Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nel passaggio di distribuzione precedente sono stati abilitati Microsoft Sentinel, il monitoraggio dell'integrità e le soluzioni necessarie. Questo articolo illustra come configurare i diversi tipi di contenuti di sicurezza Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi. Questo articolo fa parte della guida alla distribuzione per Microsoft Sentinel.
Configurare il contenuto di sicurezza
| Passaggio | Descrizione |
|---|---|
| Configurare i connettori dati | In base alle origini dati selezionate durante la pianificazione della distribuzione e dopo aver abilitato le soluzioni pertinenti, è ora possibile installare o configurare i connettori dati. - Se si usa un connettore esistente, trovare il connettore da questo elenco completo di connettori dati. - Se si sta creando un connettore personalizzato, usare queste risorse. - Se si sta configurando un connettore per inserire i log CEF o Syslog, esaminare queste opzioni. |
| Configurare le regole di analisi | Dopo aver configurato Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è possibile iniziare a usare le regole di analisi per rilevare le minacce. Selezionare i passaggi necessari per configurare e configurare le regole di analisi: - Creare regole pianificate da modelli o da zero: creare regole di analisi per individuare minacce e comportamenti anomali nell'ambiente. - Eseguire il mapping dei campi dati alle entità: aggiungere o modificare i mapping di entità in una regola di analisi. - Dettagli personalizzati di Surface negli avvisi: aggiungere o modificare i dettagli personalizzati in una regola di analisi. - Personalizzare i dettagli dell'avviso: eseguire l'override delle proprietà predefinite degli avvisi con il contenuto dei risultati della query sottostante. - Esportare e importare regole di analisi: esportare le regole di analisi in file modello Azure Resource Manager (ARM) e importare regole da questi file. L'azione di esportazione crea un file JSON nel percorso di download del browser, che è quindi possibile rinominare, spostare e gestire come qualsiasi altro file. - Creare regole di analisi del rilevamento quasi in tempo reale(NRT): creare regole di analisi near-time per il rilevamento delle minacce aggiornato. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di soli un minuto di distanza. - Usare le regole di analisi del rilevamento anomalie: usare modelli di anomalie predefiniti che usano migliaia di origini dati e milioni di eventi oppure modificare soglie e parametri per le anomalie all'interno dell'interfaccia utente. - Gestire le versioni dei modelli per le regole di analisi pianificate: tenere traccia delle versioni dei modelli di regole di analisi e ripristinare le regole attive alle versioni dei modelli esistenti o aggiornarle a nuove. - Gestire il ritardo di inserimento nelle regole di analisi pianificate: informazioni su come il ritardo di inserimento potrebbe influire sulle regole di analisi pianificate e su come risolverle per coprire queste lacune. |
| Configurare le regole di automazione | Creare regole di automazione. Definire i trigger e le condizioni che determinano quando viene eseguita la regola di automazione , le varie azioni che è possibile eseguire la regola e le funzionalità e le funzionalità rimanenti. |
| Configurare playbook | Un playbook è una raccolta di azioni correttive eseguite da Microsoft Sentinel come routine, per automatizzare e orchestrare la risposta alle minacce. Per configurare i playbook: - Esaminare i playbook consigliati - Creare playbook dai modelli: un modello di playbook è un flusso di lavoro predefinito, testato e pronto all'uso che può essere personalizzato in base alle proprie esigenze. I modelli possono anche fungere da riferimento per le procedure consigliate per lo sviluppo di playbook da zero o come fonte di ispirazione per nuovi scenari di automazione. - Esaminare questi passaggi per la creazione di un playbook |
| Configurare le cartelle di lavoro |
Le cartelle di lavoro offrono un canvas flessibile per l'analisi dei dati e la creazione di report visivi avanzati all'interno di Microsoft Sentinel. I modelli di cartella di lavoro consentono di ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati. Per configurare le cartelle di lavoro: - Esaminare le cartelle di lavoro Microsoft Sentinel di uso comune - Usare i modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto - Creare cartelle di lavoro personalizzate nei dati |
| Configurare watchlist |
Gli watchlist consentono di correlare i dati di un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Per configurare watchlist: - Creare elenchi di controllo - Compilare query o regole di rilevamento con gli elenchi di controllo: eseguire query sui dati di qualsiasi tabella in base ai dati di un elenco di controllo considerando l'elenco di controllo come una tabella per join e ricerche. Quando si crea un elenco di controllo, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nell'elenco di controllo che si prevede di usare come join con altri dati o come oggetto frequente delle ricerche. |
Passaggi successivi
In questo articolo si è appreso come configurare i diversi tipi di contenuto di sicurezza Microsoft Sentinel.