Guida alla distribuzione per Microsoft Sentinel
Questo articolo presenta le attività che consentono di pianificare, distribuire e ottimizzare la distribuzione di Microsoft Sentinel.
Panoramica sulla pianificazione e sulla preparazione
Questa sezione presenta le attività e i prerequisiti che consentono di eseguire la pianificazione e la preparazione prima di distribuire Microsoft Sentinel.
La fase di pianificazione e preparazione viene in genere eseguita da un architetto SOC o da ruoli correlati.
| Procedi | Dettagli |
|---|---|
| 1. Panoramica e prerequisiti per la pianificazione e la preparazione | Esaminare i prerequisiti del tenant di Azure. |
| 2. Pianificare l’architettura dell'area di lavoro | Progettare l’area di lavoro Log Analytics abilitata per Microsoft Sentinel. Considerare parametri come: - Se si userà un singolo tenant o più tenant - Eventuali requisiti di conformità per la raccolta e l'archiviazione dei dati - Il modo di controllare l'accesso ai dati di Microsoft Sentinel Esaminare questi articoli: 1. Progettare l’architettura dell'area di lavoro 3. Rivedere esempi di progettazioni di aree di lavoro 4. Preparazione per più aree di lavoro |
| 3. Assegnare priorità ai connettori dati | Determinare le origini dati necessarie e i requisiti relativi alle dimensioni dei dati per proiettare accuratamente il budget e la sequenza temporale della distribuzione. È possibile determinare queste informazioni durante la revisione del caso d'uso aziendale o valutando un SIEM corrente già presente. Se si dispone già di una soluzione SIEM, analizzare i dati per comprendere quali origini dati forniscono il massimo valore e devono essere inserite in Microsoft Sentinel. |
| 4. Pianificazione di ruoli e autorizzazioni | Usare il controllo degli accessi in base al ruolo di Azure per creare e assegnare ruoli all'interno del team delle operazioni per la sicurezza, al fine di concedere l'accesso appropriato a Microsoft Sentinel. I diversi ruoli consentono di controllare minuziosamente gli elementi che gli utenti di Microsoft Sentinel possono visualizzare e usare. I ruoli di Azure possono essere assegnati direttamente nell’area di lavoro o in una sottoscrizione o in un gruppo di risorse a cui appartiene l’area di lavoro, ereditati da Microsoft Sentinel. |
| 5. Pianificare i costi | Iniziare a pianificare il budget, considerando le implicazioni relative ai costi per ogni scenario pianificato. Assicurarsi che il budget copra il costo dell'inserimento dati sia per Microsoft Sentinel che per Azure Log Analytics, per tutti i playbook che verranno distribuiti e così via. |
Cenni preliminari sulla distribuzione
La fase di distribuzione viene in genere eseguita da un analista SOC o da ruoli correlati.
| Procedi | Dettagli |
|---|---|
| 1. Abilitare Microsoft Sentinel, integrità e controllo e contenuto | Abilitare Microsoft Sentinel, abilitare la funzionalità di integrità e controllo e soluzioni e contenuti identificati in base alle esigenze dell’organizzazione. Per eseguire l’onboarding in Microsoft Sentinel usando l’API, vedere la versione più recente supportata degli stati di onboarding di Sentinel. |
| 2. Configurare contenuto | Configurare i diversi tipi di contenuti di sicurezza di Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi: connettori dati, regole di analisi, regole di automazione, playbook, cartelle di lavoro e watchlist. |
| 3. Configurare un’architettura tra più aree di lavoro | Se l'ambiente richiede più aree di lavoro, è ora possibile configurarle come parte della distribuzione. Questo articolo illustra come configurare Microsoft Sentinel affinché possa essere esteso tra più aree di lavoro e tenant. |
| 4. Abilitare l'analisi del comportamento di utenti ed entità (UEBA) | Abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. |
| 5. Configurare la conservazione dei dati interattiva e a lungo termine | Configurare la conservazione dei dati interattiva e a lungo termine per assicurarsi che l'organizzazione mantenga i dati importanti a lungo termine. |
Ottimizzazione e revisione: elenco di controllo per la post-distribuzione
Esaminare l'elenco di controllo post-distribuzione per assicurarsi che il processo di distribuzione funzioni come previsto e che il contenuto di sicurezza distribuito funzioni e protegga l'organizzazione in base alle esigenze e ai casi d'uso.
La fase di ottimizzazione e revisione viene in genere eseguita da un tecnico SOC o da ruoli correlati.
| Procedi | Azioni |
|---|---|
| ✅Esaminare gli incidenti e il relativo processo | - Controllare se gli incidenti e il numero di incidenti visualizzati riflettono ciò che sta effettivamente accadendo nell'ambiente. - Controllare se il processo di incidenti del SOC stia effettivamente gestendo in modo efficiente gli incidenti: sono stati assegnati diversi tipi di incidenti a strati/livelli diversi del SOC? Altre informazioni su come esplorare e analizzare gli incidenti e su come usare le attività degli incidenti. |
| ✅Revisione e ottimizzazione delle regole di analisi | - In base alla revisione degli incidenti, verificare se le regole di analisi vengono attivate come previsto e se le regole riflettono i tipi di incidenti a cui si è interessati. - Gestire i falsi positivi, usando l'automazione o modificando le regole di analisi pianificate. - Microsoft Sentinel offre funzionalità di ottimizzazione predefinite che consentono di analizzare le regole di analisi. Esaminare queste informazioni dettagliate predefinite e implementare le raccomandazioni pertinenti. |
| ✅Esaminare le regole di automazione e i playbook | - Analogamente alle regole di analisi, verificare che anche le regole di automazione funzionino come previsto e riflettano gli incidenti di cui si è preoccupati e a cui si è interessati. - Controllare se i playbook rispondono agli avvisi e agli incidenti come previsto. |
| ✅Aggiungere dati alle watchlist | Verificare che le watchlist siano aggiornate. Se sono state apportate modifiche nell'ambiente, ad esempio nuovi utenti o casi d'uso, aggiornare di conseguenza le watchlist. |
| ✅Esaminare i livelli di impegno | Esaminare i livelli di impegno configurati inizialmente e verificare che questi livelli riflettano la configurazione corrente. |
| ✅Tenere traccia dei costi di inserimento | Per tenere traccia dei costi di inserimento, usare una di queste cartelle di lavoro: - La cartella di lavoro del report sull'utilizzo dell'area di lavoro fornisce le statistiche sul consumo dei dati, sui costi e sull'utilizzo dell'area di lavoro. La cartella di lavoro fornisce lo stato di inserimento dati dell'area di lavoro e la quantità di dati gratuiti e fatturabili. È possibile usare la logica della cartella di lavoro per monitorare l'inserimento e i costi dei dati e per creare visualizzazioni personalizzate e avvisi basati su regole. - La cartella di lavoro Costo di Microsoft Sentinel offre una visualizzazione più mirata dei costi di Microsoft Sentinel, inclusi i dati di inserimento e conservazione, i dati di inserimento per origini dati idonee, le informazioni di fatturazione di App per la logica e altro ancora. |
| ✅Ottimizzare le regole di raccolta dati (DCR) | - Verificare che i DCR riflettano le proprie esigenze di inserimento dati e i casi d'uso. - Se necessario, implementare la trasformazione in fase di inserimento per filtrare i dati irrilevanti anche prima che vengano archiviati nell'area di lavoro. |
| ✅Confrontare le regole di analisi con il framework MITRE | Controllare la copertura MITRE nella pagina MITRE di Microsoft Sentinel: visualizzare i rilevamenti già attivi nell'area di lavoro e quelli disponibili per la configurazione, per comprendere la copertura della sicurezza nell'organizzazione, in base alle tattiche e alle tecniche del framework MITRE ATT&CK®. |
| ✅Rilevare attività sospette | Assicurarsi che il SOC disponga di un processo per la ricerca proattiva delle minacce. La ricerca è un processo in cui gli analisti della sicurezza cercano minacce e comportamenti dannosi non rilevati. Creando un'ipotesi, eseguendo una ricerca sui dati e convalidando tale ipotesi, determinano su cosa agire. Le azioni possono includere la creazione di nuovi rilevamenti, nuova intelligence sulle minacce o la rotazione di un nuovo incidente. |
Articoli correlati
In questo articolo sono state esaminate le attività in ognuna delle fasi che consentono di distribuire Microsoft Sentinel.
A seconda della fase in cui ci si trova, scegliere i passaggi successivi appropriati:
- Pianificazione e preparazione - Prerequisiti per la distribuzione di Azure Sentinel
- Distribuzione - Abilitare Microsoft Sentinel e funzionalità iniziali e contenuto
- Ottimizzare ed esaminare: Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
Al termine della distribuzione di Microsoft Sentinel, continuare a esplorare le funzionalità di Microsoft Sentinel esaminando le esercitazioni che illustrano le attività comuni:
- Inoltrare i dati Syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure
- Configurare i criteri di conservazione dei dati
- Rilevare le minacce usando le regole di analisi
- Controllare e registrare automaticamente le informazioni sulla reputazione degli indirizzi IP negli incidenti
- Rispondere alle minacce usando l'automazione
- Estrarre le entità di incidenti con un'azione non nativa
- Effettuare analisi con UEBA
- Compilare e monitorare Zero Trust
Esaminare la Guida operativa di Microsoft Sentinel per le normali attività SOC che è consigliabile eseguire con cadenza giornaliera, settimanale e mensile.