Del via


Microsoft Sentinel driftsveiledning

Denne artikkelen viser de operative aktivitetene som vi anbefaler sikkerhetsoperasjoner (SOC)-team og sikkerhetsadministratorer planlegger for og kjører som en del av deres vanlige sikkerhetsaktiviteter med Microsoft Sentinel. Hvis du vil ha mer informasjon om hvordan du administrerer sikkerhetsoperasjonene, kan du se Oversikt over sikkerhetsoperasjoner.

Daglige oppgaver

Planlegg følgende aktiviteter daglig.

Oppgave Beskrivelse
Triage og undersøke hendelser Se gjennom siden Microsoft Sentinel hendelser for å se etter nye hendelser generert av de konfigurerte analysereglene, og begynn å undersøke eventuelle nye hendelser. Hvis du vil ha mer informasjon, kan du se:
  • Navigere, triage og administrere Microsoft Sentinel hendelser i Azure Portal
  • Undersøk Microsoft Sentinel hendelser i dybden i Azure Portal
  • Utforske jaktspørringer og bokmerker Utforsk resultater for alle innebygde spørringer, og oppdater eksisterende jaktspørringer og bokmerker. Generer nye hendelser manuelt eller oppdater gamle hendelser hvis aktuelt. Hvis du vil ha mer informasjon, kan du se:
  • Opprette dine egne hendelser manuelt i Microsoft Sentinel i Azure Portal (forhåndsvisning)
  • Jakten på trusler med Microsoft Sentinel
  • Hold oversikt over data under jakt med Microsoft Sentinel
  • Analyseregler Se gjennom og aktiver nye analyseregler etter behov, inkludert både nylig utgitte eller nylig tilgjengelige regler fra nylig distribuerte løsninger. Hvis du vil ha mer informasjon, kan du se:
  • Opprett planlagte analyseregler fra maler
  • Om Microsoft Sentinel innhold og løsninger

    Overvåk tilstanden og optimaliser kjøringen av analysereglene. Hvis du vil ha mer informasjon, kan du se:
  • Overvåk tilstanden og overvåk integriteten til analysereglene
  • Overvåk og optimaliser kjøringen av de planlagte analysereglene
  • Datakoblinger Se gjennom tilstandsstatusen for datakoblingene for å sikre at dataene flyter. Se etter nye koblinger, og se gjennom inntak for å sikre at angitte grenser ikke overskrides. Hvis du vil ha mer informasjon, kan du se Overvåke tilstanden til datakoblingene.
    Azure Monitor Agent Kontroller at servere og arbeidsstasjoner er aktivt koblet til arbeidsområdet, og feilsøk og utbedr eventuelle mislykkede tilkoblinger. Hvis du vil ha mer informasjon, kan du se Azure Oversikt over monitoragent.
    Feil i strategiplanen Kontroller statusene for kjøring av strategiplan og feilsøk eventuelle feil. Hvis du vil ha mer informasjon, kan du se Opplæring: Svare på trusler ved hjelp av strategibøker med automatiseringsregler i Microsoft Sentinel.

    Ukentlige oppgaver

    Planlegg følgende aktiviteter ukentlig.

    Oppgave Beskrivelse
    Innholdsgjennomgang av løsninger eller frittstående innhold Få innholdsoppdateringer for installerte løsninger eller frittstående innhold fra innholdshuben. Se gjennom nye løsninger eller frittstående innhold som kan være av verdi for miljøet ditt, for eksempel analyseregler, arbeidsbøker, jaktspørringer eller strategibøker.
    Microsoft Sentinel overvåking Se gjennom Microsoft Sentinel aktivitet for å se hvem som har oppdatert eller slettet ressurser, for eksempel analyseregler, bokmerker og så videre. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel spørringer og aktiviteter.

    Månedlige oppgaver

    Planlegg følgende aktiviteter månedlig.

    Oppgave Beskrivelse
    Se gjennom brukertilgang Se gjennom tillatelser for brukerne, og se etter inaktive brukere. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Sentinel.
    Gjennomgang av Log Analytics-arbeidsområde Se gjennom at policyen for dataoppbevaring av data i Log Analytics-arbeidsområdet fortsatt samsvarer med organisasjonens policy. Hvis du vil ha mer informasjon, kan du se Policy for dataoppbevaring og integrere Azure Data Explorer for oppbevaring av langsiktige logger.