Guia operacional do Microsoft Sentinel
Este artigo lista as atividades operacionais que recomendamos que as equipes de operações de segurança (SOC) e os administradores de segurança planejem e executem como parte de suas atividades regulares de segurança com o Microsoft Sentinel. Para obter mais informações sobre como gerenciar suas operações de segurança, consulte Visão geral das operações de segurança.
Tarefas diárias
Programe as seguintes atividades diariamente.
| Tarefa | descrição |
|---|---|
| Triagem e investigação de incidentes | Examine a página Incidentes do Microsoft Azure Sentinel para verificar se há novos incidentes gerados pelas regras de análise configuradas atualmente e começar a investigar novos incidentes. Para obter mais informações, confira Investigar incidentes com o Microsoft Sentinel. |
| Explorar consultas de busca e marcadores | Explore os resultados de todas as consultas internas e atualize os indicadores e consultas de busca existentes. Gere manualmente novos incidentes ou atualize incidentes antigos, se aplicável. Para obter mais informações, consulte: - Criar incidentes automaticamente a partir de alertas- de segurança da Microsoft Procurar ameaças com o Microsoft Sentinel - Controlar os dados durante a busca com o Microsoft Sentinel |
| Regras analíticas | Examine e habilite novas regras de análise conforme aplicável, incluindo regras recém-lançadas ou recém-disponíveis de conectores de dados conectados recentemente. |
| Conectores de dados | Examine o status, a data e a hora do último log recebido de cada conector de dados para garantir que os dados estejam fluindo. Verifique se há novos conectores e revise a ingestão para garantir que os limites definidos não sejam excedidos. Para obter mais informações, consulte Melhores práticas de coleta de dados e Conectar fontes de dados. |
| Agente do Azure Monitor | Verifique se os servidores e as estações de trabalho estão conectados ativamente ao espaço de trabalho e solucione e corrija todas as conexões com falha. Para obter mais informações, confira Visão geral do Agente do Azure Monitor. |
| Falhas no guia estratégico | Verifique os estados da execução do guia estratégico e solucione quaisquer falhas. Para obter mais informações, veja Tutorial: Responder a ameaças usando manuais com regras de automação no Microsoft Sentinel. |
Tarefas semanais
Programe as seguintes atividades semanalmente.
| Tarefa | descrição |
|---|---|
| Revisão de conteúdo de soluções ou conteúdo autônomo | Obtenha todas as atualizações de conteúdo para suas soluções instaladas ou conteúdo autônomo no hub de conteúdo. Examine novas soluções ou conteúdo autônomo que possa ser de valor para seu ambiente, como regras de análise, pastas de trabalho, consultas de busca ou guias estratégicos. |
| Auditoria do Microsoft Sentinel | Revise a atividade do Microsoft Sentinel para ver quem atualizou ou excluiu recursos, como regras analíticas, marcadores e assim por diante. Para obter mais informações, confira Auditar consultas e atividades do Microsoft Azure Sentinel. |
Tarefas mensais
Programe as seguintes atividades mensalmente.
| Tarefa | descrição |
|---|---|
| Examinar o acesso do usuário | Examine as permissões para os usuários e verifique se há usuários inativos. Para saber mais, confira Permissões no Microsoft Azure Sentinel. |
| Revisão do workspace do Log Analytics | Examine se a política de retenção de dados de espaço de trabalho do Log Analytics ainda se alinha com a política da sua organização. Para obter mais informações, confira Política de retenção de dados e Integrar o Azure Data Explorer para retenção de log de longo prazo. |