Руководство по развертыванию Microsoft Sentinel
В этой статье представлены действия, которые помогут вам спланировать, развернуть и точно настроить развертывание Microsoft Sentinel.
Общие сведения о планировании и подготовке
В этом разделе представлены действия и предварительные требования, которые помогут вам спланировать и подготовиться перед развертыванием Microsoft Sentinel.
Этап планирования и подготовки обычно выполняется архитектором SOC или связанными ролями.
| Этап | Сведения |
|---|---|
| 1. Планирование и подготовка обзора и предварительных требований | Просмотрите предварительные требования клиента Azure. |
| 2. Планирование архитектуры рабочей области | Разработка рабочей области Log Analytics, включенной для Microsoft Sentinel. Рассмотрите такие параметры, как: — будет ли вы использовать один клиент или несколько клиентов. - Все требования к соответствию требованиям, которые у вас есть для сбора и хранения данных — Управление доступом к данным Microsoft Sentinel Ознакомьтесь со следующими статьями: 1. Разработка архитектуры рабочей области 3. Просмотрите примеры проектов рабочих областей 4. Подготовка к нескольким рабочим областям |
| 3. Приоритет соединителей данных | Определите, какие источники данных вам нужны и каковы требования к объему данных, чтобы правильно спроектировать бюджеты и сроки развертывания. Вы можете определить эту информацию на этапе проверки сценария использования или в ходе оценки текущей системы SIEM. Если у вас уже есть система SIEM, изучите данные и определите, какие источники предоставляют наибольшую ценность и должны быть приняты в Microsoft Sentinel. |
| 4. Планирование ролей и разрешений | Используйте управление доступом на основе ролей Azure (RBAC) для создания и назначения ролей в команде по операциям безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли позволяют точно контролировать, к чему пользователи Microsoft Sentinel имеют доступ и что они могут делать. Роли Azure можно назначать непосредственно в рабочей области или в подписке или группе ресурсов, к которой принадлежит рабочая область, к которой наследует Microsoft Sentinel. |
| 5. Планирование затрат | Начните планирование бюджета, учитывая последствия затрат для каждого запланированного сценария. Обязательно учтите в бюджете затраты на прием данных в Microsoft Sentinel и Azure Log Analytics, развертывание сборников схем и так далее. |
Общие сведения о развертывании
Этап развертывания обычно выполняется аналитиком SOC или связанными ролями.
| Этап | Сведения |
|---|---|
| 1. Включение Microsoft Sentinel, работоспособности и аудита и содержимого | Включите Microsoft Sentinel, включите функцию работоспособности и аудита, а также включите решения и содержимое, которое вы определили в соответствии с потребностями вашей организации. Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel Onboarding States. |
| 2. Настройка содержимого | Настройте различные типы содержимого безопасности Microsoft Sentinel, которые позволяют обнаруживать, отслеживать и реагировать на угрозы безопасности в системах: соединители данных, правила аналитики, правила автоматизации, сборники схем, книги и списки наблюдения. |
| 3. Настройка архитектуры между рабочими областями | Если для вашей среды требуется несколько рабочих областей, теперь их можно настроить в рамках развертывания. Из этой статьи вы узнаете, как настроить Microsoft Sentinel для расширения нескольких рабочих областей и клиентов. |
| 4. Включение аналитики поведения пользователей и сущностей (UEBA) | Включите и используйте функцию UEBA для упрощения процесса анализа. |
| 5. Настройка интерактивного и долгосрочного хранения данных | Настройте интерактивное и долгосрочное хранение данных, чтобы убедиться, что ваша организация сохраняет данные, важные в долгосрочной перспективе. |
Точное настройка и проверка: контрольный список для последующего развертывания
Просмотрите контрольный список после развертывания, чтобы убедиться, что процесс развертывания работает должным образом, и что развернутый контент безопасности работает и защищает вашу организацию в соответствии с вашими потребностями и вариантами использования.
Этап точной настройки и проверки обычно выполняется инженером SOC или связанными ролями.
| Этап | Действия |
|---|---|
| ✅Просмотр инцидентов и процессов инцидентов | — Проверьте, происходят ли инциденты и количество инцидентов, которые вы видите, отражает то, что происходит в вашей среде. — Проверьте, работает ли процесс инцидентов SOC для эффективного обработки инцидентов: назначали ли вы различные типы инцидентов различным уровням или уровням SOC? Узнайте больше о том , как перемещаться и исследовать инциденты и как работать с задачами инцидентов. |
| ✅Проверка и настройка правил аналитики | — На основе проверки инцидентов проверьте, активируются ли правила аналитики должным образом и соответствуют ли правила типам интересующих вас инцидентов. - Обработка ложных срабатываний с помощью автоматизации или путем изменения правил запланированной аналитики. — Microsoft Sentinel предоставляет встроенные возможности тонкой настройки, помогающие анализировать правила аналитики. Просмотрите эти встроенные аналитические сведения и реализуйте соответствующие рекомендации. |
| ✅Просмотр правил автоматизации и сборников схем | — Как и в правилах аналитики, убедитесь, что правила автоматизации работают должным образом и отражают интересующие вас инциденты. — Проверьте, отвечают ли сборники схем на оповещения и инциденты, как ожидалось. |
| ✅Добавление данных в списки наблюдения | Убедитесь, что списки наблюдения обновлены. Если в вашей среде произошли какие-либо изменения, например новые пользователи или варианты использования, обновите списки наблюдения соответствующим образом. |
| ✅Проверка уровней обязательств | Просмотрите уровни обязательств, которые вы изначально настроили, и убедитесь, что эти уровни отражают текущую конфигурацию. |
| ✅Следите за затратами приема | Чтобы отслеживать затраты на прием, используйте одну из следующих книг: — Книга отчета об использовании рабочей области предоставляет данные, затраты и статистику использования рабочей области. На основе представленных в книге сведений вы сможете получить представление о состоянии приема данных в рабочей области и объеме бесплатных и оплачиваемых данных. Логику книги можно использовать для мониторинга принимаемых данных и затрат, а также для создания настраиваемых представлений и оповещений на основе правил. — Книга затрат Microsoft Sentinel предоставляет более ориентированное представление о затратах Microsoft Sentinel, включая прием и хранение данных, прием данных для соответствующих источников данных, сведения о выставлении счетов Logic Apps и многое другое. |
| ✅Настройка правил сбора данных (DCR) | — Убедитесь, что контроллеры домена отражают потребности приема данных и варианты использования. — При необходимости реализуйте преобразование приема во время приема, чтобы отфильтровать неуместные данные даже до его первого хранения в рабочей области. |
| ✅Проверка правил аналитики на платформе MITRE | Проверьте охват MITRE на странице Microsoft Sentinel MITRE: просмотрите обнаружения, уже активные в рабочей области, и доступные для вас сведения о охвате безопасности вашей организации на основе тактики и методов платформы MITRE ATT&CK®. |
| ✅Охота на подозрительные действия | Убедитесь, что soC имеет процесс для упреждающей охоты на угрозы. Охота — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента. |
Связанные статьи
В этой статье вы рассмотрели действия на каждом из этапов, которые помогут развернуть Microsoft Sentinel.
В зависимости от того, какой этап вы находитесь, выберите соответствующие действия:
- Планирование и подготовка . Предварительные требования для развертывания Azure Sentinel
- Развертывание. Включение Microsoft Sentinel и начальных функций и содержимого
- Точное настройка и проверка — навигация и исследование инцидентов в Microsoft Sentinel
Завершив развертывание Microsoft Sentinel, продолжайте изучать возможности Microsoft Sentinel, просматривая руководства по общим задачам:
- Переадресация данных системного журнала в рабочую область Log Analytics с помощью агента Azure Monitor
- Настройка хранения на уровне таблицы
- Обнаружение угроз с помощью правил аналитики
- Автоматическая проверка и запись сведений о репутации IP-адресов в инцидентах
- Реагирование на угрозы с помощью автоматизации
- Извлечение сущностей инцидентов с помощью действия, отличного от машинного кода
- Изучение с помощью UEBA
- Создание и мониторинг нулевого доверия
Ознакомьтесь с руководством по работе Microsoft Sentinel для обычных действий SOC, которые мы рекомендуем выполнять ежедневно, еженедельно и ежемесячно.