Tenere traccia della migrazione di Microsoft Sentinel con una cartella di lavoro

• Si applica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Poiché il Centro operativo per la sicurezza (SOC) dell'organizzazione gestisce quantità crescenti di dati, è essenziale pianificare e monitorare lo stato della distribuzione. Sebbene sia possibile tenere traccia del processo di migrazione usando strumenti generici come Microsoft Project, Microsoft Excel, Microsoft Teams o Azure DevOps, questi strumenti non sono specifici del rilevamento delle informazioni di sicurezza e della gestione degli eventi (SIEM). Per tenere traccia, in Microsoft Sentinel viene fornita una cartella di lavoro dedicata denominata Distribuzione e migrazione di Microsoft Sentinel.

La cartella di lavoro consente di:

• Visualizzare lo stato della migrazione
• Distribuire e tenere traccia delle origini dati
• Distribuire e monitorare le regole di analisi e gli eventi imprevisti
• Distribuire e usare cartelle di lavoro
• Distribuire ed eseguire l'automazione
• Distribuire e personalizzare l'analisi comportamentale degli utenti e delle entità (U E B A)

Questo articolo descrive come tenere traccia della migrazione con la cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel, come personalizzare e gestire la cartella di lavoro e come usare le schede della cartella di lavoro per distribuire e monitorare connettori dati, analisi, eventi imprevisti, playbook, regole di automazione, U E B A e gestione dei dati. Altre informazioni su come usare le cartelle di lavoro di Monitoraggio di Azure in Microsoft Sentinel.

Distribuire il contenuto della cartella di lavoro e visualizzare la cartella di lavoro

Per ottenere la cartella di lavoro, installare prima di tutto l'elemento autonomo dall'hub contenuto in Microsoft Sentinel.

1. Nell'hub del contenuto di Microsoft Sentinel filtrare il contenuto elencato inTipo di contenuto = Cartelle di lavoro, quindi immettere migrazione nella barra di ricerca.

2. Nei risultati della ricerca selezionare la cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel, quindi selezionare Installa. Microsoft Sentinel distribuisce la cartella di lavoro e salva la cartella di lavoro nell'ambiente.

3. In Microsoft Sentinel, in Gestione delle minacce selezionare Cartelle di lavoro>Modelli.

4. Selezionare la cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel e il modello Visualizza.

Distribuire la watchlist

Il passaggio successivo consiste nel distribuire la watchlist correlata dal repository GitHub di Microsoft Sentinel.

1. Nel repository GitHub di Microsoft Sentinel selezionare la cartella DeploymentandMigration e selezionare Distribuisci in Azure per avviare la distribuzione del modello in Azure.
2. Specificare il nome del gruppo di risorse e dell'area di lavoro di Microsoft Sentinel.
3. Seleziona Rivedi e crea.
4. Dopo aver convalidato le informazioni, selezionare Crea.

Aggiornare la watchlist con le azioni di distribuzione e migrazione

Questo passaggio è fondamentale per il processo di configurazione del rilevamento. Se si ignora questo passaggio, la cartella di lavoro non riflette gli elementi per il rilevamento.

Per aggiornare la watchlist con le azioni di distribuzione e migrazione:

1. Nel portale di Azure o Microsoft Defender selezionare Microsoft Sentinel e quindi Watchlist.
2. Selezionare la watchlist con l'alias di distribuzione.
3. Selezionare quindi Aggiorna watchlist > modificare gli elementi watchlist.
4. Fornire le informazioni per le azioni necessarie per la distribuzione e la migrazione.
5. Seleziona Salva.

È ora possibile visualizzare la watchlist all'interno della cartella di lavoro di monitoraggio della migrazione. Informazioni su come gestire watchlist.

Inoltre, il team potrebbe aggiornare o completare le attività durante il processo di distribuzione. Per risolvere queste modifiche, aggiornare le azioni esistenti o aggiungere nuove azioni quando si identificano nuovi casi d'uso o si impostano nuovi requisiti. Per aggiornare o aggiungere azioni, modificare la watchlist Distribuzione che è stata distribuita. Per semplificare il processo, nella cartella di lavoro selezionare Modifica watchlist distribuzione per aprire la watchlist direttamente dalla cartella di lavoro.

Visualizza stato distribuzione

Per visualizzare rapidamente lo stato di avanzamento della distribuzione, nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare Distribuzione e scorrere verso il basso per individuare il riepilogo dello stato di avanzamento. In questa area viene visualizzato lo stato della distribuzione, incluse le informazioni seguenti:

• Tabelle che segnalano i dati
• Numero di tabelle che segnalano i dati
• Numero di log segnalati e quali tabelle segnalano i dati di log
• Numero di regole abilitate e regole non distribuite
• Cartelle di lavoro consigliate distribuite
• Numero totale di cartelle di lavoro distribuite
• Numero totale di playbook distribuiti

Distribuire e monitorare i connettori dati

Per monitorare le risorse distribuite e distribuire nuovi connettori, nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare Connettori dati > Monitoraggio. Elenchi di visualizzazioni Monitoraggio:

• Tendenze di inserimento correnti
• Tabelle che inseriscono dati
• Quantità di dati che ogni tabella segnala
• Creazione di report degli endpoint con l'agente di Monitoraggio di Azure
• Regole di raccolta dati nel gruppo di risorse e nei dispositivi collegati alle regole
• Integrità del connettore dati (modifiche ed errori)
• Log di integrità entro l'intervallo di tempo specificato

Per configurare un connettore dati:

1. Selezionare la vista Configura.
2. Selezionare il pulsante con il nome del connettore da configurare.
3. Configurare il connettore nella schermata di stato del connettore visualizzata. Se non è possibile trovare un connettore necessario, selezionare il nome del connettore per aprire la raccolta connettori o la raccolta di soluzioni.

Distribuire e monitorare analisi e eventi imprevisti

Quando i dati vengono segnalati nell'area di lavoro, configurare e monitorare le regole di analisi. Nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare la scheda Analisi per visualizzare tutti i modelli e gli elenchi di regole distribuiti. Questa vista indica quali regole sono attualmente in uso e con quale frequenza le regole generano eventi imprevisti.

Se è necessaria una maggiore copertura, selezionare Rivedi copertura MITRE sotto la tabella a sinistra. Usare questa opzione per definire quali aree ricevono maggiore copertura e quali regole vengono distribuite, in qualsiasi fase del progetto di migrazione.

Quando si distribuiscono le regole di analisi e il connettore di prodotti Defender è configurato per inviare gli avvisi, monitorare la creazione e la frequenza degli eventi imprevisti in Distribuzione > Riepilogo dello stato di avanzamento. In questa area vengono visualizzate le metriche relative alla generazione di avvisi per prodotto, titolo e classificazione, per indicare l'integrità del SOC e quali avvisi richiedono la maggior attenzione. Se gli avvisi generano un volume eccessivo, tornare alla scheda Analisi per modificare la logica.

Distribuire e usare cartelle di lavoro

Per visualizzare le informazioni relative all'inserimento e ai rilevamenti dei dati effettuati da Microsoft Sentinel, nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare Cartelle di lavoro. Analogamente alla scheda Connettori dati usare le visualizzazioni Monitora e Configura per visualizzare le informazioni di monitoraggio e configurazione.

Ecco alcune attività utili da eseguire nella scheda Cartelle di lavoro:

• Per visualizzare un elenco di tutte le cartelle di lavoro nell'ambiente e il numero di cartelle di lavoro distribuite, selezionare Monitoraggio.

• Per visualizzare una cartella di lavoro specifica all'interno della cartella di lavoroDistribuzione e migrazione di Microsoft Sentinel, selezionare una cartella di lavoro e quindi selezionare Apri cartella di lavoro selezionata.

  

• Se le cartelle di lavoro non sono ancora state distribuite, selezionare Configura per visualizzare un elenco di cartelle di lavoro comunemente usate e consigliate. Se una cartella di lavoro non è elencata, selezionare Vai a raccolta cartelle di lavoro o Vai a hub contenuto per distribuire la cartella di lavoro pertinente.

  

Distribuire e monitorare playbook e regole di automazione

Quando si configura l'inserimento, i rilevamenti e le visualizzazioni dei dati, è ora possibile esaminare l'automazione. Nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare Automazione per visualizzare i playbook distribuiti e visualizzare i playbook attualmente connessi a una regola di automazione. Se esistono regole di automazione, la cartella di lavoro evidenzia le informazioni seguenti relative a ogni regola:

• Nome
• Stato
• Azione o azioni della regola
• Data dell'ultima modifica della regola e dell'utente che ha modificato la regola
• Data di creazione della regola

Per visualizzare, distribuire e testare l'automazione all'interno della sezione corrente della cartella di lavoro, selezionare Distribuisci risorse di automazione in basso a sinistra.

Informazioni sulle funzionalità SOAR di Microsoft Sentinel per playbook e regole di automazione.

Distribuire e monitorare U E B A

Poiché la creazione di report e i rilevamenti dei dati vengono eseguiti a livello di entità, è essenziale monitorare il comportamento e le tendenze delle entità. Per abilitare la funzionalità U E B A in Microsoft Sentinel, nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare UEBA. Qui è possibile personalizzare le sequenze temporali delle entità per le pagine di entità e visualizzare le tabelle correlate alle entità popolate con i dati.

Per abilitare U E B A:

1. Selezionare Abilita UEBA sopra l'elenco delle tabelle.
2. Per abilitare U E B A, selezionare On.
3. Selezionare le origini dati da usare per generare informazioni dettagliate.
4. Selezionare Applica.

Dopo aver abilitato U E B A, monitorare e assicurarsi che Microsoft Sentinel generi dati U E B A.

Per personalizzare la sequenza temporale:

1. Selezionare Personalizza sequenza temporale entità sopra l'elenco delle tabelle.
2. Creare un elemento personalizzato o selezionare uno dei modelli predefiniti.
3. Per distribuire il modello e completare la procedura guidata, selezionare Crea.

Altre informazioni su U E B A o su come personalizzare la sequenza temporale.

Configurare e gestire il ciclo di vita dei dati

Quando si esegue la distribuzione o la migrazione a Microsoft Sentinel, è essenziale gestire l'utilizzo e il ciclo di vita dei log in ingresso. Nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel selezionare Gestione dati per visualizzare e configurare la conservazione e l'archiviazione delle tabelle.

Visualizzare le informazioni relative a:

• Tabelle configurate per l'inserimento di log di base
• Tabelle configurate per l'inserimento dei livelli di analisi
• Tabelle configurate per l'archiviazione
• Tabelle sulla conservazione predefinita dell'area di lavoro

Per modificare i criteri di conservazione esistenti per le tabelle:

1. Selezionare la visualizzazione Tabelle di conservazione predefinite.
2. Selezionare la tabella da modificare e selezionare Aggiorna conservazione. Modificare le informazioni seguenti in base alle esigenze:
   • Conservazione corrente nell'area di lavoro
   • Conservazione corrente nell'archivio
   • Numero totale di giorni in cui i dati si trovano nell'ambiente
3. Modificare il valore TotalRetention per impostare un nuovo numero totale di giorni in cui devono esistere i dati all'interno dell'ambiente.

Il valore ArchiveRetention viene calcolato sottraendo il valore TotalRetention dal valore InteractiveRetention. Se è necessario modificare la conservazione dell'area di lavoro, la modifica non influisce sulle tabelle che includono archivi e dati configurati non vengono persi. Se si modifica il valore InteractiveRetention e il valore TotalRetention non cambia, Azure Log Analytics regola la conservazione dell'archivio per compensare la modifica.

Se si preferisce apportare modifiche nell'interfaccia utente, selezionare Aggiorna conservazione nell'interfaccia utente per aprire la pagina pertinente.

Informazioni sulla gestione del ciclo di vita dei dati.

Abilitare i suggerimenti e le istruzioni per la migrazione

Per facilitare il processo di distribuzione e migrazione, la cartella di lavoro include suggerimenti che illustrano come usare le diverse schede e i collegamenti alle risorse pertinenti. I suggerimenti sono basati sulla documentazione sulla migrazione di Microsoft Sentinel e sono rilevanti per il SIEM corrente. Per abilitare suggerimenti e istruzioni, nella cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel, in alto a destra impostare Suggerimenti migrazione e Istruzioni su Sì.

Passaggi successivi

In questo articolo è stato spiegato come tenere traccia della migrazione con la cartella di lavoro Distribuzione e migrazione di Microsoft Sentinel.

• Eseguire la migrazione delle regole di rilevamento di ArcSight
• Eseguire la migrazione delle regole di rilevamento di Splunk
• Eseguire la migrazione delle regole di rilevamento QRadar