBA verileri ile olayları araştırın
- Microsoft Sentinel ueba zenginleştirmeleri başvurusu
Watchlists ve Threat Intelligence ile olayları işleyin
Tehdit zekası tabanlı algılamaları en üst düzeye çıkarmak için tehdit bilgileri veri bağlayıcılarını kullanarak tehlikeye alma göstergelerini alma ' yı kullandığınızdan emin olun:
- Fusion ve TI eşleme uyarıları için gereken veri kaynaklarını Bağlan
- Taxıı ve tıp platformlarından alma göstergeleri
Tehdit oluştururken, günlükleri araştırırken veya daha fazla olay oluştururken analiz kurallarında uzlaşma göstergelerini kullanın.
Verilerin veri ve dış kaynaklardan, zenginleştirme verileri gibi verileri birleştiren bir listem kullanın. Örneğin, kuruluşunuz tarafından veya son sonlandırılan çalışanlar tarafından kullanılan IP adresi aralıklarının listesini oluşturun. Algılama, tehdit ve araştırmalar sırasında kullanılmak üzere Watchlists öğesine kötü amaçlı IP adresleri ekleme gibi bir zenginleştirme verisi toplamak için Watchlists 'i PlayBook 'lar ile kullanın.
Bir olay sırasında, araştırma verilerini içerecek şekilde Watchlists kullanın ve hassas verilerin görünümde kalmadığından emin olmak için araştırmanızın yapılacağı zaman silin.
Sonraki adımlar
Microsoft Sentinel ile çalışmaya başlamak için bkz.: