Guia operacional do Microsoft Sentinel
Este artigo lista as atividades operacionais que recomendamos que as equipes de operações de segurança (SOC) e os administradores de segurança planejem e executem como parte de suas atividades de segurança regulares com o Microsoft Sentinel. Para obter mais informações sobre como gerenciar suas operações de segurança, consulte Visão geral das operações de segurança.
Tarefas diárias
Agende as seguintes atividades diariamente.
| Tarefa | descrição |
|---|---|
| Triagem e investigação de incidentes | Consulte a página Incidentes do Microsoft Sentinel para verificar se há novos incidentes gerados pelas regras de análise configuradas atualmente e comece a investigar quaisquer novos incidentes. Para obter mais informações, consulte Investigar incidentes com o Microsoft Sentinel. |
| Explore consultas e favoritos de caça | Explore os resultados de todas as consultas incorporadas e atualize as consultas de caça e os marcadores existentes. Gere manualmente novos incidentes ou atualize incidentes antigos, se aplicável. Para obter mais informações, consulte: - Criar incidentes automaticamente a partir de alertas- de segurança da Microsoft Procurar ameaças com o Microsoft Sentinel - Acompanhe os dados durante a caça com o Microsoft Sentinel |
| Regras analíticas | Revise e habilite novas regras de análise, conforme aplicável, incluindo regras recém-lançadas ou recém-disponíveis de conectores de dados conectados recentemente. |
| Conectores de dados | Revise o status, a data e a hora do último log recebido de cada conector de dados para garantir que os dados estejam fluindo. Verifique se há novos conectores e revise a ingestão para garantir que os limites definidos não sejam excedidos. Para obter mais informações, consulte Práticas recomendadas de coleta de dados e Conectar fontes de dados. |
| Azure Monitor Agent | Verifique se os servidores e estações de trabalho estão ativamente conectados ao espaço de trabalho e solucione problemas e corrija quaisquer conexões com falha. Para obter mais informações, consulte Visão geral do Azure Monitor Agent. |
| Falhas no playbook | Verifique os status de execução do playbook e solucione quaisquer falhas. Para obter mais informações, consulte Tutorial: Responder a ameaças usando playbooks com regras de automação no Microsoft Sentinel. |
Tarefas semanais
Agende as seguintes atividades semanalmente.
| Tarefa | descrição |
|---|---|
| Revisão de conteúdo de soluções ou conteúdo independente | Obtenha quaisquer atualizações de conteúdo para as suas soluções instaladas ou conteúdo autónomo a partir do hub de conteúdo. Analise novas soluções ou conteúdo autônomo que possa ser útil para seu ambiente, como regras de análise, pastas de trabalho, consultas de busca ou playbooks. |
| Auditoria do Microsoft Sentinel | Analise a atividade do Microsoft Sentinel para ver quem atualizou ou excluiu recursos, como regras de análise, favoritos e assim por diante. Para obter mais informações, consulte Auditar consultas e atividades do Microsoft Sentinel. |
Tarefas mensais
Agende mensalmente as seguintes atividades.
| Tarefa | descrição |
|---|---|
| Rever o acesso do utilizador | Revise as permissões para seus usuários e verifique se há usuários inativos. Para obter mais informações, consulte Permissões no Microsoft Sentinel. |
| Revisão do espaço de trabalho do Log Analytics | Verifique se a política de retenção de dados do espaço de trabalho do Log Analytics ainda está alinhada com a política da sua organização. Para obter mais informações, consulte Política de retenção de dados e Integrar o Azure Data Explorer para retenção de log de longo prazo. |