Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo elenca le attività operative che è consigliabile pianificare ed eseguire come parte delle normali attività di sicurezza con Microsoft Sentinel i team delle operazioni di sicurezza (SOC) e gli amministratori della sicurezza. Per altre informazioni sulla gestione delle operazioni di sicurezza, vedere Panoramica delle operazioni di sicurezza.
Attività quotidiane
Pianificare le attività seguenti ogni giorno.
| Attività | descrizione |
|---|---|
| Valutare e analizzare gli eventi imprevisti | Esaminare la pagina eventi imprevisti Microsoft Sentinel per verificare la presenza di nuovi eventi imprevisti generati dalle regole di analisi attualmente configurate e avviare l'analisi di eventuali nuovi eventi imprevisti. Per altre informazioni, vedere: |
| Esplorare query di ricerca e segnalibri | Esplorare i risultati per tutte le query predefinite e aggiornare le query di ricerca e i segnalibri esistenti. Generare manualmente nuovi eventi imprevisti o aggiornare gli eventi imprevisti precedenti, se applicabile. Per altre informazioni, vedere: |
| Regole di analisi | Esaminare e abilitare le nuove regole di analisi in base alle esigenze, incluse le regole appena rilasciate o appena disponibili delle soluzioni distribuite di recente. Per altre informazioni, vedere: Monitorare l'integrità e ottimizzare l'esecuzione delle regole di analisi. Per altre informazioni, vedere: |
| Connettori dati | Esaminare lo stato di integrità dei connettori dati per assicurarsi che i dati vengano trasmessi. Verificare la presenza di nuovi connettori ed esaminare l'inserimento per assicurarsi che i limiti impostati non vengano superati. Per altre informazioni, vedere Monitorare l'integrità dei connettori dati. |
| agente di monitoraggio Azure | Verificare che i server e le workstation siano connessi attivamente all'area di lavoro e risolvere i problemi e correggere eventuali connessioni non riuscite. Per altre informazioni, vedere Azure Panoramica dell'agente di monitoraggio. |
| Errori del playbook | Verificare gli stati di esecuzione del playbook e risolvere eventuali errori. Per altre informazioni, vedere Esercitazione: Rispondere alle minacce usando playbook con regole di automazione in Microsoft Sentinel. |
Attività settimanali
Pianificare le attività seguenti settimanalmente.
| Attività | descrizione |
|---|---|
| Revisione del contenuto di soluzioni o contenuto autonomo | Ottenere eventuali aggiornamenti del contenuto per le soluzioni installate o il contenuto autonomo dall'hub contenuto. Esaminare nuove soluzioni o contenuti autonomi che potrebbero essere di valore per l'ambiente, ad esempio regole di analisi, cartelle di lavoro, query di ricerca o playbook. |
| controllo Microsoft Sentinel | Esaminare Microsoft Sentinel'attività per vedere chi ha aggiornato o eliminato le risorse, ad esempio regole di analisi, segnalibri e così via. Per altre informazioni, vedere Audit Microsoft Sentinel query e attività. |
Attività mensili
Pianificare le attività seguenti ogni mese.
| Attività | descrizione |
|---|---|
| Esaminare l'accesso utente | Esaminare le autorizzazioni per gli utenti e verificare la presenza di utenti inattivi. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel. |
| Revisione dell'area di lavoro Log Analytics | Verificare che i criteri di conservazione dei dati dell'area di lavoro Log Analytics siano ancora allineati ai criteri dell'organizzazione. Per altre informazioni, vedere Criteri di conservazione dei dati e Integrare Azure Esplora dati per la conservazione dei log a lungo termine. |