Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ett säkerhetsåtgärdscenter (SOC) är en centraliserad funktion i en organisation som integrerar personer, processer och teknik. En SOC implementerar organisationens övergripande ramverk för cybersäkerhet. SOC samarbetar med organisationen för att övervaka, varna, förhindra, identifiera, analysera och reagera på cybersäkerhetsincidenter. SOC-team, ledda av en SOC-chef, kan innehålla incidenthantering, SOC-analytiker på nivå 1, 2 och 3, hotjägare och incidenthanteringshanterare.
SOC-team använder telemetri från organisationens IT-infrastruktur, inklusive nätverk, enheter, program, beteenden, apparater och informationslager. Teamen samordnar sedan och analyserar data för att avgöra hur data ska hanteras och vilka åtgärder som ska utföras.
Om du vill migrera till Microsoft Sentinel måste du uppdatera inte bara den teknik som SOC använder, utan även SOC-uppgifter och -processer. Den här artikeln beskriver hur du uppdaterar soc- och analytikerprocesserna som en del av migreringen till Microsoft Sentinel.
Uppdatera analytikerarbetsflöde
Microsoft Sentinel erbjuder en rad verktyg som mappar till ett typiskt analytikerarbetsflöde, från incidenttilldelning till stängning. Analytiker kan flexibelt använda vissa eller alla tillgängliga verktyg för att sortera och undersöka incidenter. När din organisation migrerar till Microsoft Sentinel måste dina analytiker anpassa sig till dessa nya verktygsuppsättningar, funktioner och arbetsflöden.
Incidenter i Microsoft Sentinel
I Microsoft Sentinel är en incident en samling aviseringar som Microsoft Sentinel fastställer har tillräcklig återgivning för att utlösa incidenten. Med Microsoft Sentinel sorterar analytikern därför incidenter på sidan Incidenter först och fortsätter sedan med att analysera aviseringar om det behövs en djupare genomgång. Jämför SIEM:s incidentterminologi och hanteringsområden med Microsoft Sentinel.
Arbetsflödesfaser för analytiker
Den här tabellen beskriver de viktigaste stegen i analytikerarbetsflödet och visar de specifika verktyg som är relevanta för varje aktivitet i arbetsflödet.
| Tilldela | Triage | Undersöka | Svara |
|---|---|---|---|
|
Tilldela incidenter: • Manuellt, på sidan Incidenter • Automatiskt, med hjälp av spelböcker eller automatiseringsregler |
Sortera incidenter med hjälp av: • Incidentinformationen på sidan Incident • Entitetsinformation på sidan Incident under fliken Entiteter • Jupyter Notebooks |
Undersök incidenter med hjälp av: • Undersökningsdiagrammet • Microsoft Sentinel arbetsböcker • Log Analytics-frågefönstret |
Svara på incidenter med hjälp av: • Spelböcker och automatiseringsregler • Microsoft Teams War Room |
I nästa avsnitt mappas både terminologi- och analytikerarbetsflödet till specifika Microsoft Sentinel funktioner.
Tilldela
Använd sidan Microsoft Sentinel incidenter för att tilldela incidenter. Sidan Incidenter innehåller en incidentförhandsgranskning och en detaljerad vy för enskilda incidenter.
Så här tilldelar du en incident:
- Manuellt. Ange fältet Ägare till relevant användarnamn.
- Automatiskt. Använd en anpassad lösning baserad på Microsoft Teams och Logic Apps, eller en automatiseringsregel.
Triage
Om du vill utföra en prioriteringsövning i Microsoft Sentinel kan du börja med olika Microsoft Sentinel funktioner, beroende på din expertnivå och typen av incident som utreds. Som en typisk startpunkt väljer du Visa fullständig information på sidan Incident . Nu kan du undersöka aviseringarna som utgör incidenten, granska bokmärken, välja entiteter för att öka detaljnivån ytterligare i specifika entiteter eller lägga till kommentarer.
Här är föreslagna åtgärder för att fortsätta din incidentgranskning:
- Välj Undersökning för en visuell representation av relationerna mellan incidenterna och relevanta entiteter.
- Använd en Jupyter Notebook för att utföra en djupgående prioriteringsövning för en viss entitet. Du kan använda notebook-filen Incidenttriage för den här övningen.
Påskynda sortering
Använd dessa funktioner för att påskynda prioriteringen:
- För snabbfiltrering går du till sidan Incidenteroch söker efter incidenter som är associerade med en specifik entitet. Filtrering efter entitet på sidan Incidenter är snabbare än att filtrera efter entitetskolumnen i äldre SIEM-incidentköer.
- För snabbare sortering använder du skärmen Aviseringsinformation för att inkludera viktig incidentinformation i incidentnamnet och beskrivningen, till exempel det relaterade användarnamnet, IP-adressen eller värden. En incident kan till exempel dynamiskt byta namn till
Ransomware activity detected in DC01, därDC01är en kritisk tillgång som dynamiskt identifieras via de anpassningsbara aviseringsegenskaperna. - För djupare analys går du till sidan Incidenter, väljer en incident och väljer Händelser under Bevis för att visa specifika händelser som utlöste incidenten. Händelsedata visas som utdata för frågan som är associerad med analysregeln i stället för råhändelsen. Regelmigreringsteknikern kan använda dessa utdata för att säkerställa att analytikern hämtar rätt data.
- För detaljerad entitetsinformation går du till sidan Incidenter, väljer en incident och väljer ett entitetsnamn under Entiteter för att visa entitetens kataloginformation, tidslinje och insikter. Lär dig hur du mappar entiteter.
- Om du vill länka till relevanta arbetsböcker väljer du Incidentförhandsgranskning. Du kan anpassa arbetsboken för att visa ytterligare information om incidenten eller associerade entiteter och anpassade fält.
Undersöka
Använd undersökningsdiagrammet för att undersöka incidenter på djupet. På sidan Incidenter väljer du en incident och väljer Undersök för att visa undersökningsdiagrammet.
Med undersökningsdiagrammet kan du:
- Förstå omfånget och identifiera rotorsaken till potentiella säkerhetshot genom att korrelera relevanta data med alla berörda entiteter.
- Fördjupa dig i entiteter och välj mellan olika expansionsalternativ.
- Du kan enkelt se anslutningar mellan olika datakällor genom att visa relationer som extraheras automatiskt från rådata.
- Utöka undersökningsomfånget med hjälp av inbyggda utforskningsfrågor för att visa hela omfattningen av ett hot.
- Använd fördefinierade utforskningsalternativ för att ställa rätt frågor när du undersöker ett hot.
Från undersökningsdiagrammet kan du också öppna arbetsböcker för att ytterligare stödja dina undersökningsinsatser. Microsoft Sentinel innehåller flera arbetsboksmallar som du kan anpassa efter ditt specifika användningsfall.
Svara
Använd Microsoft Sentinel automatiserade svarsfunktioner för att hantera komplexa hot och minska aviseringströttheten. Microsoft Sentinel ger automatiserat svar med hjälp av Logic Apps-spelböcker och automatiseringsregler.
Använd något av följande alternativ för att komma åt spelböcker:
- Fliken Automation-spelboksmallar >
- Innehållshubben för Microsoft Sentinel
- Microsoft Sentinel GitHub-lagringsplats
Dessa källor omfattar ett brett utbud av säkerhetsorienterade spelböcker för att täcka en betydande del av användningsfallen med varierande komplexitet. Om du vill effektivisera ditt arbete med spelböcker använder du mallarna under Automation-spelboksmallar>. Med mallar kan du enkelt distribuera spelböcker till Microsoft Sentinel-instansen och sedan ändra spelböckerna så att de passar organisationens behov.
Se SOC Process Framework för att mappa SOC-processen till Microsoft Sentinel funktioner.
Jämföra SIEM-begrepp
Använd den här tabellen för att jämföra huvudbegreppen i din äldre SIEM med Microsoft Sentinel begrepp.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Händelse | Händelse | Händelse | Händelse |
| Korrelationshändelse | Korrelationshändelse | Noterbar händelse | Varning |
| Incident | Brott | Noterbar händelse | Incident |
| Lista över brott | Taggar | Sidan Incidenter | |
| Etiketter | Anpassat fält i SOAR | Taggar | Taggar |
| Jupyter Notebooks | Jupyter Notebooks | Microsoft Sentinel notebook-filer | |
| Instrumentpaneler | Instrumentpaneler | Instrumentpaneler | Arbetsböcker |
| Korrelationsregler | Byggstenar | Korrelationsregler | Analysregler |
| Incidentkö | Fliken Brott | Incidentgranskning | Incidentsida |
Nästa steg
Efter migreringen kan du utforska Microsofts Microsoft Sentinel resurser för att utöka dina kunskaper och få ut mesta möjliga av Microsoft Sentinel.
Överväg också att öka ditt hotskydd med hjälp av Microsoft Sentinel tillsammans med Microsoft Defender XDR och Microsoft Defender för molnet förintegrerat skydd mot hot. Dra nytta av bredden av synlighet som Microsoft Sentinel levererar, samtidigt som du fördjupar dig i detaljerad hotanalys.
Mer information finns i:
- Metodtips för regelmigrering
- Webbseminarier: Metodtips för konvertering av identifieringsregler
- Säkerhetsorkestrering, automatisering och svar (SOAR) i Microsoft Sentinel
- Hantera din SOC bättre med incidentmått
- Microsoft Sentinel utbildningsväg
- SC-200 Microsoft Security Operations Analyst-certifiering
- Microsoft Sentinel ninjaträning
- Undersöka en attack mot en hybridmiljö med Microsoft Sentinel