Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Vägledning för bästa praxis finns i den tekniska dokumentationen för Microsoft Sentinel. Den här artikeln beskriver några viktiga riktlinjer som du kan använda när du distribuerar, hanterar och använder Microsoft Sentinel.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Information om hur du kommer igång med Microsoft Sentinel finns i distributionsguiden som beskriver de övergripande stegen för att planera, distribuera och finjustera din Microsoft Sentinel distribution. I den guiden väljer du de angivna länkarna för att hitta detaljerad vägledning för varje steg i distributionen.
Implementera en arkitektur med en plattform
Microsoft Sentinel är integrerad med en modern datasjö som erbjuder prisvärd, långsiktig lagring som gör det möjligt för team att förenkla datahantering, optimera kostnader och påskynda införandet av AI. Den Microsoft Sentinel datasjön möjliggör en arkitektur med en plattform för säkerhetsdata och ger analytiker en enhetlig frågeupplevelse samtidigt som Microsoft Sentinel omfattande ekosystem för anslutningsappar används. Mer information finns i Microsoft Sentinel datasjö .
Registrera Microsoft Sentinel till Microsoft Defender-portalen och integrera med Microsoft Defender XDR
Överväg att registrera Microsoft Sentinel till Microsoft Defender-portalen för att förena funktioner med Microsoft Defender XDR som incidenthantering och avancerad jakt.
Observera att om du inte registrerar Microsoft Sentinel till Microsoft Defender-portalen:
- I juli 2026 omdirigeras alla Microsoft Sentinel kunder som använder Azure Portal till Defender-portalen.
- Fram till dess kan du använda Defender XDR-dataanslutningen för att integrera Microsoft Defender tjänstdata med Microsoft Sentinel i Azure Portal.
Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel.
Mer information finns i följande artiklar:
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Ansluta Microsoft Sentinel till Microsoft Defender XDR
- Microsoft Sentinel i Microsoft Defender-portalen
Integrera Microsofts säkerhetstjänster
Microsoft Sentinel kan användas av de komponenter som skickar data till din arbetsyta och blir starkare genom integreringar med andra Microsoft-tjänster. Alla loggar som matas in i produkter, till exempel Microsoft Defender for Cloud Apps, Microsoft Defender för Endpoint och Microsoft Defender for Identity, gör det möjligt för dessa tjänster att skapa identifieringar och i sin tur tillhandahålla dessa identifieringar till Microsoft Sentinel. Loggar kan också matas in direkt i Microsoft Sentinel för att ge en mer fullständig bild av händelser och incidenter.
Mer än att mata in aviseringar och loggar från andra källor ger Microsoft Sentinel också:
| Funktion | Beskrivning |
|---|---|
| Hotidentifiering | Hotidentifieringsfunktioner med artificiell intelligens, så att du kan skapa och presentera interaktiva visuella objekt via arbetsböcker, köra spelböcker för att automatiskt agera på aviseringar, integrera maskininlärningsmodeller för att förbättra dina säkerhetsåtgärder samt mata in och hämta berikningsflöden från hotinformationsplattformar. |
| Hotundersökning | Med funktioner för hotundersökning kan du visualisera och utforska aviseringar och entiteter, identifiera avvikelser i användar- och entitetsbeteende och övervaka realtidshändelser under en undersökning. |
| Datainsamling | Samla in data för alla användare, enheter, program och infrastruktur, både lokalt och i flera moln. |
| Hotsvar | Funktioner för hothantering, till exempel spelböcker som integreras med Azure tjänster och dina befintliga verktyg. |
| Partnerintegreringar | Integrerar med partnerplattformar med hjälp av Microsoft Sentinel dataanslutningar och tillhandahåller viktiga tjänster för SOC-team. |
Skapa anpassade integreringslösningar (partner)
För partner som vill skapa anpassade lösningar som integreras med Microsoft Sentinel, se Metodtips för partner som integrerar med Microsoft Sentinel.
Planera incidenthanterings- och svarsprocessen
Följande bild visar rekommenderade steg i en incidenthanterings- och svarsprocess.
Följande tabell innehåller övergripande uppgifter för incidenthantering och svar samt relaterade metodtips. Mer information finns i Microsoft Sentinel incidentundersökning i Azure Portal eller Incidenter och aviseringar i Microsoft Defender-portalen.
| Uppgift | Metodtips |
|---|---|
| Sidan Granska incidenter | Granska en incident på sidan Incidenter , som visar en lista över namn, allvarlighetsgrad och relaterade aviseringar, loggar och eventuella intressanta entiteter. Du kan också hoppa från incidenter till insamlade loggar och verktyg som är relaterade till incidenten. |
| Använda incidentdiagram | Granska incidentdiagrammet för en incident för att se hela omfattningen av en attack. Du kan sedan skapa en tidslinje med händelser och identifiera omfattningen av en hotkedja. |
| Granska incidenter för falska positiva identifieringar | Använd data om viktiga entiteter, till exempel konton, URL:er, IP-adress, värdnamn, aktiviteter, tidslinje för att förstå om du har en falsk positiv identifiering till hands, i vilket fall du kan stänga incidenten direkt. Om du upptäcker att incidenten är en sann positiv åtgärd kan du vidta åtgärder direkt från sidan Incidenter för att undersöka loggar, entiteter och utforska hotkedjan. När du har identifierat hotet och skapat en åtgärdsplan kan du använda andra verktyg i Microsoft Sentinel och andra Microsoft-säkerhetstjänster för att fortsätta undersöka. |
| Visualisera information | Ta en titt på instrumentpanelen för Microsoft Sentinel översikt för att få en uppfattning om organisationens säkerhetsstatus. Mer information finns i Visualisera insamlade data. Förutom information och trender på Microsoft Sentinel översiktssida är arbetsböcker värdefulla utredningsverktyg. Använd till exempel arbetsboken Investigation Insights för att undersöka specifika incidenter tillsammans med eventuella associerade entiteter och aviseringar. Med den här arbetsboken kan du fördjupa dig i entiteter genom att visa relaterade loggar, åtgärder och aviseringar. |
| Sök efter hot | När du undersöker och söker efter rotorsaker kan du köra inbyggda hotjaktfrågor och kontrollera resultaten för eventuella indikatorer på kompromisser. Mer information finns i Hotjakt i Microsoft Sentinel. |
| Entitetsbeteende | Entitetsbeteende i Microsoft Sentinel gör det möjligt för användare att granska och undersöka åtgärder och aviseringar för specifika entiteter, till exempel undersöka konton och värdnamn. Mer information finns i: - Aktivera användar- och entitetsbeteendeanalys (UEBA) i Microsoft Sentinel - Undersöka incidenter med UEBA-data - referens för Microsoft Sentinel UEBA-berikning |
| Visningslistor | Använd en visningslista som kombinerar data från inmatade data och externa källor, till exempel berikande data. Skapa till exempel listor över IP-adressintervall som används av din organisation eller nyligen avslutade anställda. Använd visningslistor med spelböcker för att samla in berikningsdata, till exempel lägga till skadliga IP-adresser i visningslistor som ska användas under identifiering, hotjakt och undersökningar. Under en incident använder du visningslistor för att innehålla undersökningsdata och tar sedan bort dem när undersökningen är klar för att säkerställa att känsliga data inte förblir i vyn. Mer information finns i Visningslistor i Microsoft Sentinel. |
Optimera datainsamling och inmatning
Granska metodtipsen för Microsoft Sentinel datainsamling, bland annat prioritering av dataanslutningar, filtrering av loggar och optimering av datainmatning.
Gör dina Kusto-frågespråk frågor snabbare
Granska Kusto-frågespråk bästa praxis för att göra frågor snabbare.