Uw Microsoft Sentinel migratie bijhouden met een werkmap

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Omdat het Security Operations Center (SOC) van uw organisatie steeds meer gegevens verwerkt, is het essentieel om uw implementatiestatus te plannen en te bewaken. Hoewel u uw migratieproces kunt bijhouden met behulp van algemene hulpprogramma's zoals Microsoft Project, Microsoft Excel, Microsoft Teams of Azure DevOps, zijn deze hulpprogramma's niet specifiek voor het bijhouden van migraties van SECURITY Information and Event Management (SIEM). Om u te helpen bij te houden, bieden we een speciale werkmap in Microsoft Sentinel met de naam Microsoft Sentinel Implementatie en migratie.

De werkmap helpt u bij het volgende:

  • Voortgang van de migratie visualiseren
  • Gegevensbronnen implementeren en bijhouden
  • Analyseregels en -incidenten implementeren en bewaken
  • Werkmappen implementeren en gebruiken
  • Automatisering implementeren en uitvoeren
  • Gedragsanalyse van gebruikers en entiteiten (U E B A) implementeren en aanpassen

In dit artikel wordt beschreven hoe u uw migratie kunt bijhouden met de werkmap Microsoft Sentinel Implementatie en migratie, hoe u de werkmap aanpast en beheert en hoe u de werkmaptabbladen gebruikt om gegevensconnectors, analyses, incidenten, playbooks, automatiseringsregels, U E B A en gegevensbeheer te implementeren en te bewaken. Meer informatie over het gebruik van Azure Werkmappen bewaken in Microsoft Sentinel.

De werkmapinhoud implementeren en de werkmap weergeven

Als u de werkmap wilt ophalen, installeert u eerst het zelfstandige item vanuit de hub Inhoud in Microsoft Sentinel.

  1. Filter in de hub Microsoft Sentinel Inhoud de inhoud die wordt vermeld op Inhoudstype = Werkmappen en voer vervolgens migratie in de zoekbalk in.

  2. Selecteer in de zoekresultaten de werkmap Microsoft Sentinel Implementatie en migratie en selecteer vervolgens Installeren. Microsoft Sentinel implementeert de werkmap en slaat de werkmap op in uw omgeving.

  3. Selecteer in Microsoft Sentinel onder Bedreigingsbeheerde optie Werkmapsjablonen>.

  4. Selecteer de werkmap Microsoft Sentinel Implementatie en migratie en Sjabloon Weergeven.

De volglijst implementeren

De volgende stap is het implementeren van de gerelateerde volglijst vanuit de Microsoft Sentinel GitHub-opslagplaats.

  1. Selecteer in de Microsoft Sentinel GitHub-opslagplaats de map DeploymentandMigration en selecteer Deploy to Azure om de sjabloonimplementatie in Azure te starten.
  2. Geef de naam van de Microsoft Sentinel resourcegroep en werkruimte op. Schermopname van het implementeren van de volglijst naar Azure.
  3. Selecteer Controleren en maken.
  4. Nadat de informatie is gevalideerd, selecteert u Maken.

De volglijst bijwerken met implementatie- en migratieacties

Deze stap is van cruciaal belang voor het installatieproces voor bijhouden. Als u deze stap overslaat, worden de items voor het bijhouden van de werkmap niet weergegeven.

De volglijst bijwerken met implementatie- en migratieacties:

  1. Selecteer in de portal Azure of Microsoft Defender Microsoft Sentinel en selecteer vervolgens Volglijst.
  2. Selecteer de volglijst met de implementatiealias .
  3. Selecteer vervolgens Volglijst bijwerken > watchlistitems bewerken.
  4. Geef de informatie op voor de acties die nodig zijn voor de implementatie en migratie. Schermopname van het bijwerken van volglijstitems met implementatie- en migratieacties.
  5. Klik op Opslaan.

U kunt nu de volglijst weergeven in de werkmap voor het bijhouden van migraties. Meer informatie over het beheren van volglijsten.

Daarnaast kan uw team tijdens het implementatieproces taken bijwerken of voltooien. Als u deze wijzigingen wilt verhelpen, werkt u bestaande acties bij of voegt u nieuwe acties toe wanneer u nieuwe use cases identificeert of stelt u nieuwe vereisten in. Als u acties wilt bijwerken of toevoegen, bewerkt u de volglijst implementatie die u hebt geïmplementeerd. Als u het proces wilt vereenvoudigen, selecteert u in de werkmap Watchlist voor implementatie bewerken om de volglijst rechtstreeks vanuit de werkmap te openen.

Implementatiestatus weergeven

Als u de voortgang van de implementatie snel wilt bekijken, selecteert u implementatie en migratie in de werkmap Microsoft Sentinel Implementatie en schuift u omlaag om het overzicht van de voortgang te zoeken. In dit gebied wordt de implementatiestatus weergegeven, inclusief de volgende informatie:

  • Tabellen met rapportagegegevens
  • Aantal tabellen dat gegevens rapporteert
  • Aantal gerapporteerde logboeken en welke tabellen de logboekgegevens rapporteren
  • Aantal ingeschakelde regels versus niet-geïmplementeerde regels
  • Aanbevolen geïmplementeerde werkmappen
  • Totaal aantal geïmplementeerde werkmappen
  • Totaal aantal geïmplementeerde playbooks

Gegevensconnectors implementeren en bewaken

Als u geïmplementeerde resources wilt bewaken en nieuwe connectors wilt implementeren, selecteert u in de werkmap Microsoft Sentinel Implementatie en migratiede optie Gegevensconnectors > bewaken. De weergavelijsten Controleren :

  • Huidige opnametrends
  • Tabellen die gegevens opnemen
  • Hoeveel gegevens elke tabel rapporteert
  • Eindpunten rapporteren met Azure Monitor Agent (AMA)
  • Regels voor gegevensverzameling in de resourcegroep en de apparaten die aan de regels zijn gekoppeld
  • Status van gegevensconnector (wijzigingen en fouten)
  • Statuslogboeken binnen het opgegeven tijdsbereik

Schermopname van de weergave Monitor van het tabblad Gegevensconnectors van de werkmap.

Een gegevensconnector configureren:

  1. Selecteer de weergave Configureren .
  2. Selecteer de knop met de naam van de connector die u wilt configureren.
  3. Configureer de connector in het statusscherm van de connector dat wordt geopend. Als u een connector die u nodig hebt niet kunt vinden, selecteert u de naam van de connector om de connectorgalerie of oplossingsgalerie te openen. Schermopname van de weergave Configureren van de werkmap.

Analyses en incidenten implementeren en bewaken

Wanneer de gegevens in de werkruimte worden gerapporteerd, configureert en controleert u analyseregels. Selecteer in de werkmap Microsoft Sentinel Implementatie en migratie het tabblad Analyse om alle geïmplementeerde regelsjablonen en lijsten weer te geven. In deze weergave wordt aangegeven welke regels momenteel worden gebruikt en hoe vaak de regels incidenten genereren.

Schermopname van het tabblad Analyse van de werkmap.

Als u meer dekking nodig hebt, selecteert u MITRE-dekking controleren onder de tabel aan de linkerkant. Gebruik deze optie om te definiëren welke gebieden meer dekking ontvangen en welke regels worden geïmplementeerd, in elke fase van het migratieproject.

Schermopname van de MITRE-dekkingsweergave van de werkmap.

Wanneer u de analyseregels implementeert en de Defender-productconnector is geconfigureerd om de waarschuwingen te verzenden, controleert u het maken en frequentie van incidenten onder Implementatieoverzicht > van de voortgang. In dit gebied worden metrische gegevens weergegeven met betrekking tot het genereren van waarschuwingen per product, titel en classificatie om de status van de SOC aan te geven en welke waarschuwingen de meeste aandacht vereisen. Als waarschuwingen te veel volume genereren, gaat u terug naar het tabblad Analyse om de logica te wijzigen.

Schermopname van het overzicht van de voortgang op het tabblad Analyse van de werkmap.

Werkmappen implementeren en gebruiken

Als u informatie wilt visualiseren over de gegevensopname en detecties die Microsoft Sentinel uitvoert, selecteert u in de werkmap Microsoft Sentinel Implementatie en migratiede optie Werkmappen. Net als op het tabblad Gegevensconnectors gebruikt u de weergaven Bewaken en Configureren om bewakings- en configuratiegegevens weer te geven.

Hier volgen enkele nuttige taken die u kunt uitvoeren op het tabblad Werkmappen :

  • Als u een lijst wilt weergeven met alle werkmappen in de omgeving en het aantal werkmappen dat is geïmplementeerd, selecteert u Controleren.

  • Als u een specifieke werkmap in de werkmap Implementatie en migratie van Microsoft Sentinel wilt weergeven, selecteert u een werkmap en selecteert u vervolgens Geselecteerde werkmap openen.

    Schermopname van het selecteren van een werkmap op het tabblad Werkmap.

  • Als u nog geen werkmappen hebt geïmplementeerd, selecteert u Configureren om een lijst met veelgebruikte en aanbevolen werkmappen weer te geven. Als een werkmap niet wordt weergegeven, selecteert u Ga naar werkmapgalerie of Ga naar Inhoudshub om de relevante werkmap te implementeren.

    Schermopname van het weergeven van een werkmap op het tabblad Werkmap.

Playbooks en automatiseringsregels implementeren en bewaken

Wanneer u gegevensopname, detecties en visualisaties configureert, kunt u nu kijken naar automatisering. Selecteer in de werkmap Microsoft Sentinel Implementatie en migratiede optie Automatisering om geïmplementeerde playbooks weer te geven en om te zien welke playbooks momenteel zijn verbonden met een automatiseringsregel. Als er automatiseringsregels bestaan, markeert de werkmap de volgende informatie met betrekking tot elke regel:

  • Naam
  • Status
  • Actie of acties van de regel
  • De laatste datum waarop de regel is gewijzigd en de gebruiker die de regel heeft gewijzigd
  • De datum waarop de regel is gemaakt

Als u automatisering in de huidige sectie van de werkmap wilt weergeven, implementeren en testen, selecteert u Automatiseringsresources implementeren linksonder.

Meer informatie over Microsoft Sentinel SOAR-mogelijkheden voor playbooks en voor automatiseringsregels.

Schermopname van het tabblad Automatisering van de werkmap.

U E B A implementeren en bewaken

Omdat gegevensrapportage en -detecties plaatsvinden op entiteitsniveau, is het essentieel om het gedrag en de trends van entiteiten te bewaken. Als u de U E B A-functie in Microsoft Sentinel wilt inschakelen, selecteert u UEBA in de werkmap Microsoft Sentinel Implementatie en migratie. Hier kunt u de entiteitstijdlijnen voor entiteitspagina's aanpassen en bekijken welke entiteitsgerelateerde tabellen worden gevuld met gegevens.

Schermopname van het tabblad U E B A van de werkmap.

Ga als volgende te werk om U E B A in te schakelen:

  1. Selecteer UEBA inschakelen boven de lijst met tabellen.
  2. Als u U E B A wilt inschakelen, selecteert u Aan.
  3. Selecteer de gegevensbronnen die u wilt gebruiken om inzichten te genereren.
  4. Selecteer Toepassen.

Nadat u U E B A hebt ingeschakeld, controleert u en zorgt u ervoor dat Microsoft Sentinel U E B A-gegevens genereert.

De tijdlijn aanpassen:

  1. Selecteer Entiteitstijdlijn aanpassen boven de lijst met tabellen.
  2. Maak een aangepast item of selecteer een van de kant-en-klare sjablonen.
  3. Als u de sjabloon wilt implementeren en de wizard wilt voltooien, selecteert u Maken.

Meer informatie over U E B A of meer informatie over het aanpassen van de tijdlijn.

De levenscyclus van gegevens configureren en beheren

Wanneer u implementeert of migreert naar Microsoft Sentinel, is het essentieel om het gebruik en de levenscyclus van de binnenkomende logboeken te beheren. Selecteer in de werkmap Microsoft Sentinel Implementatie en migratieGegevensbeheer om tabelretentie en archivering weer te geven en te configureren.

Schermopname van het tabblad Gegevensbeheer van de werkmap.

Bekijk informatie over:

  • Tabellen die zijn geconfigureerd voor eenvoudige logboekopname
  • Tabellen die zijn geconfigureerd voor opname van analyselagen
  • Tabellen die zijn geconfigureerd om te worden gearchiveerd
  • Tabellen in de standaardwerkruimteretentie

Het bestaande bewaarbeleid voor tabellen wijzigen:

  1. Selecteer de weergave Standaardretentietabellen .
  2. Selecteer de tabel die u wilt wijzigen en selecteer Bewaarperiode bijwerken. Bewerk de volgende informatie indien nodig:
    • Huidige retentie in de werkruimte
    • Huidige retentie in het archief
    • Totaal aantal dagen dat de gegevens zich in de omgeving bevinden
  3. Bewerk de waarde TotalRetention om een nieuw totaal aantal dagen in te stellen dat de gegevens in de omgeving moeten bestaan.

De waarde ArchiveRetention wordt berekend door de totalretention-waarde af te trekken van de interactiveretention-waarde . Als u de werkruimteretentie wilt aanpassen, heeft de wijziging geen invloed op tabellen met geconfigureerde archieven en gaan er geen gegevens verloren. Als u de interactiveretention-waarde bewerkt en de totalretention-waarde niet verandert, past Azure Log Analytics de archiefretentie aan om de wijziging te compenseren.

Als u liever wijzigingen aanbrengt in de gebruikersinterface, selecteert u Bewaarperiode bijwerken in de gebruikersinterface om de relevante pagina te openen.

Meer informatie over het beheer van de levenscyclus van gegevens.

Tips en instructies voor migratie inschakelen

De werkmap bevat tips voor het gebruik van de verschillende tabbladen en koppelingen naar relevante resources om u te helpen bij het implementatie- en migratieproces. De tips zijn gebaseerd op Microsoft Sentinel migratiedocumentatie en zijn relevant voor uw huidige SIEM. Als u tips en instructies wilt inschakelen, stelt u in de werkmap Microsoft Sentinel Implementatie en migratie in de rechterbovenhoek MigrationTips en -instructies in op Ja.

Schermopname van de migratietips en -instructies van de werkmap.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw migratie bijhoudt met de werkmap Microsoft Sentinel Implementatie en migratie.

  • Last updated on