Microsoft Sentinel 的最佳做法

這一系列最佳做法可指導您部署、管理及使用 Microsoft Sentinel，其中包括其他文章的連結以提供更多資訊。

重要

在部署 Microsoft Sentinel 之前，請先檢閱並完成部署前活動和必要條件。

最佳做法參考

Microsoft Sentinel 文件中包含我們文章所述的最佳作法指導。 除了本文所提供的內容之外，請參閱以下資料以取得詳細資訊：

• 管理使用者：

  • 用於部署 Microsoft Sentinel 的部署前活動和必要條件
  • Microsoft Sentinel 工作區架構最佳做法
  • 設計 Microsoft Sentinel 工作區架構
  • Microsoft Sentinel 範例工作區設計
  • 資料收集最佳做法
  • Microsoft Sentinel 成本和計費
  • Microsoft Sentinel 中的權限
  • 保護 Microsoft Sentinel 中的 MSSP 智慧財產權
  • Microsoft Sentinel 中的威脅情報整合
  • Microsoft Sentinel 內容和解決方案
  • 稽核 Microsoft Sentinel 查詢和活動

• 分析師：

  • 建議的劇本
  • 處理 Microsoft Sentinel 中的誤報
  • 使用 Microsoft Sentinel 搜捕威脅
  • 常用的 Azure Sentinel 活頁簿
  • 立即偵測威脅
  • 建立自訂分析規則以偵測威脅
  • 使用 Jupyter Notebook 搜尋安全性威脅

如需詳細資訊，另請參閱我們的影片：建構 SecOps 以取得成功：部署 Microsoft Sentinel 的最佳做法

待執行的一般 SOC 活動

定期排程下列 Microsoft Sentinel 活動，以確保能持續執行安全性最佳做法：

每日例行工作

• 分級並調查事件。 檢閱 Microsoft Sentinel 的 [事件] 頁面以檢視目前設定的分析規則所產生的新事件，然後開始調查任何新的事件。 如需詳細資訊，請參閱教學課程：使用 Microsoft Sentinel 調查事件。

• 探索搜捕查詢和書籤。 探索所有內建查詢的結果，並更新現有的搜捕查詢和書籤。 如果適用，請手動產生新事件或更新舊事件。 如需詳細資訊，請參閱

  • 自動從 Microsoft 安全性警示建立事件
  • 使用 Microsoft Sentinel 搜捕威脅
  • 使用 Microsoft Sentinel 在搜捕時持續追蹤資料

• 分析規則。 檢閱並啟用適用的新分析規則，包括最近連線之資料連線器的新發行或新可用規則。

• 資料連接器。 檢閱從每個資料連線器收到的最後一筆記錄檔的狀態、日期和時間，以確保資料有在流動。 檢查是否有新的連接器，並檢閱擷取以確定沒有超過設定的限制。 如需詳細資訊，請參閱資料收集最佳做法和連接資料來源。

• Log Analytics 代理程式。 確認伺服器和工作站已主動連線到工作區，並針對任何連線失敗問題進行疑難排解和修復。 如需詳細資訊，請參閱 Log Analytics 代理程式概觀。

• 劇本失敗。 確認劇本執行狀態，並針對任何失敗進行疑難排解。 如需詳細資訊，請參閱教學課程：在 Microsoft Sentinel 中搭配自動化規則使用劇本。

每週工作

• 解決方案或獨立內容的內容檢閱。 從 內容中樞取得已安裝解決方案或獨立內容的任何內容更新。 檢閱可能對您的環境有價值的新解決方案或獨立內容，例如分析規則、活頁簿、搜捕查詢或劇本。

• Microsoft Sentinel 稽核。 檢閱 Microsoft Sentinel 活動，以查看更新或刪除資源 (例如分析規則、書籤等等) 的對象。 如需詳細資訊，請參閱稽核 Microsoft Sentinel 查詢和活動。

每月工作

• 檢閱使用者存取權。 檢閱使用者的權限，並檢查非使用中的使用者。 如需詳細資訊，請參閱 Microsoft Sentinel 中的權限。

• Log Analytics 工作區檢閱。 檢查 Log Analytics 工作區資料保留原則是否依然符合您組織的原則。 如需詳細資訊，請參閱資料保留原則和整合 Azure 資料總管以進行長期記錄保留。

與 Microsoft 安全性服務整合

Microsoft Sentinel 受傳送資料至工作區的元件支援，並且透過與其他 Microsoft 服務的整合來強化。 任何內嵌到產品 (如適用於雲端的 Microsoft Defender 應用程式、適用於端點的 Microsoft Defender 和適用於身分識別的 Microsoft Defender) 中的記錄， 都可以幫助這些服務建立偵測並將其提供給 Microsoft Sentinel。 記錄也可以直接內嵌至 Microsoft Sentinel 來幫助您更完整地了解活動和事件。

舉例來說，下圖說明 Microsoft Sentinel 如何從其他 Microsoft 服務、多重雲端和合作夥伴平台內嵌資料以覆蓋您的環境：

除了從其他來源內嵌警示和記錄之外，Microsoft Sentinel 也可以：

• 搭配機器學習來使用其內嵌的資訊，以提升事件關聯、警示彙總、異常偵測等等的成效。
• 透過活頁簿建置並呈現互動式視覺效果，顯示用於系統管理工作和調查的趨勢、相關資訊和重要資料。
• 執行劇本以處理警示、收集資訊、對項目執行動作，並將通知傳送至各種平台。
• 與合作夥伴平台整合 (如 ServiceNow 和 Jira 等)，為 SOC 小組提供基本服務。
• 從威脅情報平台內嵌和擷取擴充摘要，為調查提供寶貴的資料。

管理和回應事件

下圖顯示事件管理和回應流程的建議步驟。

下列各節會深入描述如何在整個流程中使用 Microsoft Sentinel 功能進行事件管理和回應。 如需詳細資訊，請參閱教學課程：使用 Microsoft Sentinel 調查事件。

使用事件頁面和調查圖表

在 Microsoft Sentinel 的 Microsoft Sentinel 事件頁面和調查圖表上，啟動新事件的任意分級程序。

探索重要實體，例如帳戶、URL、IP 位址、主機名稱、活動、時間軸等等。 利用此資料來了解您是否目前是否有誤判為真的狀況，如果有，您可以直接關閉該事件。

任何產生的事件都會顯示在 [事件] 頁面上，可作為分級和早期調查的中心。 [事件] 頁面會列出標題、嚴重性和相關警示、記錄，以及任何您感興趣的實體。 [事件] 頁面也可以快速導向收集的記錄和任何與事件相關的工具。

[事件] 頁面可與 [調查圖表] 搭配使用，這是一種互動式工具，可讓使用者探索並深入探討警示，以顯示攻擊的完整範圍。 接下來，使用者便可以建構事件的時間軸，並探索威脅鏈的範圍。

如果您發現該事件是確判為真的事件，請直接從 [事件] 頁面採取行動以調查記錄、實體，並探索威脅鏈。 識別威脅並建立行動計畫之後，請使用 Microsoft Sentinel 和其他 Microsoft 安全性服務中的其他工具來繼續調查。

使用活頁簿處理事件

除了視覺化和顯示資訊和趨勢之外，Microsoft Sentinel 活頁簿也是重要的調查工具。

例如，使用 [調查深入解析] 活頁簿來調查特定事件和任何相關聯的實體和警示。 此活頁簿可顯示相關記錄、動作和警示，幫助您深入了解實體。

使用威脅搜捕處理事件

調查並搜尋根本原因時，請執行內建的威脅搜捕查詢，並檢查是否有任何入侵指標的結果。

在調查期間，或在採取補救和消除威脅的措施之後，請使用即時串流來即時監視是否有還有任何遺留惡意事件，或惡意事件仍在繼續。

使用實體行為處理事件

Microsoft Sentinel 中的實體行為可讓使用者檢閱和調查特定實體的動作和警示，例如調查帳戶和主機名稱。 如需詳細資訊，請參閱

• 在 Microsoft Sentinel 中啟用使用者與實體行為分析 (UEBA)
• 使用 UEBA 資料調查事件
• Microsoft Sentinel UEBA 擴充參考

使用關注清單和威脅情報來處理事件

若要徹底發揮威脅情報型偵測的效果，請務必使用威脅情報資料連接器來內嵌入侵指標：

• 連接融合和 TI 對應警示所需的資料來源
• 內嵌來自 TAXII 和 TIP 平台的指標

在威脅搜捕、調查記錄或產生更多事件時，請在分析規則中使用入侵指標。

使用結合來自內嵌資料和外部來源之資料 (如擴充資料) 的關注清單。 例如，建立您的組織或最近離職員工所使用的 IP 位址範圍清單。 搭配劇本使用關注清單來收集擴充資料，例如將惡意 IP 位址新增至關注清單，以便在偵測、威脅搜捕和調查期間使用。

在事件期間，利用關注清單來容納調查資料，然後在調查完成時將其刪除，以確保敏感性資料不會留在檢視中。

下一步

若要開始使用 Microsoft Sentinel，請參閱：

• 上線 Microsoft Sentinel
• 了解警示