Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de aktiviteter som hjälper dig att planera, distribuera och finjustera din Microsoft Sentinel distribution.
Planera och förbereda översikt
I det här avsnittet beskrivs de aktiviteter och förutsättningar som hjälper dig att planera och förbereda innan du distribuerar Microsoft Sentinel.
Planerings- och förberedelsefasen utförs vanligtvis av en SOC-arkitekt eller relaterade roller.
| Steg | Information |
|---|---|
| 1. Planera och förbereda översikt och förutsättningar | Granska kraven för Azure klientorganisation. |
| 2. Planera arbetsytearkitektur | Utforma log analytics-arbetsytan som är aktiverad för Microsoft Sentinel. Oavsett om du kommer att registrera dig för Microsoft Defender-portalen behöver du fortfarande en Log Analytics-arbetsyta. Överväg parametrar som: – Om du ska använda en enda klientorganisation eller flera klientorganisationer – Alla efterlevnadskrav som du har för datainsamling och lagring – Så här styr du åtkomsten till Microsoft Sentinel data Läs följande artiklar: 1. Designa arbetsytearkitektur 3. Granska exempel på arbetsytedesigner 4. Förbered för flera arbetsytor |
| 3. Prioritera dataanslutningar | Ta reda på vilka datakällor du behöver och vilka datastorlekskrav som hjälper dig att korrekt projicera distributionens budget och tidslinje. Du kan fastställa den här informationen under granskningen av affärsanvändningsfall eller genom att utvärdera en aktuell SIEM som du redan har på plats. Om du redan har en SIEM på plats analyserar du dina data för att förstå vilka datakällor som ger mest värde och bör matas in i Microsoft Sentinel. |
| 4. Planera roller och behörigheter | Använd Azure rollbaserad åtkomstkontroll (RBAC) för att skapa och tilldela roller i ditt säkerhetsåtgärdsteam för att bevilja lämplig åtkomst till Microsoft Sentinel. De olika rollerna ger dig detaljerad kontroll över vad Microsoft Sentinel användare kan se och göra. Azure roller kan tilldelas direkt på arbetsytan, eller i en prenumeration eller resursgrupp som arbetsytan tillhör, som Microsoft Sentinel ärver. |
| 5. Planera kostnader | Börja planera din budget med tanke på kostnadskonsekvenserna för varje planerat scenario. Se till att din budget täcker kostnaden för datainmatning för både Microsoft Sentinel och Azure Log Analytics, eventuella spelböcker som kommer att distribueras och så vidare. |
Distributionsöversikt
Distributionsfasen utförs vanligtvis av en SOC-analytiker eller relaterade roller.
| Steg | Information |
|---|---|
| 1. Aktivera Microsoft Sentinel, hälsa och granskning samt innehåll | Aktivera Microsoft Sentinel, aktivera hälso- och granskningsfunktionen och aktivera de lösningar och innehåll som du har identifierat enligt organisationens behov.
Information om hur du registrerar Microsoft Sentinel med hjälp av API:et finns i den senaste versionen av Sentinel onboarding-tillstånd som stöds. |
| 2. Konfigurera innehåll | Konfigurera de olika typerna av Microsoft Sentinel säkerhetsinnehåll, som gör att du kan identifiera, övervaka och reagera på säkerhetshot i dina system: Dataanslutningar, analysregler, automatiseringsregler, spelböcker, arbetsböcker och visningslistor. |
| 3. Konfigurera en arkitektur för flera arbetsytor | Om din miljö kräver flera arbetsytor kan du nu konfigurera dem som en del av distributionen. I den här artikeln får du lära dig hur du konfigurerar Microsoft Sentinel för att utöka över flera arbetsytor och klientorganisationer. |
| 4. Aktivera användar- och entitetsbeteendeanalys (UEBA) | Aktivera och använda UEBA-funktionen för att effektivisera analysprocessen. |
| 5. Konfigurera Microsoft Sentinel datasjö | Konfigurera inställningar för interaktiv datakvarhållning och datakvarhållning för att säkerställa att din organisation behåller kritiska långsiktiga data, med hjälp av Microsoft Sentinel datasjö för kostnadseffektiv lagring, förbättrad synlighet och sömlös integrering med avancerade analysverktyg. |
Finjustera och granska: Checklista för efterdistribution
Granska checklistan efter distributionen för att se till att distributionsprocessen fungerar som förväntat och att det säkerhetsinnehåll som du distribuerade fungerar och skyddar din organisation efter dina behov och användningsfall.
Fasen för finjustering och granskning utförs vanligtvis av en SOC-tekniker eller relaterade roller.
| Steg | Åtgärder |
|---|---|
| ✅ Granska incidenter och incidentprocesser | – Kontrollera om incidenterna och antalet incidenter som du ser återspeglar vad som faktiskt händer i din miljö. – Kontrollera om SOC:s incidentprocess fungerar för att effektivt hantera incidenter: Har du tilldelat olika typer av incidenter till olika lager/nivåer i SOC? Läs mer om hur du navigerar och undersöker incidenter och hur du arbetar med incidentuppgifter. |
| ✅ Granska och finjustera analysregler | – Baserat på din incidentgranskning kontrollerar du om dina analysregler utlöses som förväntat och om reglerna återspeglar de typer av incidenter som du är intresserad av. - Hantera falska positiva identifieringar, antingen med hjälp av automatisering eller genom att ändra schemalagda analysregler. – Microsoft Sentinel innehåller inbyggda finjusteringsfunktioner som hjälper dig att analysera dina analysregler. Granska dessa inbyggda insikter och implementera relevanta rekommendationer. |
| ✅ Granska automatiseringsregler och spelböcker | – På samma sätt som med analysregler kontrollerar du att dina automatiseringsregler fungerar som förväntat och återspeglar de incidenter som du är orolig för och är intresserad av. – Kontrollera om dina spelböcker svarar på aviseringar och incidenter som förväntat. |
| ✅ Lägga till data i visningslistor | Kontrollera att dina visningslistor är uppdaterade. Om några ändringar har gjorts i din miljö, till exempel nya användare eller användningsfall, uppdaterar du dina visningslistor i enlighet med detta. |
| ✅ Granska åtagandenivåer | Granska de åtagandenivåer som du först konfigurerade och kontrollera att dessa nivåer återspeglar din aktuella konfiguration. |
| ✅ Hålla reda på kostnader för inmatning | Om du vill hålla reda på inmatningskostnader använder du någon av följande arbetsböcker: – Arbetsboken Användningsrapport för arbetsyta innehåller arbetsytans dataförbrukning, kostnad och användningsstatistik. Arbetsboken ger arbetsytans datainmatningsstatus och mängden kostnadsfria och fakturerbara data. Du kan använda arbetsbokslogik för att övervaka datainmatning och kostnader samt för att skapa anpassade vyer och regelbaserade aviseringar. – Arbetsboken Microsoft Sentinel Cost ger en mer fokuserad vy över Microsoft Sentinel kostnader, inklusive inmatnings- och kvarhållningsdata, datainmatning för berättigade datakällor, faktureringsinformation för Logic Apps med mera. |
| ✅ Finjustera regler för datainsamling (DCR) | – Kontrollera att dina domänkontrollanter återspeglar dina datainmatningsbehov och användningsfall. – Om det behövs implementerar du inmatningstidstransformering för att filtrera bort irrelevanta data redan innan de först lagras på din arbetsyta. |
| ✅ Kontrollera analysregler mot MITRE-ramverket | Kontrollera DIN MITRE-täckning på Microsoft Sentinel MITRE-sidan: Visa identifieringarna som redan är aktiva på din arbetsyta och de som är tillgängliga för att du ska kunna konfigurera, för att förstå organisationens säkerhetstäckning, baserat på taktiker och tekniker från MITRE ATT&CK-ramverket®. |
| ✅ Jaga misstänkt aktivitet | Se till att din SOC har en process för proaktiv hotjakt. Jakt är en process där säkerhetsanalytiker söker oupptäckta hot och skadliga beteenden. Genom att skapa en hypotes, söka igenom data och verifiera den hypotesen bestämmer de vad de ska agera på. Åtgärder kan vara att skapa nya identifieringar, ny hotinformation eller att skapa en ny incident. |
Relaterade artiklar
I den här artikeln har du granskat aktiviteterna i var och en av de faser som hjälper dig att distribuera Microsoft Sentinel.
Beroende på vilken fas du befinner dig i väljer du lämpliga nästa steg:
- Planera och förbereda – Förutsättningar för att distribuera Azure Sentinel
- Distribuera – Aktivera Microsoft Sentinel och inledande funktioner och innehåll
- Finjustera och granska – Navigera och undersöka incidenter i Microsoft Sentinel
När du är klar med distributionen av Microsoft Sentinel fortsätter du att utforska Microsoft Sentinel funktioner genom att gå igenom självstudier som beskriver vanliga uppgifter:
- Vad är Microsoft Sentinel datasjö?
- Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent
- Konfigurera kvarhållning på tabellnivå
- Identifiera hot med hjälp av analysregler
- Kontrollera och registrera information om IP-adressrykte i incidenter automatiskt
- Svara på hot med hjälp av automatisering
- Extrahera incidententiteter med icke-intern åtgärd
- Undersöka med UEBA
- Skapa och övervaka Nolltillit
Läs den Microsoft Sentinel driftsguiden för de vanliga SOC-aktiviteterna som vi rekommenderar att du utför dagligen, varje vecka och varje månad.