Spåra din Microsoft Sentinel migrering med en arbetsbok

Eftersom organisationens säkerhetsåtgärdscenter (SOC) hanterar växande mängder data är det viktigt att planera och övervaka distributionsstatusen. Du kan spåra migreringsprocessen med hjälp av allmänna verktyg som Microsoft Project, Microsoft Excel, Microsoft Teams eller Azure DevOps, men dessa verktyg är inte specifika för spårning av säkerhetsinformation och händelsehantering (SIEM). För att hjälpa dig att spåra tillhandahåller vi en dedikerad arbetsbok i Microsoft Sentinel med namnet Microsoft Sentinel distribution och migrering.

Arbetsboken hjälper dig att:

• Visualisera migreringsstatus
• Distribuera och spåra datakällor
• Distribuera och övervaka analysregler och incidenter
• Distribuera och använda arbetsböcker
• Distribuera och utföra automatisering
• Distribuera och anpassa beteendeanalys för användare och entiteter (U E B A)

Den här artikeln beskriver hur du spårar migreringen med arbetsboken Microsoft Sentinel Distribution och migrering, hur du anpassar och hanterar arbetsboken och hur du använder arbetsboksflikarna för att distribuera och övervaka dataanslutningar, analys, incidenter, spelböcker, automatiseringsregler, U E B A och datahantering. Läs mer om hur du använder Azure Övervaka arbetsböcker i Microsoft Sentinel.

Distribuera arbetsbokens innehåll och visa arbetsboken

Om du vill hämta arbetsboken installerar du först det fristående objektet från innehållshubben i Microsoft Sentinel.

1. I Microsoft Sentinel Innehållshubb filtrerar du innehållet enligt Innehållstyp = Arbetsböcker och anger sedan migrering i sökfältet.

2. I sökresultaten väljer du arbetsboken Microsoft Sentinel Distribution och migrering och väljer sedan Installera. Microsoft Sentinel distribuerar arbetsboken och sparar arbetsboken i din miljö.

3. I Microsoft Sentinel går du till Hothantering och väljer Arbetsböcker Mallar>.

4. Välj arbetsboken Microsoft Sentinel Distribution och migrering och Visa mall.

Distribuera visningslistan

Nästa steg är att distribuera den relaterade visningslistan från Microsoft Sentinel GitHub-lagringsplats.

1. I Microsoft Sentinel GitHub-lagringsplats väljer du mappen DeploymentandMigration och väljer Distribuera för att Azure för att påbörja malldistributionen i Azure.
2. Ange Microsoft Sentinel resursgrupp och arbetsytenamn.
3. Välj Granska och skapa.
4. När informationen har verifierats väljer du Skapa.

Uppdatera visningslistan med distributions- och migreringsåtgärder

Det här steget är avgörande för konfigurationsprocessen för spårning. Om du hoppar över det här steget återspeglar arbetsboken inte objekten för spårning.

Så här uppdaterar du visningslistan med distributions- och migreringsåtgärder:

1. I portalen Azure eller Microsoft Defender väljer du Microsoft Sentinel och sedan Visningslista.
2. Välj visningslistan med distributionsaliaset .
3. Välj sedan Uppdatera visningslistan > redigera objekt i visningslistan.
4. Ange information för de åtgärder som krävs för distribution och migrering.
5. Välj Spara.

Nu kan du visa visningslistan i arbetsboken för migreringsspårare. Lär dig hur du hanterar visningslistor.

Dessutom kan ditt team uppdatera eller slutföra uppgifter under distributionsprocessen. Du kan åtgärda dessa ändringar genom att uppdatera befintliga åtgärder eller lägga till nya åtgärder när du identifierar nya användningsfall eller ställer nya krav. Om du vill uppdatera eller lägga till åtgärder redigerar du den distributionsbevakningslista som du har distribuerat. För att förenkla processen går du till arbetsboken och väljer Redigera distributionsbevakningslista för att öppna visningslistan direkt från arbetsboken.

Visa distributionsstatus

Om du snabbt vill visa distributionsframsteget går du till arbetsboken Microsoft Sentinel Distribution och migrering, väljer Distribution och rullar ned för att hitta sammanfattningen av förloppet. I det här området visas distributionsstatus, inklusive följande information:

• Tabeller som rapporterar data
• Antal tabeller som rapporterar data
• Antal rapporterade loggar och vilka tabeller som rapporterar loggdata
• Antal aktiverade regler jämfört med odistribuerade regler
• Rekommenderade arbetsböcker distribuerade
• Totalt antal distribuerade arbetsböcker
• Totalt antal distribuerade spelböcker

Distribuera och övervaka dataanslutningar

Om du vill övervaka distribuerade resurser och distribuera nya anslutningsappar väljer du Övervaka dataanslutningar >i arbetsboken Microsoft Sentinel Distribution och migrering. Vyn Övervaka visar:

• Aktuella inmatningstrender
• Tabeller som matar in data
• Hur mycket data varje tabell rapporterar
• Slutpunkter som rapporterar med Azure Monitor Agent (AMA)
• Regler för datainsamling i resursgruppen och de enheter som är länkade till reglerna
• Hälsotillstånd för dataanslutningsprogram (ändringar och fel)
• Hälsologgar inom det angivna tidsintervallet

Så här konfigurerar du en dataanslutning:

1. Välj vyn Konfigurera .
2. Välj knappen med namnet på den anslutningsapp som du vill konfigurera.
3. Konfigurera anslutningsappen på statusskärmen för anslutningsappen som öppnas. Om du inte hittar en anslutningsapp som du behöver väljer du anslutningsappens namn för att öppna anslutningsgalleriet eller lösningsgalleriet.

Distribuera och övervaka analyser och incidenter

När data rapporteras på arbetsytan konfigurerar och övervakar du analysregler. I arbetsboken Microsoft Sentinel Distribution och migrering väljer du fliken Analys för att visa alla distribuerade regelmallar och listor. Den här vyn anger vilka regler som används för närvarande och hur ofta reglerna genererar incidenter.

Om du behöver mer täckning väljer du Granska MITRE-täckning under tabellen till vänster. Använd det här alternativet för att definiera vilka områden som får mer täckning och vilka regler som distribueras i alla skeden av migreringsprojektet.

När du distribuerar analysreglerna och Defender-produktanslutningsappen har konfigurerats för att skicka aviseringarna övervakar du skapande av incidenter och frekvens under Distributionssammanfattning > av förloppet. Det här området visar mått för generering av aviseringar efter produkt, rubrik och klassificering, för att indikera soc-hälsan och vilka aviseringar som kräver mest uppmärksamhet. Om aviseringar genererar för mycket volym går du tillbaka till fliken Analys för att ändra logiken.

Distribuera och använda arbetsböcker

Om du vill visualisera information om datainmatning och identifieringar som Microsoft Sentinel utför väljer du Arbetsböcker i arbetsboken Microsoft Sentinel Distribution och migrering. På samma sätt som på fliken Dataanslutningsprogram använder du vyerna Övervaka och Konfigurera för att visa övervaknings- och konfigurationsinformation.

Här är några användbara uppgifter att utföra på fliken Arbetsböcker :

• Om du vill visa en lista över alla arbetsböcker i miljön och hur många arbetsböcker som distribueras väljer du Övervaka.

• Om du vill visa en specifik arbetsbok i arbetsboken Microsoft Sentinel Distribution och migrering väljer du en arbetsbok och sedan Öppna vald arbetsbok.

  

• Om du ännu inte har distribuerat arbetsböcker väljer du Konfigurera för att visa en lista över vanliga och rekommenderade arbetsböcker. Om en arbetsbok inte visas väljer du Gå till arbetsboksgalleriet eller Gå till innehållshubben för att distribuera den relevanta arbetsboken.

  

Distribuera och övervaka spelböcker och automatiseringsregler

När du konfigurerar datainmatning, identifieringar och visualiseringar kan du nu titta på automatisering. I arbetsboken Microsoft Sentinel Distribution och migrering väljer du Automation för att visa distribuerade spelböcker och för att se vilka spelböcker som för närvarande är anslutna till en automatiseringsregel. Om det finns automatiseringsregler visar arbetsboken följande information om varje regel:

• Namn
• Status
• Åtgärd eller åtgärder för regeln
• Det sista datumet då regeln ändrades och användaren som ändrade regeln
• Datumet då regeln skapades

Om du vill visa, distribuera och testa automatisering i det aktuella avsnittet i arbetsboken väljer du Distribuera automationsresurser längst ned till vänster.

Lär dig mer om Microsoft Sentinel SOAR-funktioner för spelböcker och automatiseringsregler.

Distribuera och övervaka U E B A

Eftersom datarapportering och identifieringar sker på entitetsnivå är det viktigt att övervaka entitetsbeteende och trender. Om du vill aktivera U E B A-funktionen i Microsoft Sentinel går du till arbetsboken Microsoft Sentinel Distribution och migrering och väljer UEBA. Här kan du anpassa entitetens tidslinjer för entitetssidor och visa vilka entitetsrelaterade tabeller som fylls med data.

Så här aktiverar du U E B A:

1. Välj Aktivera UEBA ovanför listan med tabeller.
2. Om du vill aktivera U E B A väljer du På.
3. Välj de datakällor som du vill använda för att generera insikter.
4. Välj Använd.

När du har aktiverat U E B A övervakar och kontrollerar du att Microsoft Sentinel genererar U E B A-data.

Så här anpassar du tidslinjen:

1. Välj Anpassa entitetstidslinje ovanför listan med tabeller.
2. Skapa ett anpassat objekt eller välj en av de färdiga mallarna.
3. Om du vill distribuera mallen och slutföra guiden väljer du Skapa.

Läs mer om U E B A eller lär dig hur du anpassar tidslinjen.

Konfigurera och hantera datalivscykeln

När du distribuerar eller migrerar till Microsoft Sentinel är det viktigt att hantera användningen och livscykeln för inkommande loggar. I arbetsboken Microsoft Sentinel Distribution och migrering väljer du Datahantering för att visa och konfigurera kvarhållning och arkivering av tabeller.

Visa information om:

• Tabeller som konfigurerats för grundläggande logginmatning
• Tabeller som konfigurerats för inmatning på analysnivå
• Tabeller som konfigurerats för att arkiveras
• Tabeller med standardkvarhållning för arbetsytan

Så här ändrar du den befintliga kvarhållningsprincipen för tabeller:

1. Välj vyn Standardkvarhållningstabeller .
2. Välj den tabell som du vill ändra och välj Uppdatera kvarhållning. Redigera följande information efter behov:
   • Aktuell kvarhållning på arbetsytan
   • Aktuell kvarhållning i arkivet
   • Totalt antal dagar som data finns i miljön
3. Redigera värdet TotalRetention för att ange ett nytt totalt antal dagar som data ska finnas i miljön.

Värdet ArchiveRetention beräknas genom att subtrahera värdet TotalRetention från värdet InteractiveRetention. Om du behöver justera kvarhållningen av arbetsytan påverkar inte ändringen tabeller som innehåller konfigurerade arkiv och data går inte förlorade. Om du redigerar värdet InteractiveRetention och värdet TotalRetention inte ändras, justerar Azure Log Analytics arkivkvarhållningen för att kompensera ändringen.

Om du föredrar att göra ändringar i användargränssnittet väljer du Uppdatera kvarhållning i användargränssnittet för att öppna relevant sida.

Lär dig mer om datalivscykelhantering.

Aktivera migreringstips och instruktioner

För att hjälpa till med distributions- och migreringsprocessen innehåller arbetsboken tips som förklarar hur du använder de olika flikarna och länkar till relevanta resurser. Tipsen baseras på Microsoft Sentinel migreringsdokumentation och är relevanta för din aktuella SIEM. Om du vill aktivera tips och instruktioner i arbetsboken Microsoft Sentinel Distribution och migrering ställer du in Migreringstips och Instruktion på Ja längst upp till höger.

Nästa steg

I den här artikeln har du lärt dig hur du spårar migreringen med arbetsboken Microsoft Sentinel Distribution och migrering.

• Migrera ArcSight-identifieringsregler
• Migrera Splunk-identifieringsregler
• Migrera QRadar-identifieringsregler