Sdílet prostřednictvím


Průvodce nasazením pro Microsoft Sentinel

Tento článek představuje aktivity, které vám pomůžou naplánovat, nasadit a vyladit nasazení služby Microsoft Sentinel.

Plánování a příprava – přehled

Tato část představuje aktivity a požadavky, které vám pomůžou naplánovat a připravit se před nasazením služby Microsoft Sentinel.

Fáze plánování a přípravy se obvykle provádí architektem SOC nebo souvisejícími rolemi.

Krok Detaily
1. Plánování a příprava přehledu a požadavků Projděte si požadavky na tenanta Azure.
2. Plánování architektury pracovního prostoru Navrhněte pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel. Zvažte parametry, jako jsou:

– Bez ohledu na to, jestli budete používat jednoho tenanta nebo více tenantů
– Všechny požadavky na dodržování předpisů, které máte pro shromažďování a ukládání dat
– Jak řídit přístup k datům Microsoft Sentinelu

Projděte si tyto články:

1. Návrh architektury pracovního prostoru
3. Kontrola ukázkových návrhů pracovních prostorů
4. Příprava na více pracovních prostorů
3. Stanovení priority datových konektorů Určete, které zdroje dat potřebujete, a požadavky na velikost dat, které vám pomůžou přesně promítnout rozpočet a časovou osu vašeho nasazení.

Tyto informace můžete určit během kontroly obchodního případu použití nebo vyhodnocením aktuálního SIEM, který už máte. Pokud už máte zavedený SIEM, analyzujte svá data, abyste pochopili, které zdroje dat poskytují nejvyšší hodnotu a které by se měly ingestovat do Microsoft Sentinelu.
4. Plánování rolí a oprávnění Pomocí řízení přístupu na základě role (RBAC) v Azure můžete vytvářet a přiřazovat role v rámci provozního týmu zabezpečení a udělovat tak odpovídající přístup ke službě Microsoft Sentinel. Různé role poskytují jemně odstupňovanou kontrolu nad tím, co můžou uživatelé Microsoft Sentinelu vidět a dělat. Role Azure je možné přiřadit přímo v pracovním prostoru nebo v předplatném nebo skupině prostředků, do které pracovní prostor patří, který Microsoft Sentinel dědí.
5. Náklady na plán Začněte plánovat rozpočet, zvažte dopad na náklady pro každý plánovaný scénář.

Ujistěte se, že váš rozpočet pokrývá náklady na příjem dat pro Microsoft Sentinel i Azure Log Analytics, všechny playbooky, které se nasadí atd.

Přehled nasazení

Fáze nasazení obvykle provádí analytik SOC nebo související role.

Krok Detaily
1. Povolení služby Microsoft Sentinel, stavu a auditu a obsahu Povolte Microsoft Sentinel, povolte funkci stavu a auditu a povolte řešení a obsah, které jste identifikovali podle potřeb vaší organizace.

Pokud se chcete připojit k Microsoft Sentinelu pomocí rozhraní API, podívejte se na nejnovější podporovanou verzi stavů onboardingu služby Sentinel.
2. Konfigurace obsahu Nakonfigurujte různé typy obsahu zabezpečení služby Microsoft Sentinel, který umožňuje detekovat, monitorovat a reagovat na bezpečnostní hrozby ve vašich systémech: datové konektory, analytická pravidla, pravidla automatizace, playbooky, sešity a seznamy ke zhlédnutí.
3. Nastavení architektury mezi pracovními prostory Pokud vaše prostředí vyžaduje více pracovních prostorů, můžete je teď nastavit jako součást nasazení. V tomto článku se dozvíte, jak nastavit Microsoft Sentinel tak, aby se rozšířil mezi více pracovních prostorů a tenantů.
4. Povolení analýzy chování uživatelů a entit (UEBA) Povolte a používejte funkci UEBA ke zjednodušení procesu analýzy.
5. Nastavení interaktivního a dlouhodobého uchovávání dat Nastavte interaktivní a dlouhodobé uchovávání dat, abyste měli jistotu, že vaše organizace uchovává důležitá data v dlouhodobém horizontu.

Vyladění a kontrola: Kontrolní seznam pro po nasazení

Projděte si kontrolní seznam po nasazení, abyste se ujistili, že váš proces nasazení funguje podle očekávání a že nasazený obsah zabezpečení funguje a chrání vaši organizaci podle vašich potřeb a případů použití.

Fáze vyladění a kontroly obvykle provádí technik SOC nebo související role.

Krok Akce
Kontrola incidentů a procesů incidentů – Zkontrolujte, jestli incidenty a počet incidentů, které vidíte, odpovídají tomu, co se ve vašem prostředí skutečně děje.
– Zkontrolujte, jestli proces incidentu SOC pracuje na efektivním zpracování incidentů: Přiřadili jste různé typy incidentů různým vrstvám nebo úrovním SOC?

Přečtěte si další informace o tom, jak procházet a zkoumat incidenty a jak pracovat s úkoly incidentů.
Kontrola a vyladění analytických pravidel – Na základě kontroly incidentu zkontrolujte, jestli se vaše analytická pravidla aktivují podle očekávání a jestli tato pravidla odrážejí typy incidentů, které vás zajímají.
- Zpracování falešně pozitivních výsledků, buď pomocí automatizace, nebo úpravou pravidel naplánované analýzy
– Microsoft Sentinel poskytuje integrované možnosti vyladění, které vám pomůžou analyzovat analytická pravidla. Projděte si tyto integrované přehledy a implementujte relevantní doporučení.
Kontrola pravidel automatizace a playbooků – Podobně jako analytická pravidla zkontrolujte, jestli vaše pravidla automatizace fungují podle očekávání, a promítněte incidenty, které vás zajímají a které vás zajímají.
– Zkontrolujte, jestli playbooky reagují na výstrahy a incidenty podle očekávání.
Přidání dat do seznamů ke zhlédnutí Zkontrolujte, jestli jsou vaše seznamy ke zhlédnutí aktuální. Pokud ve vašem prostředí došlo k nějakým změnám, například novým uživatelům nebo případům použití, odpovídajícím způsobem aktualizujte seznamy ke zhlédnutí.
Kontrola úrovní závazku Zkontrolujte úrovně závazku , které jste původně nastavili, a ověřte, že tyto úrovně odpovídají vaší aktuální konfiguraci.
Sledování nákladů na příjem dat Pokud chcete sledovat náklady na příjem dat, použijte jeden z těchto sešitů:
– Sešit sestavy využití pracovního prostoru poskytuje statistiku spotřeby dat, nákladů a využití pracovního prostoru. Sešit poskytuje stav příjmu dat pracovního prostoru a množství bezplatných a fakturovatelných dat. Logiku sešitu můžete použít k monitorování příjmu dat a nákladů a k vytváření vlastních zobrazení a upozornění založených na pravidlech.
– Sešit Nákladů na Microsoft Sentinel poskytuje přehled o nákladech na Microsoft Sentinel, včetně příjmu a uchovávání dat, dat příjmu dat pro způsobilé zdroje dat, fakturačních údajů Logic Apps a dalších.
Vyladění pravidel shromažďování dat (DCR) – Zkontrolujte, jestli vaše žádosti o přijetí dat odrážejí vaše potřeby příjmu dat a případy použití.
– V případě potřeby implementujte transformaci doby příjmu dat, abyste odfiltrovali irelevantní data ještě před tím, než se poprvé uloží do pracovního prostoru.
Kontrola analytických pravidel v rámci MITRE Zkontrolujte pokrytí MITRE na stránce Microsoft Sentinel MITRE: Zobrazte si detekce, které jsou už aktivní ve vašem pracovním prostoru, a ty, které jsou k dispozici ke konfiguraci, abyste porozuměli pokrytí zabezpečení vaší organizace na základě taktik a technik z architektury MITRE ATT&CK®.
Vyhledávání podezřelých aktivit Ujistěte se, že váš SOC má zavedený proces pro proaktivní proaktivní proaktivní vyhledávání hrozeb. Proaktivní vyhledávání je proces, kdy analytici zabezpečení hledají nedetekované hrozby a škodlivé chování. Vytvořením hypotézy, vyhledáváním dat a ověřením této hypotézy určí, co se má chovat. Akce můžou zahrnovat vytváření nových detekcí, nové analýzy hrozeb nebo otáčení nového incidentu.

V tomto článku jste si prostudovali aktivity v jednotlivých fázích, které vám pomůžou nasadit Microsoft Sentinel.

V závislosti na fázi, ve které jste, zvolte odpovídající další kroky:

Až dokončíte nasazení služby Microsoft Sentinel, pokračujte v prozkoumání možností služby Microsoft Sentinel. Projděte si kurzy, které se týkají běžných úloh:

Projděte si provozní příručku microsoft Sentinelu pro běžné aktivity SOC, které doporučujeme provádět každý den, týdně a měsíčně.