Aggiornare processi SOC
Un centro operativo per la sicurezza è una funzione centralizzata all'interno di un'organizzazione che integra persone, processi e tecnologie. Un SOC implementa il framework generale della cybersecurity dell'organizzazione. Il SOC collabora agli sforzi dell'organizzazione per monitorare, avvisare, prevenire, rilevare, analizzare e rispondere agli eventi imprevisti della cybersecurity. I team SOC, guidati da un responsabile SOC, possono includere gli addetti alle risposte agli eventi imprevisti, gli analisti SOC al livello 1, 2 e 3, i cacciatori di minacce e i responsabili delle risposte agli eventi imprevisti.
I team SOC usano i dati di telemetria provenienti dall'infrastruttura IT dell'organizzazione, tra cui reti, dispositivi, applicazioni, comportamenti, appliance e archivi informazioni. I team interagiscono e analizzano i dati per determinare come gestire i dati e quali azioni eseguire.
Per eseguire correttamente la migrazione a Microsoft Sentinel, è necessario aggiornare non solo la tecnologia usata dal SOC, ma anche le attività e i processi SOC. Questo articolo descrive come aggiornare i processi SOC e analista come parte della migrazione a Microsoft Sentinel.
Aggiornare il flusso di lavoro dell'analista
Microsoft Sentinel offre una gamma di strumenti che eseguono il mapping a un tipico flusso di lavoro analista, dall'assegnazione di eventi imprevisti alla chiusura. Gli analisti possono usare in modo flessibile alcuni o tutti gli strumenti disponibili per valutare e analizzare gli eventi imprevisti. Quando l'organizzazione esegue la migrazione a Microsoft Sentinel, gli analisti devono adattarsi a questi nuovi set di strumenti, funzionalità e flussi di lavoro.
Eventi imprevisti in Microsoft Sentinel
In Microsoft Sentinel un evento imprevisto è una raccolta di avvisi che Microsoft Sentinel determina una fedeltà sufficiente per attivare l'evento imprevisto. Di conseguenza, con Microsoft Sentinel, l'analista valuta prima gli eventi imprevisti nella pagina Eventi imprevisti e quindi procede per analizzare gli avvisi, se è necessaria un'analisi più approfondita. Confrontare la terminologia e la gestione degli eventi imprevisti di SIEM con Microsoft Sentinel.
Fasi del flusso di lavoro analista
Questa tabella descrive le fasi principali del flusso di lavoro dell'analista ed evidenzia gli strumenti specifici rilevanti per ogni attività nel flusso di lavoro.
| Assegnazione | Valutazione | Indagine | Risposta |
|---|---|---|---|
|
Assegnare eventi imprevisti: • Manualmente, nella pagina Eventi imprevisti • Uso automatico di playbook o regole di automazione |
Valutare gli eventi imprevisti usando: • Dettagli dell'evento imprevisto nella pagina Evento imprevisto • Informazioni sull'entità nella pagina Evento imprevisto, nella scheda Entità • Jupyter Notebook |
Analizzare gli eventi imprevisti usando: • Grafico di indagine • Cartelle di lavoro di Microsoft Sentinel • Finestra query di Log Analytics |
Rispondere agli eventi imprevisti usando: • Playbook e regole di automazione • Microsoft Teams War Room |
Le sezioni successive eseguono il mapping della terminologia e del flusso di lavoro analista a funzionalità specifiche di Microsoft Sentinel.
Assegnazione
Usare la pagina Eventi imprevisti di Microsoft Sentinel per assegnare eventi imprevisti. La pagina Eventi imprevisti include un'anteprima degli eventi imprevisti e una visualizzazione dettagliata per singoli eventi imprevisti.
Per assegnare un evento imprevisto:
- Manualmente. Impostare il campo Proprietario sul nome utente pertinente.
- Automaticamente. Usare una soluzione personalizzata basata su Microsoft Teams e App per la logica o su una regola di automazione.
Valutazione
Per eseguire un esercizio di valutazione in Microsoft Sentinel, è possibile iniziare con varie funzionalità di Microsoft Sentinel, a seconda del livello di esperienza e della natura dell'evento imprevisto in fase di indagine. Come punto di partenza tipico, selezionare Visualizza dettagli completi nella pagina Evento imprevisto . È ora possibile esaminare gli avvisi che comprendono l'evento imprevisto, esaminare i segnalibri, selezionare le entità per eseguire il drill-down in entità specifiche o aggiungere commenti.
Ecco le azioni suggerite per continuare la revisione degli eventi imprevisti:
- Selezionare Indagine per una rappresentazione visiva delle relazioni tra gli eventi imprevisti e le entità pertinenti.
- Usare un notebook di Jupyter per eseguire un esercizio di valutazione approfondito per una determinata entità. Per questo esercizio è possibile usare il notebook di valutazione degli eventi imprevisti.
Valutazione rapida
Usare queste funzionalità e funzionalità per accelerare la valutazione:
- Per filtrare rapidamente, nella pagina Eventi imprevisti cercare gli eventi imprevisti associati a un'entità specifica. Il filtro in base all'entità nella pagina Eventi imprevisti è più veloce rispetto al filtro in base alla colonna di entità nelle code degli eventi imprevisti SIEM legacy.
- Per una valutazione più rapida, usare la schermata Dettagli avviso per includere informazioni chiave sugli eventi imprevisti nel nome e nella descrizione dell'evento imprevisto, ad esempio il nome utente correlato, l'indirizzo IP o l'host. Ad esempio, un evento imprevisto può essere rinominato dinamicamente in
Ransomware activity detected in DC01, doveDC01è un asset critico, identificato dinamicamente tramite le proprietà di avviso personalizzabili. - Per un'analisi più approfondita, nella pagina Eventi imprevisti selezionare un evento imprevisto e selezionare Eventi in Evidenza per visualizzare eventi specifici che hanno attivato l'evento imprevisto. I dati dell'evento sono visibili come output della query associata alla regola di analisi, anziché come evento non elaborato. Il tecnico della migrazione delle regole può usare questo output per garantire che l'analista ottenga i dati corretti.
- Per informazioni dettagliate sulle entità, nella pagina Eventi imprevisti selezionare un evento imprevisto e selezionare un nome di entità in Entità per visualizzare le informazioni, la sequenza temporale e le informazioni dettagliate della directory dell'entità. Informazioni su come eseguire il mapping delle entità.
- Per collegarsi alle cartelle di lavoro pertinenti, selezionare Anteprima evento imprevisto. È possibile personalizzare la cartella di lavoro per visualizzare informazioni aggiuntive sull'evento imprevisto o sulle entità associate e campi personalizzati.
Indagine
Usare il grafico di indagine per analizzare in modo approfondito gli eventi imprevisti. Nella pagina Eventi imprevisti selezionare un evento imprevisto e selezionare Ricerca per visualizzare il grafico dell'indagine.
Con il grafico di indagine è possibile:
- Comprendere l'ambito e identificare la causa radice delle potenziali minacce alla sicurezza correlando i dati pertinenti con qualsiasi entità coinvolta.
- Approfondire le entità e scegliere tra diverse opzioni di espansione.
- Visualizzare facilmente le connessioni tra origini dati diverse visualizzando le relazioni estratte automaticamente dai dati non elaborati.
- Espandere l'ambito di indagine usando query di esplorazione predefinite per visualizzare l'ambito completo di una minaccia.
- Usare le opzioni di esplorazione predefinite per porre le domande corrette durante l'analisi di una minaccia.
Dal grafico dell'indagine è anche possibile aprire cartelle di lavoro per supportare ulteriormente le attività di indagine. Microsoft Sentinel include diversi modelli di cartella di lavoro che è possibile personalizzare in base al caso d'uso specifico.
Risposta
Usare le funzionalità di risposta automatizzate di Microsoft Sentinel per rispondere a minacce complesse e ridurre l'affaticamento degli avvisi. Microsoft Sentinel offre una risposta automatica usando playbook e regole di automazione di App per la logica.
Usare una delle opzioni seguenti per accedere ai playbook:
- Scheda Modelli playbook di Automazione >
- Hub del contenuto di Microsoft Sentinel
- Repository GitHub di Microsoft Sentinel
Queste origini includono un'ampia gamma di playbook orientati alla sicurezza per coprire una parte sostanziale dei casi d'uso di varia complessità. Per semplificare il lavoro con i playbook, usare i modelli in Modelli di Playbook di Automazione>. I modelli consentono di distribuire facilmente i playbook nell'istanza di Microsoft Sentinel e quindi modificare i playbook in base alle esigenze dell'organizzazione.
Vedere SOC Process Framework per eseguire il mapping del processo SOC alle funzionalità di Microsoft Sentinel.
Confrontare i concetti di SIEM
Usare questa tabella per confrontare i concetti principali del sistema SIEM legacy con i concetti di Microsoft Sentinel.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Event | Event | Event | Event |
| Evento di correlazione | Evento di correlazione | Evento rilevante | Alert |
| Incident | Offesa | Evento rilevante | Incident |
| Elenco di reati | Tag | Pagina Incidenti | |
| Etichette | Campo personalizzato in SOAR | Tag | Tag |
| Jupyter Notebook | Jupyter Notebook | Notebook di Microsoft Sentinel | |
| Dashboard | Dashboard | Dashboard | Cartelle di lavoro |
| Regole di correlazione | Blocchi predefiniti | Regole di correlazione | Regole di Analytics |
| Coda degli eventi imprevisti | Scheda Offesa | Revisione degli eventi imprevisti | Pagina evento imprevisto |
Passaggi successivi
Dopo la migrazione, esplorare le risorse di Microsoft Sentinel per espandere le competenze e sfruttare al meglio Microsoft Sentinel.
Prendere in considerazione anche l'aumento della protezione dalle minacce usando Microsoft Sentinel insieme a Microsoft Defender XDR e Microsoft Defender per il cloud per la protezione integrata dalle minacce. Trarre vantaggio dall'ampiezza di visibilità offerta da Microsoft Sentinel, mentre si approfondisce l'analisi dettagliata delle minacce.
Per altre informazioni, vedi:
- Procedure consigliate per la migrazione delle regole
- Webinar: Procedure consigliate per la conversione delle regole di rilevamento
- Orchestrazione della sicurezza, automazione e risposta (SOAR) in Microsoft Sentinel
- Gestire meglio il Centro operazioni di sicurezza con le metriche degli eventi imprevisti
- Percorso di apprendimento di Microsoft Sentinel
- Certificazione analista delle operazioni di sicurezza Microsoft SC-200
- Training su Ninja di Microsoft Sentinel
- Analizzare un attacco a un ambiente ibrido con Microsoft Sentinel