Руководство по эксплуатации Microsoft Sentinel
В этой статье перечислены операционные действия, которые мы рекомендуем группам безопасности (SOC) и администраторам безопасности планировать и запускать в рамках своих обычных действий безопасности с помощью Microsoft Sentinel. Дополнительные сведения об управлении операциями безопасности см. в обзоре операций безопасности.
Ежедневные задачи
Запланируйте следующие действия ежедневно.
| Задача | описание |
|---|---|
| Изучение инцидентов и расследование инцидентов | Проверьте страницу Инциденты в Microsoft Sentinel на наличие новых инцидентов, созданных текущими настроенными правилами аналитики, и инициируйте анализ любых новых записей. Дополнительные сведения см. в разделе Исследование инцидентов с помощью Microsoft Sentinel. |
| Изучение запросов охоты и закладок | Изучите результаты всех встроенных запросов и обновите существующие запросы и закладки охоты. Вручную создайте новые инциденты или обновите существующие, если это применимо. Дополнительные сведения см. в статье: - Автоматическое создание инцидентов из оповещений - системы безопасности Майкрософт: поиск угроз с помощью Microsoft Sentinel Отслеживание данных во время охоты с помощью Microsoft Sentinel - |
| Правила аналитики | Проверьте и включите новые правила аналитики, в том числе недавно выпущенные и появившиеся правила из недавно подключенных соединителей данных. |
| Соединители данных | Проверьте состояние, дату и время последнего журнала, полученного от каждого соединителя данных, чтобы обеспечить непрерывность потока данных. Проверьте наличие новых соединителей и проверьте прием, чтобы обеспечить превышение ограничений. Дополнительные сведения см. в статьях Рекомендации по сбору данных и Подключение источников данных. |
| Агент Azure Monitor | Убедитесь в наличии активных подключений от серверов и рабочих станций к рабочей области, устраните неполадки и исправьте все неполадки соединений. Дополнительные сведения см. в обзоре агента Azure Monitor. |
| Сбои сборника схем | Проверьте состояние выполнения сборника схем и устраните все сбои. Дополнительные сведения см. в руководстве по реагированию на угрозы с помощью сборников схем с правилами автоматизации в Microsoft Sentinel. |
Еженедельные задачи
Запланируйте следующие действия еженедельно.
| Задача | описание |
|---|---|
| Проверка содержимого решений или автономного содержимого | Получите все обновления содержимого для установленных решений или автономного содержимого из центра контента. Просмотрите новые решения или автономное содержимое, которое может иметь значение для вашей среды, например правила аналитики, книги, запросы охоты или сборники схем. |
| Аудит Microsoft Sentinel | Просмотрите действие Microsoft Sentinel, чтобы узнать, кто обновил или удалил ресурсы, такие как правила аналитики, закладки и т. д. Дополнительные сведения см. в статье Аудит запросов и действий Microsoft Sentinel. |
Ежемесячные задачи
Запланируйте следующие действия ежемесячно.
| Задача | описание |
|---|---|
| Проверка доступа пользователей | Проверьте разрешения для пользователей и наличие неактивных пользователей. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel. |
| Проверка рабочей области Log Analytics | Убедитесь, что политика хранения данных рабочей области Log Analytics по-прежнему соответствует политике вашей организации. Дополнительные сведения см. в статьях Политика хранения данных и Интеграция Azure Data Explorer для долгосрочного хранения журналов. |