Provozní příručka pro Microsoft Sentinel
Tento článek obsahuje seznam provozních aktivit, které doporučujeme týmům zabezpečení (SOC) a správcům zabezpečení plánovat a spouštět jako součást jejich běžných aktivit zabezpečení s Microsoft Sentinelem. Další informace o správě operací zabezpečení najdete v tématu Přehled operací zabezpečení.
Každodenní úkoly
Naplánujte následující aktivity každý den.
| Úloha | description |
|---|---|
| Třídění a vyšetřování incidentů | Projděte si stránku Incidenty služby Microsoft Sentinel a zkontrolujte nové incidenty vygenerované aktuálně nakonfigurovanými analytickými pravidly a začněte prošetřovat všechny nové incidenty. Další informace najdete v tématu Zkoumání incidentů pomocí služby Microsoft Sentinel. |
| Prozkoumání dotazů proaktivního vyhledávání a záložek | Prozkoumejte výsledky pro všechny předdefinované dotazy a aktualizujte existující dotazy proaktivního vyhledávání a záložky. Pokud je to možné, ručně vygenerujte nové incidenty nebo aktualizujte staré incidenty. Další informace najdete v tématu: - Automatické vytváření incidentů z výstrah- zabezpečení Microsoftu Proaktivní vyhledávání hrozeb pomocí služby Microsoft Sentinel - Umožňuje sledovat data během proaktivního vyhledávání pomocí služby Microsoft Sentinel. |
| Analytická pravidla | Zkontrolujte a povolte nová analytická pravidla podle potřeby, včetně nově vydaných nebo nově dostupných pravidel z nedávno připojených datových konektorů. |
| Datové konektory | Zkontrolujte stav, datum a čas posledního protokolu přijatého z každého datového konektoru a ujistěte se, že data proudí. Zkontrolujte nové konektory a zkontrolujte příjem dat a ujistěte se, že nejsou překročeny nastavené limity. Další informace najdete v tématu Osvědčené postupy shromažďování dat a Připojení zdrojů dat. |
| Azure Monitor Agent | Ověřte, že jsou servery a pracovní stanice aktivně připojené k pracovnímu prostoru, a odstraňte potíže a opravte všechna neúspěšná připojení. Další informace najdete v tématu Přehled agenta služby Azure Monitor. |
| Selhání playbooku | Ověřte stav spuštění playbooku a vyřešte případné chyby. Další informace najdete v tématu Kurz: Reakce na hrozby pomocí playbooků s pravidly automatizace v Microsoft Sentinelu. |
Týdenní úkoly
Naplánujte následující aktivity týdně.
| Úloha | description |
|---|---|
| Kontrola obsahu řešení nebo samostatného obsahu | Získejte všechny aktualizace obsahu pro nainstalovaná řešení nebo samostatný obsah z centra obsahu. Projděte si nová řešení nebo samostatný obsah, který může být pro vaše prostředí hodnotný, jako jsou analytická pravidla, sešity, dotazy proaktivního vyhledávání nebo playbooky. |
| Auditování Služby Microsoft Sentinel | Zkontrolujte aktivitu Microsoft Sentinelu a zjistěte, kdo aktualizoval nebo odstranil prostředky, jako jsou analytická pravidla, záložky atd. Další informace najdete v tématu Audit dotazů a aktivit služby Microsoft Sentinel. |
Měsíční úkoly
Naplánujte následující aktivity měsíčně.
| Úloha | description |
|---|---|
| Kontrola přístupu uživatelů | Zkontrolujte oprávnění pro uživatele a zkontrolujte neaktivní uživatele. Další informace najdete v tématu Oprávnění v Microsoft Sentinelu. |
| Kontrola pracovního prostoru služby Log Analytics | Zkontrolujte, že zásady uchovávání dat pracovního prostoru služby Log Analytics stále odpovídají zásadám vaší organizace. Další informace najdete v tématu Zásady uchovávání dat a integrace Azure Data Exploreru pro dlouhodobé uchovávání protokolů. |