Tenere traccia della migrazione Microsoft Sentinel con una cartella di lavoro

Poiché il Centro operativo di sicurezza (SOC) dell'organizzazione gestisce quantità crescenti di dati, è essenziale pianificare e monitorare lo stato della distribuzione. Anche se è possibile tenere traccia del processo di migrazione usando strumenti generici come Microsoft Project, Microsoft Excel, Microsoft Teams o Azure DevOps, questi strumenti non sono specifici per il rilevamento della migrazione delle informazioni di sicurezza e della gestione degli eventi (SIEM). Per tenere traccia, è disponibile una cartella di lavoro dedicata in Microsoft Sentinel denominata Microsoft Sentinel Distribuzione e migrazione.

La cartella di lavoro consente di:

• Visualizzare lo stato di avanzamento della migrazione
• Distribuire e tenere traccia delle origini dati
• Distribuire e monitorare le regole di analisi e gli eventi imprevisti
• Distribuire e usare cartelle di lavoro
• Distribuire ed eseguire l'automazione
• Distribuire e personalizzare l'analisi del comportamento di utenti ed entità (U E B A)

Questo articolo descrive come tenere traccia della migrazione con la cartella di lavoro di distribuzione e migrazione Microsoft Sentinel, come personalizzare e gestire la cartella di lavoro e come usare le schede della cartella di lavoro per distribuire e monitorare connettori di dati, analisi, eventi imprevisti, playbook, regole di automazione, U E B A e gestione dei dati. Altre informazioni su come usare Azure cartelle di lavoro di Monitoraggio in Microsoft Sentinel.

Distribuire il contenuto della cartella di lavoro e visualizzare la cartella di lavoro

Per ottenere la cartella di lavoro, installare prima l'elemento autonomo dall'hub contenuto in Microsoft Sentinel.

1. Nell'hub Microsoft Sentinel Contenuto filtrare il contenuto elencato in Base al tipo di = contenutoCartelle di lavoro e quindi immettere la migrazione nella barra di ricerca.

2. Dai risultati della ricerca selezionare la cartella di lavoro Microsoft Sentinel Distribuzione e migrazione e quindi selezionare Installa. Microsoft Sentinel distribuisce la cartella di lavoro e salva la cartella di lavoro nell'ambiente.

3. In Microsoft Sentinel, in Gestione delle minacce selezionare Modelli di cartelle> di lavoro.

4. Selezionare la cartella di lavoro Microsoft Sentinel Distribuzione e migrazione e il modello Visualizza.

Distribuire l'elenco di controllo

Il passaggio successivo consiste nel distribuire l'elenco di controllo correlato dal repository GitHub Microsoft Sentinel.

1. Nel repository GitHub Microsoft Sentinel selezionare la cartella Deployment eMigration e selezionare Deploy to Azure (Distribuisci per Azure) per avviare la distribuzione del modello in Azure.
2. Specificare il gruppo di risorse Microsoft Sentinel e il nome dell'area di lavoro.
3. Selezionare Rivedi e crea.
4. Dopo aver convalidato le informazioni, selezionare Crea.

Aggiornare l'elenco di controllo con le azioni di distribuzione e migrazione

Questo passaggio è fondamentale per il processo di configurazione del rilevamento. Se si ignora questo passaggio, la cartella di lavoro non riflette gli elementi da tenere traccia.

Per aggiornare l'elenco di controllo con le azioni di distribuzione e migrazione:

1. Nel portale Azure o Microsoft Defender selezionare Microsoft Sentinel e quindi selezionare Watchlist.
2. Selezionare l'elenco di controllo con l'alias di distribuzione .
3. Selezionare quindi Aggiorna elenco di > controllo modifica elementi watchlist.
4. Fornire le informazioni per le azioni necessarie per la distribuzione e la migrazione.
5. Seleziona Salva.

È ora possibile visualizzare l'elenco di controllo all'interno della cartella di lavoro del tracker di migrazione. Informazioni su come gestire le watchlist.

Inoltre, il team potrebbe aggiornare o completare le attività durante il processo di distribuzione. Per risolvere queste modifiche, aggiornare le azioni esistenti o aggiungere nuove azioni quando si identificano nuovi casi d'uso o si impostano nuovi requisiti. Per aggiornare o aggiungere azioni, modificare l'elenco di controllo distribuzione distribuito. Per semplificare il processo, nella cartella di lavoro selezionare Modifica elenco di controllo distribuzione per aprire l'elenco di controllo direttamente dalla cartella di lavoro.

Visualizzare lo stato della distribuzione

Per visualizzare rapidamente lo stato di avanzamento della distribuzione, nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare Distribuzione e scorrere verso il basso per individuare il riepilogo dello stato di avanzamento. In questa area viene visualizzato lo stato della distribuzione, incluse le informazioni seguenti:

• Tabelle che segnalano i dati
• Numero di tabelle che segnalano i dati
• Numero di log segnalati e quali tabelle segnalano i dati del log
• Numero di regole abilitate rispetto alle regole non definite
• Cartelle di lavoro consigliate distribuite
• Numero totale di cartelle di lavoro distribuite
• Numero totale di playbook distribuiti

Distribuire e monitorare i connettori dati

Per monitorare le risorse distribuite e distribuire nuovi connettori, nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare Monitoraggio connettori > dati. La visualizzazione Monitoraggio elenca:

• Tendenze di inserimento correnti
• Tabelle che inserino dati
• Quantità di dati segnalata da ogni tabella
• Creazione di report sugli endpoint con Azure Monitor Agent (AMA)
• Regole di raccolta dati nel gruppo di risorse e dispositivi collegati alle regole
• Integrità del connettore dati (modifiche e errori)
• Log di integrità entro l'intervallo di tempo specificato

Per configurare un connettore dati:

1. Selezionare la visualizzazione Configura .
2. Selezionare il pulsante con il nome del connettore da configurare.
3. Configurare il connettore nella schermata di stato del connettore visualizzata. Se non è possibile trovare un connettore necessario, selezionare il nome del connettore per aprire la raccolta di connettori o la raccolta di soluzioni.

Distribuire e monitorare l'analisi e gli eventi imprevisti

Quando i dati vengono segnalati nell'area di lavoro, configurare e monitorare le regole di analisi. Nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare la scheda Analisi per visualizzare tutti i modelli di regole e gli elenchi distribuiti. Questa visualizzazione indica le regole attualmente in uso e la frequenza con cui le regole generano eventi imprevisti.

Se è necessaria una maggiore copertura, selezionare Rivedi copertura MITRE sotto la tabella a sinistra. Usare questa opzione per definire quali aree ricevono una maggiore copertura e quali regole vengono distribuite, in qualsiasi fase del progetto di migrazione.

Quando si distribuiscono le regole di analisi e il connettore del prodotto Defender è configurato per inviare gli avvisi, monitorare la creazione e la frequenza degli eventi imprevisti in Riepilogo distribuzione > dello stato di avanzamento. In questa area vengono visualizzate le metriche relative alla generazione di avvisi per prodotto, titolo e classificazione, per indicare l'integrità del SOC e quali avvisi richiedono la massima attenzione. Se gli avvisi generano un volume eccessivo, tornare alla scheda Analisi per modificare la logica.

Distribuire e usare cartelle di lavoro

Per visualizzare le informazioni relative all'inserimento dei dati e ai rilevamenti eseguiti Microsoft Sentinel, nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare Cartelle di lavoro. Analogamente alla scheda Connettori dati , usare le visualizzazioni Monitoraggio e Configurazione per visualizzare le informazioni di monitoraggio e configurazione.

Ecco alcune attività utili da eseguire nella scheda Cartelle di lavoro :

• Per visualizzare un elenco di tutte le cartelle di lavoro nell'ambiente e il numero di cartelle di lavoro distribuite, selezionare Monitoraggio.

• Per visualizzare una cartella di lavoro specifica all'interno della cartella di lavoro Microsoft Sentinel Distribuzione e migrazione, selezionare una cartella di lavoro e quindi selezionare Apri cartella di lavoro selezionata.

  

• Se le cartelle di lavoro non sono ancora state distribuite, selezionare Configura per visualizzare un elenco di cartelle di lavoro di uso comune e consigliate. Se una cartella di lavoro non è elencata, selezionare Vai alla raccolta cartelle di lavoro o Vai all'hub contenuto per distribuire la cartella di lavoro pertinente.

  

Distribuire e monitorare playbook e regole di automazione

Quando si configurano l'inserimento dei dati, i rilevamenti e le visualizzazioni, è ora possibile esaminare l'automazione. Nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare Automazione per visualizzare i playbook distribuiti e per vedere quali playbook sono attualmente connessi a una regola di automazione. Se esistono regole di automazione, la cartella di lavoro evidenzia le informazioni seguenti relative a ogni regola:

• Nome
• Stato
• Azione o azioni della regola
• L'ultima data in cui la regola è stata modificata e l'utente che ha modificato la regola
• Data di creazione della regola

Per visualizzare, distribuire e testare l'automazione all'interno della sezione corrente della cartella di lavoro, selezionare Distribuisci risorse di automazione in basso a sinistra.

Informazioni sulle funzionalità Microsoft Sentinel SOAR per i playbook e per le regole di automazione.

Distribuire e monitorare U E B A

Poiché la creazione di report e rilevamenti dei dati avviene a livello di entità, è essenziale monitorare il comportamento e le tendenze delle entità. Per abilitare la funzionalità U E B A all'interno di Microsoft Sentinel, nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare UEBA. Qui è possibile personalizzare le sequenze temporali delle entità per le pagine di entità e visualizzare le tabelle correlate all'entità popolate con dati.

Per abilitare U E B A:

1. Selezionare Abilita UEBA sopra l'elenco di tabelle.
2. Per abilitare U E B A, selezionare Sì.
3. Selezionare le origini dati da usare per generare informazioni dettagliate.
4. Selezionare Applica.

Dopo aver abilitato U E B A, monitorare e assicurarsi che Microsoft Sentinel generino dati U E B A.

Per personalizzare la sequenza temporale:

1. Selezionare Personalizza sequenza temporale entità sopra l'elenco di tabelle.
2. Creare un elemento personalizzato o selezionare uno dei modelli predefiniti.
3. Per distribuire il modello e completare la procedura guidata, selezionare Crea.

Altre informazioni su U E B A o su come personalizzare la sequenza temporale.

Configurare e gestire il ciclo di vita dei dati

Quando si distribuisce o si esegue la migrazione a Microsoft Sentinel, è essenziale gestire l'utilizzo e il ciclo di vita dei log in ingresso. Nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione selezionare Gestione dati per visualizzare e configurare la conservazione e l'archiviazione delle tabelle.

Visualizzare le informazioni relative a:

• Tabelle configurate per l'inserimento di log di base
• Tabelle configurate per l'inserimento del livello di analisi
• Tabelle configurate per l'archiviazione
• Tabelle nella conservazione predefinita dell'area di lavoro

Per modificare i criteri di conservazione esistenti per le tabelle:

1. Selezionare la visualizzazione Tabelle di conservazione predefinite .
2. Selezionare la tabella da modificare e selezionare Conservazione aggiornamenti. Modificare le informazioni seguenti in base alle esigenze:
   • Conservazione corrente nell'area di lavoro
   • Conservazione corrente nell'archivio
   • Numero totale di giorni di vita dei dati nell'ambiente
3. Modificare il valore TotalRetention per impostare un nuovo numero totale di giorni in cui i dati devono esistere all'interno dell'ambiente.

Il valore ArchiveRetention viene calcolato sottraendo il valore TotalRetention dal valore InteractiveRetention . Se è necessario modificare la conservazione dell'area di lavoro, la modifica non influisce sulle tabelle che includono archivi e dati configurati. Se si modifica il valore InteractiveRetention e il valore TotalRetention non cambia, Azure Log Analytics regola la conservazione degli archivi per compensare la modifica.

Se si preferisce apportare modifiche all'interfaccia utente, selezionare Conservazione aggiornamenti nell'interfaccia utente per aprire la pagina pertinente.

Informazioni sulla gestione del ciclo di vita dei dati.

Abilitare suggerimenti e istruzioni per la migrazione

Per facilitare il processo di distribuzione e migrazione, la cartella di lavoro include suggerimenti che illustrano come usare le diverse schede e collegamenti alle risorse pertinenti. I suggerimenti si basano sulla documentazione sulla migrazione Microsoft Sentinel e sono rilevanti per il SIEM corrente. Per abilitare suggerimenti e istruzioni, nella cartella di lavoro Microsoft Sentinel Distribuzione e migrazione, in alto a destra impostare MigrationTips and Instruction su Sì.

Passaggi successivi

In questo articolo si è appreso come tenere traccia della migrazione con la cartella di lavoro Microsoft Sentinel Distribuzione e migrazione.

• Eseguire la migrazione delle regole di rilevamento di ArcSight
• Eseguire la migrazione delle regole di rilevamento di Splunk
• Eseguire la migrazione delle regole di rilevamento di QRadar