Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vejledning til bedste praksis findes i hele den tekniske dokumentation til Microsoft Sentinel. I denne artikel fremhæves nogle vigtige retningslinjer, der skal bruges, når du udruller, administrerer og bruger Microsoft Sentinel.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Hvis du vil i gang med Microsoft Sentinel, skal du se installationsvejledningen, der beskriver de overordnede trin til planlægning, udrulning og finjustering af din Microsoft Sentinel udrulning. I denne vejledning skal du vælge de angivne links for at finde en detaljeret vejledning til hver fase i udrulningen.
Anvend en arkitektur med en enkelt platform
Microsoft Sentinel er integreret med en moderne datasø, der tilbyder overkommelig, langsigtet lagerplads, der gør det muligt for teams at forenkle datastyring, optimere omkostningerne og fremskynde indførelsen af kunstig intelligens. Den Microsoft Sentinel datasø muliggør en arkitektur med én platform til sikkerhedsdata og giver analytikere en samlet forespørgselsoplevelse, samtidig med at Microsoft Sentinel' omfattende connectorøkosystem bruges. Du kan få flere oplysninger under Microsoft Sentinel datasø .
Onboarde Microsoft Sentinel til Microsoft Defender portalen, og integrer den med Microsoft Defender XDR
Overvej at onboarde Microsoft Sentinel til Microsoft Defender-portalen for at samle funktioner med Microsoft Defender XDR som administration af hændelser og avanceret jagt.
Hvis du ikke onboarder Microsoft Sentinel til Microsoft Defender portalen, skal du være opmærksom på følgende:
- I juli 2026 omdirigeres alle Microsoft Sentinel kunder, der bruger Azure Portal, til Defender-portalen.
- Indtil da kan du bruge dataconnectoren Defender XDR til at integrere Microsoft Defender tjenestedata med Microsoft Sentinel i Azure Portal.
Følgende illustration viser, hvordan Microsofts XDR-løsning problemfrit integreres med Microsoft Sentinel.
Du kan finde flere oplysninger i følgende artikler:
- Microsoft Defender XDR integration med Microsoft Sentinel
- Forbind Microsoft Sentinel med Microsoft Defender XDR
- Microsoft Sentinel på Microsoft Defender-portalen
Integrer Microsoft-sikkerhedstjenester
Microsoft Sentinel er bemyndiget af de komponenter, der sender data til dit arbejdsområde, og gøres stærkere via integrationer med andre Microsoft-tjenester. Alle logfiler, der er indtaget i produkter, f.eks. Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint og Microsoft Defender for Identity, gør det muligt for disse tjenester at oprette registreringer og til gengæld levere disse registreringer til Microsoft Sentinel. Logge kan også overføres direkte til Microsoft Sentinel for at give et mere detaljeret billede af hændelser og hændelser.
Mere end indtagelse af beskeder og logge fra andre kilder giver Microsoft Sentinel også:
| Kapacitet | Beskrivelse |
|---|---|
| Trusselsregistrering | Funktioner til trusselsregistrering med kunstig intelligens, der giver dig mulighed for at bygge og præsentere interaktive visualiseringer via projektmapper, køre playbooks for automatisk at reagere på beskeder, integrere modeller til maskinel indlæring for at forbedre dine sikkerhedshandlinger og indtage og hente berigelsesfeeds fra trusselsintelligensplatforme. |
| Trusselsundersøgelse | Funktioner til undersøgelse af trusler giver dig mulighed for at visualisere og udforske beskeder og enheder, registrere uregelmæssigheder i bruger- og objektadfærd og overvåge hændelser i realtid under en undersøgelse. |
| Dataindsamling | Indsaml data på tværs af alle brugere, enheder, programmer og infrastruktur, både i det lokale miljø og i flere cloudmiljøer. |
| Trusselssvar | Funktioner til trusselssvar, f.eks. playbooks, der integreres med Azure-tjenester og dine eksisterende værktøjer. |
| Partnerintegrationer | Kan integreres med partnerplatforme ved hjælp af Microsoft Sentinel dataconnectors, hvilket giver vigtige tjenester til SOC-teams. |
Opret brugerdefinerede integrationsløsninger (partnere)
For partnere, der vil oprette brugerdefinerede løsninger, der kan integreres med Microsoft Sentinel, skal du se Bedste fremgangsmåder for partnere, der integrerer med Microsoft Sentinel.
Planlæg administration af hændelser og svarproces
På følgende billede vises de anbefalede trin i en hændelsesstyrings- og svarproces.
Følgende tabel indeholder hændelser på højt niveau og svaropgaver og relaterede bedste praksisser. Du kan få flere oplysninger i Microsoft Sentinel undersøgelse af hændelser i Azure Portal eller Hændelser og beskeder på portalen Microsoft Defender.
| Opgave | Bedste praksis |
|---|---|
| Siden Gennemse hændelser | Gennemse en hændelse på siden Hændelser , der viser titlen, alvorsgraden og relaterede beskeder, logge og alle de enheder, der har interesse. Du kan også springe fra hændelser til indsamlede logge og eventuelle værktøjer, der er relateret til hændelsen. |
| Brug graf over hændelse | Gennemse grafen Hændelse for en hændelse for at se det fulde omfang af et angreb. Du kan derefter konstruere en tidslinje over hændelser og opdage omfanget af en trusselskæde. |
| Gennemse hændelser for falske positiver | Brug data om nøgleenheder, f.eks. konti, URL-adresser, IP-adresse, værtsnavne, aktiviteter, tidslinje for at forstå, om du har et falsk positivt element til rådighed, i hvilket tilfælde du kan lukke hændelsen direkte. Hvis du opdager, at hændelsen er en sand positiv, kan du handle direkte fra siden Hændelser for at undersøge logge, enheder og udforske trusselskæden . Når du har identificeret truslen og oprettet en handlingsplan, kan du bruge andre værktøjer i Microsoft Sentinel og andre Microsoft-sikkerhedstjenester til at fortsætte undersøgelsen. |
| Visualiser oplysninger | Se Microsoft Sentinel oversigtsdashboard for at få en ide om din organisations sikkerhedsholdning. Du kan få flere oplysninger under Visualiser indsamlede data. Ud over oplysninger og tendenser på siden med Microsoft Sentinel oversigt er projektmapper værdifulde undersøgelsesværktøjer. Brug f.eks. projektmappen Investigation Insights til at undersøge specifikke hændelser sammen med eventuelle tilknyttede objekter og beskeder. Denne projektmappe giver dig mulighed for at dykke dybere ned i objekter ved at vise relaterede logge, handlinger og beskeder. |
| Gå på jagt efter trusler | Mens du undersøger og søger efter rodårsager, kan du køre indbyggede forespørgsler om trusselsjagt og kontrollere resultaterne for alle indikatorer for kompromis. Du kan finde flere oplysninger under Trusselsjagt i Microsoft Sentinel. |
| Objektfunktionsmåde | Objektfunktionsmåden i Microsoft Sentinel giver brugerne mulighed for at gennemse og undersøge handlinger og beskeder for bestemte objekter, f.eks. undersøge konti og værtsnavne. Du kan finde flere oplysninger under: - Aktivér UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel - Undersøg hændelser med UEBA-data - Microsoft Sentinel reference til UEBA-berigelser |
| Visningslister | Brug en visningsliste, der kombinerer data fra indtagede data og eksterne kilder, f.eks. berigelsesdata. Du kan f.eks. oprette lister over IP-adresseområder, der bruges af din organisation eller medarbejdere, der er blevet afsluttet for nylig. Brug visningslister med playbooks til at indsamle berigelsesdata, f.eks. tilføjelse af skadelige IP-adresser til visningslister, der skal bruges under registrering, trusselsjagt og undersøgelser. Under en hændelse skal du bruge visningslister til at indeholde undersøgelsesdata og derefter slette dem, når din undersøgelse udføres, for at sikre, at følsomme data ikke forbliver i visningen. Du kan få flere oplysninger under Visningslister i Microsoft Sentinel. |
Optimer dataindsamling og dataindtagelse
Gennemse bedste praksis for Microsoft Sentinel dataindsamling, som omfatter prioritering af dataconnectors, filtrering af logge og optimering af dataindtagelse.
Gør dine forespørgsler i Kusto Query Language hurtigere
Gennemse bedste praksis for Kusto-forespørgselssprog for at oprette forespørgsler hurtigere.