Konfigurace obsahu Microsoft Sentinelu
V předchozím kroku nasazení jste povolili Microsoft Sentinel, monitorování stavu a požadovaná řešení. V tomto článku se dozvíte, jak nakonfigurovat různé typy obsahu zabezpečení služby Microsoft Sentinel, který umožňuje detekovat, monitorovat a reagovat na bezpečnostní hrozby ve vašich systémech. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.
Konfigurace obsahu zabezpečení
Krok | Popis |
---|---|
Nastavení datových konektorů | Na základě zdrojů dat, které jste vybrali při plánování nasazení, a po povolení příslušných řešení teď můžete datové konektory nainstalovat nebo nastavit. – Pokud používáte existující konektor, najděte konektor z tohoto úplného seznamu datových konektorů. – Pokud vytváříte vlastní konektor, použijte tyto prostředky. – Pokud nastavujete konektor pro příjem protokolů CEF nebo Syslog, projděte si tyto možnosti. |
Nastavení analytických pravidel | Po nastavení Služby Microsoft Sentinel ke shromažďování dat z celé organizace můžete začít používat analytická pravidla k detekci hrozeb. Vyberte kroky, které potřebujete k nastavení a konfiguraci analytických pravidel: – Vytvářejte naplánovaná pravidla ze šablon nebo úplně od začátku: Vytvořte analytická pravidla, která pomáhají zjišťovat hrozby a neobvyklé chování ve vašem prostředí. - Mapování datových polí na entity: Přidání nebo změna mapování entit v analytickém pravidle - Vlastní podrobnosti o zařízení Surface v upozorněních: Přidání nebo změna vlastních podrobností v analytickém pravidle - Přizpůsobení podrobností výstrahy: Přepište výchozí vlastnosti výstrah s obsahem z výsledků podkladového dotazu. - Export a import analytických pravidel: Export analytických pravidel do souborů šablon Azure Resource Manageru (ARM) a import pravidel z těchto souborů. Akce exportu vytvoří soubor JSON v umístění pro stahování prohlížeče, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor. - Vytvoření pravidel analýzy detekce téměř v reálném čase (NRT): Vytvoření pravidel analýzy téměř v reálném čase pro předem připravenou detekci hrozeb Tento typ pravidla byl navržen tak, aby byl vysoce responzivní spuštěním dotazu v intervalech jen jednu minutu od sebe. - Práce s analytickými pravidly detekce anomálií: Práce s integrovanými šablonami anomálií, které používají tisíce zdrojů dat a miliony událostí, nebo pro anomálie v uživatelském rozhraní mění prahové hodnoty a parametry. - Spravujte verze šablon pro pravidla plánované analýzy: Sledujte verze šablon analytických pravidel a buď vraťte aktivní pravidla k existujícím verzím šablon, nebo je aktualizujte na nové. - Zpracování zpoždění příjmu dat v pravidlech plánované analýzy: Zjistěte, jak může zpoždění příjmu dat ovlivnit vaše plánovaná analytická pravidla a jak je opravit, abyste tyto mezery pokryli. |
Nastavení pravidel automatizace | Vytvořte pravidla automatizace. Definujte triggery a podmínky, které určují, kdy se pravidlo automatizace spustí, různé akce, které můžou pravidlo provádět, a zbývající funkce a funkce. |
Nastavení playbooků | Playbook je kolekce nápravných akcí, které spouštíte z Microsoft Sentinelu jako rutiny, a pomáhá tak automatizovat a orchestrovat reakci na hrozby. Nastavení playbooků: - Kontrola doporučených playbooků - Vytváření playbooků ze šablon: Šablona playbooku je předem připravená, otestovaná a připravená pracovní postup, který lze přizpůsobit tak, aby vyhovoval vašim potřebám. Šablony můžou sloužit také jako referenční informace pro osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace. – Projděte si tyto kroky pro vytvoření playbooku. |
Nastavení sešitů | Sešity poskytují flexibilní plátno pro analýzu dat a vytváření bohatých vizuálních sestav v Microsoft Sentinelu. Šablony sešitů umožňují rychle získat přehled o datech hned po připojení zdroje dat. Nastavení sešitů: – Kontrola běžně používaných sešitů Microsoft Sentinelu - Použití existujících šablon sešitů dostupných u zabalených řešení - Vytváření vlastních sešitů napříč daty |
Nastavení seznamů ke zhlédnutí | Seznamy ke zhlédnutí umožňují korelovat data ze zdroje dat, který poskytujete s událostmi ve vašem prostředí Microsoft Sentinelu. Nastavení seznamů ke zhlédnutí: - Vytváření seznamů ke zhlédnutí - Vytvářejte dotazy nebo pravidla detekce pomocí seznamů ke zhlédnutí: Dotazování dat v libovolné tabulce na základě dat ze seznamu ke zhlédnutí tak, že seznam ke zhlédnutí považujete za tabulku pro spojení a vyhledávání. Při vytváření seznamu ke zhlédnutí definujete SearchKey. Hledaný klíč je název sloupce v seznamu ke zhlédnutí, který očekáváte jako spojení s jinými daty nebo jako častý objekt hledání. |
Další kroky
V tomto článku jste zjistili, jak nakonfigurovat různé typy obsahu zabezpečení služby Microsoft Sentinel.