Microsoft Sentinel–Betriebsleitfaden
In diesem Artikel werden die operativen Aktivitäten aufgeführt, die Wir empfehlen, SoC-Teams und Sicherheitsadministratoren im Rahmen ihrer regelmäßigen Sicherheitsaktivitäten mit Microsoft Sentinel zu planen und auszuführen. Weitere Informationen zum Verwalten Ihrer Sicherheitsvorgänge finden Sie in der Übersicht über Sicherheitsvorgänge.
Tägliche Aufgaben
Planen Sie die folgenden Aktivitäten täglich.
| Aufgabe | Beschreibung |
|---|---|
| Triage und Untersuchung von Vorfällen | Überprüfen Sie die Seite Vorfälle von Microsoft Sentinel, um nach neuen Vorfällen zu suchen, die von den derzeit konfigurierten Analyseregeln generiert wurden, und beginnen Sie mit der Untersuchung neuer Vorfälle. Weitere Informationen finden Sie unter: |
| Durchsuchen von Suchabfragen und Lesezeichen | Untersuchen Sie die Ergebnisse für alle integrierten Abfragen, und aktualisieren Sie vorhandene Hunting-Abfragen und Textmarken. Generieren Sie manuell neue Incidents, oder aktualisieren Sie ggf. alte Incidents. Weitere Informationen finden Sie unter: |
| Analyseregeln | Überprüfen und aktivieren Sie neue Analyseregeln, einschließlich neu veröffentlichter oder neu verfügbarer Regeln aus kürzlich bereitgestellten Lösungen. Weitere Informationen finden Sie unter: Überwachen Sie die Integrität, und optimieren Sie die Ausführung Ihrer Analyseregeln. Weitere Informationen finden Sie unter: |
| Datenconnectors | Überprüfen Sie den Integritätsstatus Ihrer Datenconnectors, um sicherzustellen, dass Daten fließen. Überprüfen Sie, ob neue Connectors verfügbar sind, und überprüfen Sie die Erfassung, um sicherzustellen, dass die festgelegten Grenzwerte nicht überschritten wurden. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors. |
| Azure Monitor-Agent | Stellen Sie sicher, dass Server und Arbeitsstationen aktiv mit dem Arbeitsbereich verbunden sind, und behandeln und beheben Sie Verbindungsfehler. Weitere Informationen finden Sie in der Übersicht über den Azure Monitor-Agent. |
| Playbook-Fehler | Überprüfen Sie den Status der Playbook-Ausführung, und beheben Sie Fehler. Weitere Informationen finden Sie im Tutorial: Reagieren auf Bedrohungen mithilfe von Playbooks mit Automatisierungsregeln in Microsoft Sentinel. |
Wöchentliche Aufgaben
Planen Sie die folgenden Aktivitäten wöchentlich.
| Aufgabe | Beschreibung |
|---|---|
| Inhaltsüberprüfung von Lösungen oder eigenständigen Inhalten | Rufen Sie alle Inhaltsupdates für Ihre installierten Lösungen oder eigenständigen Inhalte vom Content Hub ab. Überprüfen Sie neue Lösungen oder eigenständige Inhalte, die für Ihre Umgebung von Bedeutung sein könnten, z. B. Analyseregeln, Arbeitsmappen, Suchabfragen oder Playbooks. |
| Microsoft Sentinel-Überwachung | Überprüfen Sie die Aktivitäten von Microsoft Sentinel, um festzustellen, wer Ressourcen wie Analyseregeln, Lesezeichen usw. aktualisiert oder gelöscht hat. Weitere Informationen finden Sie unter Audit Microsoft Sentinel Abfragen und Aktivitäten. |
Monatliche Aufgaben
Planen Sie die folgenden Aktivitäten monatlich.
| Aufgabe | Beschreibung |
|---|---|
| Überprüfen des Benutzerzugriffs | Überprüfen Sie Berechtigungen für Ihre Benutzer, und prüfen Sie auf inaktive Benutzer. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel. |
| Überprüfung des Log Analytics-Arbeitsbereichs | Überprüfen Sie, ob die Datenaufbewahrungsrichtlinie des Log Analytics-Arbeitsbereichs weiterhin mit der Richtlinie Ihrer Organisation in Einklang steht. Weitere Informationen finden Sie unter Datenaufbewahrungsrichtlinie und Integrieren von Azure Data Explorer für die langfristige Protokollaufbewahrung. |