Настройка содержимого Microsoft Sentinel
На предыдущем шаге развертывания вы включили Microsoft Sentinel, мониторинг работоспособности и необходимые решения. В этой статье вы узнаете, как настроить различные типы содержимого безопасности Microsoft Sentinel, которые позволяют обнаруживать, отслеживать и реагировать на угрозы безопасности в системах. Эта статья является частью руководства по развертыванию Microsoft Sentinel.
Настройка содержимого безопасности
| Этап | Description |
|---|---|
| Настройка соединителей данных | На основе источников данных, выбранных при планировании развертывания, и после включения соответствующих решений теперь можно установить или настроить соединители данных. — Если вы используете существующий соединитель, найдите соединитель из этого полного списка соединителей данных. — Если вы создаете пользовательский соединитель, используйте эти ресурсы. — Если вы настраиваете соединитель для приема журналов CEF или Syslog, просмотрите эти параметры. |
| Настройка правил аналитики | После настройки Microsoft Sentinel для сбора данных со всей организации можно начать использовать правила аналитики для обнаружения угроз. Выберите шаги, необходимые для настройки и настройки правил аналитики: — Создание запланированных правил из шаблонов или с нуля: создание правил аналитики для обнаружения угроз и аномального поведения в вашей среде. - Сопоставление полей данных с сущностями: добавление или изменение сопоставлений сущностей в правиле аналитики. - Пользовательские сведения в оповещениях Surface: добавление или изменение пользовательских сведений в правиле аналитики. - Настройка сведений об оповещении. Переопределите свойства оповещений по умолчанию с содержимым из базовых результатов запроса. - Экспорт и импорт правил аналитики: экспорт правил аналитики в файлы шаблонов Azure Resource Manager (ARM) и импорт правил из этих файлов. Действие экспорта создает JSON-файл в расположении загрузки браузера, который затем можно переименовать, переместить и иначе обрабатывать как любой другой файл. - Создание правил аналитики обнаружения практически в реальном времени (NRT): создание правил аналитики почти во времени для обнаружения угроз до минуты. Этот тип правил рассчитан на высокую скорость реагирования, выполняя запросы с интервалом всего в одну минуту. - Работа с правилами аналитики обнаружения аномалий: работа со встроенными шаблонами аномалий, используюющими тысячи источников данных и миллионы событий, или изменяйте пороговые значения и параметры аномалий в пользовательском интерфейсе. - Управление версиями шаблонов для правил запланированной аналитики: отслеживание версий шаблонов правил аналитики, а также восстановление активных правил до существующих версий шаблонов или обновление их до новых. - Обработка задержки приема в правилах запланированной аналитики. Узнайте, как задержка приема может повлиять на правила запланированной аналитики и как их можно исправить для покрытия этих пробелов. |
| Настройка правил автоматизации | Создание правил автоматизации. Определите триггеры и условия, определяющие, когда выполняется правило автоматизации, различные действия, которые могут выполнять правило, и остальные функции и функции. |
| Настройка сборников схем | Сборник схем — это коллекция действий по исправлению, выполняемых из Microsoft Sentinel в качестве подпрограммы, которая помогает автоматизировать и оркестрировать ответ на угрозы. Чтобы настроить сборники схем, выполните приведенные далее действия. — Просмотр рекомендуемых сборников схем - Создание сборников схем из шаблонов: шаблон сборника схем — это предварительно созданный, тестируемый и готовый рабочий процесс, который можно настроить в соответствии с вашими потребностями. Шаблон также может служить как справочник с рекомендациями при разработке сборника схем с нуля или как источник идей для новых сценариев автоматизации. — Ознакомьтесь с этими инструкциями по созданию сборника схем |
| Настройка книг | Книги предоставляют гибкий холст для анализа данных и создания расширенных визуальных отчетов в Microsoft Sentinel. Шаблоны книг позволяют быстро получать аналитические сведения о данных сразу после подключения источника данных. Чтобы настроить книги, выполните приведенные действия. — Проверка часто используемых книг Microsoft Sentinel - Использование существующих шаблонов книг, доступных с упакованными решениями - Создание пользовательских книг в данных |
| Настройка списков отслеживания | Списки наблюдения позволяют сопоставлять данные из источника данных, предоставляемые с событиями в среде Microsoft Sentinel. Чтобы настроить списки наблюдения, выполните приведенные далее действия. - Создание списков отслеживания - Создание запросов или правил обнаружения с помощью списков отслеживания: запрос данных в любой таблице для данных из списка наблюдения, рассматривая список наблюдения как таблицу для соединений и подстановок. При создании списка видео к просмотру определяется ключ поиска. Ключ поиска — это имя столбца в списке видео к просмотру, который предполагается использовать в качестве соединения с другими данными или частыми объектами поиска. |
Следующие шаги
Из этой статьи вы узнали, как настроить различные типы содержимого безопасности Microsoft Sentinel.