Отслеживание миграции на Microsoft Sentinel с помощью книги

• Применяется к:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Так как центр безопасности вашей организации обрабатывает растущие объемы данных, важно планировать и отслеживать состояние развертывания. Хотя вы можете отслеживать процесс миграции с помощью универсальных средств, таких как Microsoft Project, Microsoft Excel, Microsoft Teams или Azure DevOps, эти средства не относятся к отслеживанию миграции информации и событий безопасности (SIEM). Чтобы помочь вам отслеживать, мы предоставляем выделенную книгу в Microsoft Sentinel с именем Microsoft Sentinel Deployment and Migration.

Эта книга поможет вам:

• визуализировать ход выполнения миграции;
• развертывать и отслеживать источники данных;
• развертывать и осуществлять мониторинг правил аналитики и инцидентов;
• развертывать и использовать книги;
• развертывать и выполнять автоматизацию;
• развертывать и настраивать аналитику поведения пользователей и сущностей (U E B A).

В настоящей статье описано, как отслеживать миграцию с помощью книги Развертывание и миграция в Microsoft Sentinel, как настраивать книгу и управлять ею и как использовать вкладки книги для развертывания и мониторинга соединителей данных, аналитики, инцидентов, сборников схем, правил автоматизации, U E B A и управления данными. Узнайте больше об использовании книг Azure Monitor в Microsoft Sentinel.

Развертывание содержимого книги и просмотр книги

Чтобы получить книгу, сначала установите автономный элемент из центра содержимого в Microsoft Sentinel.

1. В центре содержимого Microsoft Sentinel отфильтруйте содержимое, указанное книгами типов = контента, а затем введите миграцию в строке поиска.

2. В результатах поиска выберите книгу развертывания и миграции Microsoft Sentinel, а затем нажмите кнопку "Установить". Microsoft Sentinel развернет книгу и сохранит ее в вашей среде.

3. В Microsoft Sentinel в разделе "Управление угрозами>" выберите Шаблоны книг.

4. Выберите книгу развертывания и миграции Microsoft Sentinel и шаблон представления.

Развертывание списка отслеживания

Следующим шагом является развертывание связанного списка наблюдения из репозитория Microsoft Sentinel GitHub.

1. В репозитории GitHub Microsoft Sentinel выберите папку DeploymentandMigration и выберите Развернуть в Azure, чтобы начать развертывание шаблона в Azure.
2. Укажите имя группы ресурсов и рабочей области Microsoft Sentinel.
3. Выберите Просмотр и создание.
4. После проверки сведений нажмите Создать.

Обновление списка отслеживания с помощью действий по развертыванию и миграции

Этот шаг имеет решающее значение для процесса настройки отслеживания. Если пропустить этот шаг, книга не отражает элементы для отслеживания.

Чтобы обновить список отслеживания с помощью действий развертывания и миграции, выполните следующее:

1. На портале Azure или Microsoft Defender выберите Microsoft Sentinel и выберите список наблюдения.
2. Выберите список наблюдения с псевдонимом развертывания .
3. Затем выберите пункт "Обновить список отслеживания" для редактирования элементов списка > отслеживания.
4. Укажите сведения о действиях, необходимых для развертывания и миграции.
5. Выберите Сохранить.

Теперь список отслеживания можно просматривать в книге средства отслеживания миграции. Узнайте, как управлять списками отслеживания.

Кроме того, ваша команда может обновлять или выполнять задачи в процессе развертывания. Чтобы устранить эти изменения, обновите существующие действия или добавьте новые действия при определении новых вариантов использования или задайте новые требования. Чтобы обновить или добавить действия, измените развернутый список наблюдения развертывания . Чтобы упростить процесс, в книге выберите пункт "Изменить список отслеживания развертывания", чтобы открыть список наблюдения непосредственно из книги.

Просмотр состояния развертывания

Чтобы быстро просмотреть ход выполнения развертывания, в книге Развертывание и миграция в Microsoft Sentinel выберите Развертывание и прокрутите вниз, чтобы найти раздел Сводка хода выполнения. В этой области отображается состояние развертывания, включая следующие сведения:

• Таблицы, представляющие данные
• Количество таблиц, представляющих данные
• Количество зарегистрированных журналов и указание таблиц, которые представляют данные журналов
• Количество включенных и неразвернутых правил
• Рекомендуемые развернутые книги
• Общее количество развернутых книг
• Общее количество развернутых сборников схем

Развертывание и мониторинг соединителей данных

Чтобы отслеживать развернутые ресурсы и развертывать новые соединители, в книге Развертывание и миграция в Microsoft Sentinel выберите Соединители данных и мониторинг. В разделе Мониторинг отображаются следующие списки:

• Текущие тенденции приема
• Таблицы, принимающие данные
• Объем данных, представляемых каждой таблицей
• Отчеты конечных точек с помощью агента Azure Monitor (AMA)
• Правила сбора данных в группе ресурсов и устройствах, связанных с правилами
• Работоспособность соединителя данных (изменения и сбои)
• Журналы работоспособности в пределах указанного диапазона времени

Чтобы настроить соединитель данных, выполните следующие действия:

1. Выберите окно просмотра Настройка.
2. Нажмите кнопку с именем соединителя, который требуется настроить.
3. Настройте соединитель в открывшемся экране состояния соединителя. Если вам не удается найти нужный соединитель, выберите имя соединителя, чтобы открыть коллекцию соединителей или коллекцию решений.

Развертывание и мониторинг правил аналитики и инцидентов

Когда данные передаются в рабочей области, настройте и отслеживайте правила аналитики. В книге развертывания и миграции Microsoft Sentinel перейдите на вкладку "Аналитика", чтобы просмотреть все развернутые шаблоны и списки правил. Это представление указывает, какие правила используются в настоящее время и как часто эти правила генерируют инциденты.

В случае необходимости увеличения охвата, выберите параметр Проверить охват MITRE под таблицей слева. Используйте этот параметр, чтобы выяснить, какие области получают больший охват и какие правила развертываются, на любом этапе проекта миграции.

При развертывании правил аналитики и соединителя продуктов Defender настроены для отправки оповещений, мониторинг создания инцидентов и частоты в разделе > "Сводка по развертыванию". В этой области отображаются метрики, касающиеся создания оповещений по продукту, названию и классификации, для указания работоспособности SOC и оповещений, которые требуют наибольшего внимания. Если оповещения создают слишком большой объем, вернитесь на вкладку Аналитика, чтобы изменить логику.

развертывать и использовать книги;

Чтобы визуализировать сведения о приеме и обнаружении данных, которые выполняет Microsoft Sentinel, в книге Развертывание и миграция в Microsoft Sentinel выберите Книги. Как и на вкладке "Соединители данных", используйте монитор и настройку представлений для просмотра сведений о мониторинге и конфигурации.

Ниже приведены некоторые полезные задачи на вкладке книг:

• Чтобы просмотреть список всех книг в среде и количество развернутых книг, выберите Мониторинг.

• Чтобы просмотреть определенную книгу в книге Развертывание и миграция в Microsoft Sentinel, выберите книгу и нажмитеОткрыть выбранную книгу.

  

• Если вы еще не развернули книги, выберите раздел Конфигурация, чтобы просмотреть список часто используемых и рекомендуемых книг. Если книга не указана в списке, выберите Перейти в коллекцию книг или Перейти в центр содержимого, чтобы развернуть соответствующую книгу.

  

Развертывание и мониторинг сборников схем и правил автоматизации

При настройке приема данных, обнаружения и визуализации теперь можно ознакомиться с автоматизацией. В книге Развертывание и миграция в Microsoft Sentinel выберите раздел Автоматизация, чтобы просмотреть развернутые сборники схем и узнать, какие сборники схем в настоящее время подключены к правилу автоматизации. Если правила автоматизации существуют, книга выделит следующие сведения о каждом правиле:

• Имя.
• Состояние
• Действие или действия правила
• Последняя дата изменения правила и пользователь, который внес это изменение
• Дата создания правила

Чтобы просмотреть, развернуть и проверить автоматизацию в текущем разделе книги, выберите Развернуть ресурсы автоматизации в нижнем левом углу.

Узнайте о возможностях SOAR Microsoft Sentinel для сборников схем и правил автоматизации.

Развертывание и мониторинг U E B A

Поскольку направление отчетов и обнаружение данных происходят на уровне сущности, важно отслеживать поведение и тенденции сущностей. Чтобы включить функцию U E B A в Microsoft Sentinel, в книге Развертывание и миграция в Microsoft Sentinel выберите UEBA. Здесь можно настроить временные шкалы сущностей для страниц сущностей и просмотреть, какие таблицы, связанные с сущностями, заполняются данными.

Чтобы включить U E B A, выполните следующие действия:

1. Выберите Включить UEBA над списком таблиц.
2. Чтобы включить U E B A, нажмите Вкл..
3. Выберите источники данных, которые вы хотите использовать для создания аналитических сведений.
4. Выберите Применить.

После включения U E B A отслеживайте и убедитесь, что Microsoft Sentinel создает данные U E B A.

Чтобы настроить временную шкалу, выполните следующие действия:

1. Выберите Настроить временную шкалу сущностей над списком таблиц.
2. Создайте пользовательский элемент или выберите один из готовых шаблонов.
3. Чтобы развернуть шаблон и завершить работу мастера, нажмите Создать.

Получите более подробную информацию об U E B A или узнайте, как настроить временную шкалу.

Настройка жизненного цикла данных и управление им

При развертывании или миграции в Microsoft Sentinel важно управлять использованием и жизненным циклом входящих журналов. В книге развертывания и миграции Microsoft Sentinel выберите Управление данными для просмотра и настройки хранения таблиц и архивации.

Просмотр сведений о:

• Таблицы, настроенные для приема основных журналов
• Таблицы, настроенные для приема данных уровня аналитики
• Таблицы, настроенные для архивации
• Таблицы для хранения в рабочей области по умолчанию

Чтобы изменить существующую политику хранения для таблиц, выполните следующие действия:

1. Выберите представление Таблицы для хранения по умолчанию.
2. Выберите таблицу, которую вы хотите изменить, и нажмите Обновить хранение. При необходимости измените следующие сведения:
   • Текущее хранение в рабочей области
   • Текущее хранение в архиве
   • Общее количество дней, в которых находятся данные в среде
3. Измените значение TotalRetention, чтобы задать новое общее количество дней, в течение которых данные будут существовать в среде.

Значение ArchiveRetention вычисляется путем вычитания значения TotalRetention из значения InteractiveRetention. Если необходимо настроить хранение в рабочей области, это изменение не повлияет на таблицы, содержащие настроенные архивы, и данные не будут потеряны. Если вы измените значение InteractiveRetention, а значение TotalRetention при этом останется прежним, Azure Log Analytics скорректирует хранение в архиве, чтобы компенсировать это изменение.

Если вы предпочитаете вносить изменения в пользовательский интерфейс, выберите "Обновить хранение" в пользовательском интерфейсе , чтобы открыть соответствующую страницу.

Получите дополнительные сведения об управлении жизненным циклом данных.

Включение рекомендаций и инструкций по миграции

Чтобы упростить процесс развертывания и миграции, книга содержит рекомендации по использованию различных вкладок и ссылки на соответствующие ресурсы. Рекомендации основаны на документации по миграции Microsoft Sentinel и относятся к текущему SIEM. Чтобы включить советы и инструкции, в книге Развертывание и миграция в Microsoft Sentinel в правом верхнем углу задайте для разделов Рекомендации по миграции и Инструкции значение Да.

Следующие шаги

Из этой статьи вы узнали, как отслеживать миграцию с помощью книги Развертывание и миграция в Microsoft Sentinel.

• Миграция правил обнаружения ArcSight
• Миграция правил обнаружения Splunk
• Миграция правил обнаружения QRadar