Sdílet prostřednictvím


Provozní příručka pro Microsoft Sentinel

Tento článek obsahuje seznam provozních aktivit, které doporučujeme týmům zabezpečení (SOC) a správcům zabezpečení plánovat a spouštět jako součást jejich běžných aktivit zabezpečení s Microsoft Sentinelem. Další informace o správě operací zabezpečení najdete v tématu Přehled operací zabezpečení.

Každodenní úkoly

Naplánujte následující aktivity každý den.

Úloha description
Třídění a vyšetřování incidentů Projděte si stránku Incidenty služby Microsoft Sentinel a zkontrolujte nové incidenty vygenerované aktuálně nakonfigurovanými analytickými pravidly a začněte prošetřovat všechny nové incidenty. Další informace naleznete v tématu:
  • Navigace, třídění a správa incidentů Služby Microsoft Sentinel na webu Azure Portal
  • Podrobné zkoumání incidentů služby Microsoft Sentinel na webu Azure Portal
  • Prozkoumání dotazů proaktivního vyhledávání a záložek Prozkoumejte výsledky pro všechny předdefinované dotazy a aktualizujte existující dotazy proaktivního vyhledávání a záložky. Pokud je to možné, ručně vygenerujte nové incidenty nebo aktualizujte staré incidenty. Další informace naleznete v tématu:
  • Ruční vytvoření vlastních incidentů v Microsoft Sentinelu na webu Azure Portal (Preview)
  • Vyhledávání hrozeb pomocí Služby Microsoft Sentinel
  • Sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu
  • Analytická pravidla Podle potřeby zkontrolujte a povolte nová analytická pravidla, včetně nově vydaných nebo nově dostupných pravidel z nedávno nasazených řešení. Další informace naleznete v tématu:
  • Vytváření naplánovaných analytických pravidel ze šablon
  • Informace o obsahu a řešeních služby Microsoft Sentinel

    Monitorujte stav a optimalizujte provádění analytických pravidel. Další informace naleznete v tématu:
  • Monitorování stavu a audit integrity analytických pravidel
  • Monitorování a optimalizace provádění naplánovaných analytických pravidel
  • Datové konektory Zkontrolujte stav datových konektorů a ujistěte se, že data proudí. Zkontrolujte nové konektory a zkontrolujte příjem dat a ujistěte se, že nejsou překročeny nastavené limity. Další informace najdete v tématu Monitorování stavu datových konektorů.
    Azure Monitor Agent Ověřte, že jsou servery a pracovní stanice aktivně připojené k pracovnímu prostoru, a odstraňte potíže a opravte všechna neúspěšná připojení. Další informace najdete v tématu Přehled agenta služby Azure Monitor.
    Selhání playbooku Ověřte stav spuštění playbooku a vyřešte případné chyby. Další informace naleznete v části Kurz: Reakce na hrozby pomocí playbooků s pravidly automatizace služby Microsoft Sentinel.

    Týdenní úkoly

    Naplánujte následující aktivity týdně.

    Úloha description
    Kontrola obsahu řešení nebo samostatného obsahu Získejte všechny aktualizace obsahu pro nainstalovaná řešení nebo samostatný obsah z centra obsahu. Projděte si nová řešení nebo samostatný obsah, který může být pro vaše prostředí hodnotný, jako jsou analytická pravidla, sešity, dotazy proaktivního vyhledávání nebo playbooky.
    Auditování Služby Microsoft Sentinel Zkontrolujte aktivitu Microsoft Sentinelu a zjistěte, kdo aktualizoval nebo odstranil prostředky, jako jsou analytická pravidla, záložky atd. Další informace najdete v tématu Audit dotazů a aktivit služby Microsoft Sentinel.

    Měsíční úkoly

    Naplánujte následující aktivity měsíčně.

    Úloha description
    Kontrola přístupu uživatelů Zkontrolujte oprávnění pro uživatele a zkontrolujte neaktivní uživatele. Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
    Kontrola pracovního prostoru služby Log Analytics Zkontrolujte, že zásady uchovávání dat pracovního prostoru služby Log Analytics stále odpovídají zásadám vaší organizace. Další informace najdete v tématu Zásady uchovávání dat a integrace Azure Data Exploreru pro dlouhodobé uchovávání protokolů.