Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen viser de operative aktivitetene som vi anbefaler sikkerhetsoperasjoner (SOC)-team og sikkerhetsadministratorer planlegger for og kjører som en del av deres vanlige sikkerhetsaktiviteter med Microsoft Sentinel. Hvis du vil ha mer informasjon om hvordan du administrerer sikkerhetsoperasjonene, kan du se Oversikt over sikkerhetsoperasjoner.
Daglige oppgaver
Planlegg følgende aktiviteter daglig.
| Oppgave | Beskrivelse |
|---|---|
| Triage og undersøke hendelser | Se gjennom siden Microsoft Sentinel hendelser for å se etter nye hendelser generert av de konfigurerte analysereglene, og begynn å undersøke eventuelle nye hendelser. Hvis du vil ha mer informasjon, kan du se: |
| Utforske jaktspørringer og bokmerker | Utforsk resultater for alle innebygde spørringer, og oppdater eksisterende jaktspørringer og bokmerker. Generer nye hendelser manuelt eller oppdater gamle hendelser hvis aktuelt. Hvis du vil ha mer informasjon, kan du se: |
| Analyseregler | Se gjennom og aktiver nye analyseregler etter behov, inkludert både nylig utgitte eller nylig tilgjengelige regler fra nylig distribuerte løsninger. Hvis du vil ha mer informasjon, kan du se: Overvåk tilstanden og optimaliser kjøringen av analysereglene. Hvis du vil ha mer informasjon, kan du se: |
| Datakoblinger | Se gjennom tilstandsstatusen for datakoblingene for å sikre at dataene flyter. Se etter nye koblinger, og se gjennom inntak for å sikre at angitte grenser ikke overskrides. Hvis du vil ha mer informasjon, kan du se Overvåke tilstanden til datakoblingene. |
| Azure Monitor Agent | Kontroller at servere og arbeidsstasjoner er aktivt koblet til arbeidsområdet, og feilsøk og utbedr eventuelle mislykkede tilkoblinger. Hvis du vil ha mer informasjon, kan du se Azure Oversikt over monitoragent. |
| Feil i strategiplanen | Kontroller statusene for kjøring av strategiplan og feilsøk eventuelle feil. Hvis du vil ha mer informasjon, kan du se Opplæring: Svare på trusler ved hjelp av strategibøker med automatiseringsregler i Microsoft Sentinel. |
Ukentlige oppgaver
Planlegg følgende aktiviteter ukentlig.
| Oppgave | Beskrivelse |
|---|---|
| Innholdsgjennomgang av løsninger eller frittstående innhold | Få innholdsoppdateringer for installerte løsninger eller frittstående innhold fra innholdshuben. Se gjennom nye løsninger eller frittstående innhold som kan være av verdi for miljøet ditt, for eksempel analyseregler, arbeidsbøker, jaktspørringer eller strategibøker. |
| Microsoft Sentinel overvåking | Se gjennom Microsoft Sentinel aktivitet for å se hvem som har oppdatert eller slettet ressurser, for eksempel analyseregler, bokmerker og så videre. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel spørringer og aktiviteter. |
Månedlige oppgaver
Planlegg følgende aktiviteter månedlig.
| Oppgave | Beskrivelse |
|---|---|
| Se gjennom brukertilgang | Se gjennom tillatelser for brukerne, og se etter inaktive brukere. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Sentinel. |
| Gjennomgang av Log Analytics-arbeidsområde | Se gjennom at policyen for dataoppbevaring av data i Log Analytics-arbeidsområdet fortsatt samsvarer med organisasjonens policy. Hvis du vil ha mer informasjon, kan du se Policy for dataoppbevaring og integrere Azure Data Explorer for oppbevaring av langsiktige logger. |