Guide opérationnel de Microsoft Sentinel
Cet article répertorie les activités opérationnelles que nous recommandons aux équipes d’opérations de sécurité (SOC) et aux administrateurs de sécurité de planifier et exécuter dans le cadre de leurs activités de sécurité régulières avec Microsoft Sentinel. Pour plus d’informations sur la gestion de vos opérations de sécurité, consultez la vue d’ensemble des opérations de sécurité.
Tâches quotidiennes
Planifiez les activités suivantes quotidiennement.
Tâche | description |
---|---|
Triage et examen des incidents | Consultez la page Incidents de Microsoft Sentinel pour vérifier les nouveaux incidents générés par les règles d’analyse actuellement configurées, et commencez à enquêter sur tout nouvel incident. Pour plus d’informations, consultez Examiner les incidents avec Microsoft Sentinel. |
Explorer les requêtes de repérage et les signets | Explorez les résultats de toutes les requêtes intégrées et mettez à jour les requêtes de chasse et les signets existants. Générez manuellement de nouveaux incidents ou mettez à jour d’anciens incidents, le cas échéant. Pour plus d’informations, consultez : - Créer automatiquement des incidents à partir d’alertes - de sécurité Microsoft Chasse aux menaces avec Microsoft Sentinel Garder le suivi des données lors de la chasse avec Microsoft Sentinel - |
Règles analytiques | Examinez et activez les nouvelles règles d’analyse le cas échéant, y compris les règles nouvellement publiées ou nouvellement disponibles à partir de connecteurs de données récemment connectés. |
Connecteurs de données | Vérifiez l’état, la date et l’heure du dernier journal reçu de chaque connecteur de données pour vous assurer que les données sont transmises. Recherchez la présence de nouveaux connecteurs et vérifiez l’ingestion pour vous assurer que les limites définies ne sont pas dépassées. Pour plus d’informations, consultez Meilleures pratiques de collecte de données et Connecter des sources de données. |
Agent Azure Monitor | Vérifiez que les serveurs et les stations de travail sont connectés activement à l’espace de travail, puis résolvez les problèmes et corrigez tout échec de connexion. Pour plus d’informations, consultez la Présentation de l’agent Azure Monitor. |
Échecs de playbook | Vérifiez les états d’exécution des playbooks et résolvez tout échec. Pour plus d’informations, consultez Tutoriel : Répondre aux menaces à l’aide de guide opérationnel avec des règles d’automatisation dans Microsoft Sentinel. |
Tâches hebdomadaires
Planifiez les activités suivantes toutes les semaines.
Tâche | description |
---|---|
Révision du contenu des solutions ou contenu autonome | Obtenez toutes les mises à jour de contenu pour vos solutions installées ou du contenu autonome à partir du hub de contenu. Passez en revue de nouvelles solutions ou du contenu autonome qui peuvent être d’une valeur pour votre environnement, tels que des règles d’analyse, des classeurs, des requêtes de chasse ou des playbooks. |
Audit Microsoft Sentinel | Examinez l’activité de Microsoft Sentinel pour savoir qui a mis à jour ou supprimé des ressources, telles que des règles d’analyse, des signets, etc. Pour plus d’informations, consultez Audit des requêtes et des activités Microsoft Sentinel. |
Tâches mensuelles
Planifiez les activités suivantes tous les mois.
Tâche | description |
---|---|
Passer en revue l’accès utilisateur | Examinez les autorisations de vos utilisateurs et vérifiez si des utilisateurs sont inactifs. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel. |
Révision de l’espace de travail Log Analytics | Vérifiez que la stratégie de rétention de l’espace de travail Log Analytics est toujours conforme à la stratégie de votre organisation. Pour plus d’informations, consultez Stratégie de rétention et Intégrer Azure Data Explorer pour la conservation des journaux à long terme. |