Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les activités opérationnelles que nous recommandons aux équipes d’opérations de sécurité (SOC) et aux administrateurs de la sécurité de planifier et d’exécuter dans le cadre de leurs activités de sécurité régulières avec Microsoft Sentinel. Pour plus d’informations sur la gestion de vos opérations de sécurité, consultez Vue d’ensemble des opérations de sécurité.
Tâches quotidiennes
Planifiez les activités suivantes quotidiennement.
| Tâche | description |
|---|---|
| Triage et investigation des incidents | Passez en revue la page Incidents Microsoft Sentinel pour case activée de nouveaux incidents générés par les règles d’analyse actuellement configurées et commencer à examiner les nouveaux incidents. Pour plus d’informations, reportez-vous aux rubriques suivantes : |
| Explorer les requêtes de chasse et les signets | Explorez les résultats de toutes les requêtes intégrées et mettez à jour les requêtes de chasse et les signets existants. Générez manuellement de nouveaux incidents ou mettez à jour les anciens incidents, le cas échéant. Pour plus d’informations, reportez-vous aux rubriques suivantes : |
| Règles d’analyse | Passez en revue et activez les nouvelles règles d’analyse, le cas échéant, y compris les règles nouvellement publiées ou nouvellement disponibles des solutions récemment déployées. Pour plus d’informations, reportez-vous aux rubriques suivantes : Surveillez l’intégrité et optimisez l’exécution de vos règles d’analyse. Pour plus d’informations, reportez-vous aux rubriques suivantes : |
| Connecteurs de données | Passez en revue les status d’intégrité de vos connecteurs de données pour vous assurer que les données circulent. Vérifiez les nouveaux connecteurs et passez en revue l’ingestion pour vous assurer que les limites définies ne sont pas dépassées. Pour plus d’informations, consultez Surveiller l’intégrité de vos connecteurs de données. |
| agent Azure Monitor | Vérifiez que les serveurs et les stations de travail sont activement connectés à l’espace de travail, puis résolvez les problèmes et corrigez les échecs de connexion. Pour plus d’informations, consultez Azure Vue d’ensemble de l’agent Monitor. |
| Échecs du playbook | Vérifiez les états d’exécution du playbook et résolvez les échecs. Pour plus d’informations, consultez Tutoriel : Répondre aux menaces à l’aide de playbooks avec des règles d’automatisation dans Microsoft Sentinel. |
Tâches hebdomadaires
Planifiez les activités suivantes chaque semaine.
| Tâche | description |
|---|---|
| Révision du contenu des solutions ou du contenu autonome | Obtenez toutes les mises à jour de contenu pour vos solutions installées ou du contenu autonome à partir du hub de contenu. Passez en revue les nouvelles solutions ou le contenu autonome qui peuvent être d’une valeur pour votre environnement, tels que des règles d’analyse, des classeurs, des requêtes de chasse ou des playbooks. |
| audit Microsoft Sentinel | Passez en revue Microsoft Sentinel’activité pour voir qui a mis à jour ou supprimé les ressources, telles que les règles d’analyse, les signets, etc. Pour plus d’informations, consultez Auditer les requêtes et les activités Microsoft Sentinel. |
Tâches mensuelles
Planifiez les activités suivantes mensuellement.
| Tâche | description |
|---|---|
| Passer en revue l’accès utilisateur | Passez en revue les autorisations de vos utilisateurs et case activée pour les utilisateurs inactifs. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel. |
| Révision de l’espace de travail Log Analytics | Vérifiez que la stratégie de conservation des données de l’espace de travail Log Analytics s’aligne toujours sur la stratégie de votre organization. Pour plus d’informations, consultez Stratégie de rétention des données et Intégrer Azure Data Explorer pour la conservation des journaux à long terme. |