Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa luetellaan operatiiviset toimet, joita suosittelemme suojaustoimintojen (SOC) tiimeille ja suojauksen järjestelmänvalvojille, jotka suunnittelevat ja suorittavat osana säännöllistä suojaustoimiaan Microsoft Sentinel kanssa. Lisätietoja suojaustoimintojen hallinnasta on kohdassa Suojaustoimintojen yleiskatsaus.
Päivittäiset tehtävät
Ajoita seuraavat aktiviteetit päivittäin.
| Tehtävä | Kuvaus |
|---|---|
| Tapahtumien tutkiminen ja tutkiminen | Tarkista Microsoft Sentinel Tapaukset-sivulta, onko tällä hetkellä määritettyjen analytiikkasääntöjen luomia uusia tapauksia, ja ala tutkia uusia tapauksia. Lisätietoja on seuraavissa artikkeleissa: |
| Tutustu metsästyskyselyihin ja kirjanmerkkeihin | Tutustu kaikkien valmiiden kyselyiden tuloksiin ja päivitä olemassa olevat metsästyskyselyt ja kirjanmerkit. Luo uusia tapauksia manuaalisesti tai päivitä vanhat tapaukset tarvittaessa. Lisätietoja on seuraavissa artikkeleissa: |
| Analysointisäännöt | Tarkista ja ota käyttöön uudet analytiikkasäännöt soveltuvin osin, mukaan lukien äskettäin julkaistut tai äskettäin käyttöönotetut säännöt äskettäin käyttöönotetuista ratkaisuista. Lisätietoja on seuraavissa artikkeleissa: Valvo kuntoa ja optimoi analytiikkasääntöjen suorittaminen. Lisätietoja on seuraavissa artikkeleissa: |
| Tietoliittimet | Tarkista tietoliittimien kuntotila ja varmista, että tiedot kulkevat. Tarkista uudet liittimet ja tarkista käsittely varmistaaksesi, että määritetyt rajat eivät ylity. Lisätietoja on kohdassa Tietoyhdistimien kunnon valvonta. |
| Azure monitoriagentti | Varmista, että palvelimet ja työasemat ovat aktiivisesti yhteydessä työtilaan, ja tee vianmääritys ja korjaa mahdolliset epäonnistuneet yhteydet. Lisätietoja on Azure Monitor Agentin yleiskatsauksessa. |
| Playbook-virheet | Tarkista toistokirjan suoritustilat ja vianmääritys. Lisätietoja on artikkelissa Opetusohjelma: Uhkiin vastaaminen käyttämällä Microsoft Sentinel toistokirjoja automaatiosäännöillä. |
Viikoittaiset tehtävät
Ajoita seuraavat aktiviteetit viikoittain.
| Tehtävä | Kuvaus |
|---|---|
| Ratkaisujen tai erillisen sisällön sisällön tarkistus | Hanki asennettujen ratkaisujen sisältöpäivitykset tai erillinen sisältö sisältökeskuksesta. Tutustu uusiin ratkaisuihin tai erilliseen sisältöön, jolla voi olla merkitystä ympäristöllesi, kuten analytiikkasäännöille, työkirjoille, metsästyskyselyille tai pelikirjoille. |
| Microsoft Sentinel valvonta | Tarkastele Microsoft Sentinel toimintaa ja katso, kuka on päivittänyt tai poistanut resursseja, kuten analytiikkasääntöjä, kirjanmerkkejä ja niin edelleen. Lisätietoja on kohdassa Valvonta Microsoft Sentinel kyselyt ja toiminnot. |
Kuukausittaiset tehtävät
Ajoita seuraavat aktiviteetit kuukausittain.
| Tehtävä | Kuvaus |
|---|---|
| Käyttäjien käyttöoikeuksien tarkistaminen | Tarkista käyttäjiesi käyttöoikeudet ja tarkista passiiviset käyttäjät. Lisätietoja on artikkelissa Microsoft Sentinel käyttöoikeudet. |
| Log Analytics -työtilan tarkistus | Tarkista, että Log Analytics -työtilan tietojen säilytyskäytäntö on edelleen yhdenmukainen organisaatiosi käytännön kanssa. Lisätietoja on kohdassa Tietojen säilytyskäytäntö ja Integroi Azure Data Explorer pitkäaikaista lokisäilytystä varten. |