Konfigurera Microsoft Sentinel-innehåll
I föregående distributionssteg aktiverade du Microsoft Sentinel, hälsoövervakning och nödvändiga lösningar. I den här artikeln får du lära dig hur du konfigurerar olika typer av Microsoft Sentinel-säkerhetsinnehåll, vilket gör att du kan identifiera, övervaka och svara på säkerhetshot i dina system. Den här artikeln är en del av distributionsguiden för Microsoft Sentinel.
Konfigurera ditt säkerhetsinnehåll
| Steg | beskrivning |
|---|---|
| Konfigurera dataanslutningar | Baserat på de datakällor du valde när du planerade distributionen, och när du har aktiverat relevanta lösningar, kan du nu installera eller konfigurera dina dataanslutningar. – Om du använder en befintlig anslutningsapp hittar du din anslutningsapp från den här fullständiga listan över dataanslutningar. – Om du skapar en anpassad anslutningsapp använder du dessa resurser. – Om du konfigurerar en anslutningsapp för inmatning av CEF- eller Syslog-loggar kan du läsa de här alternativen. |
| Konfigurera analysregler | När du har konfigurerat Microsoft Sentinel för att samla in data från hela organisationen kan du börja använda analysregler för att identifiera hot. Välj de steg du behöver för att konfigurera dina analysregler: – Skapa schemalagda regler från mallar eller från grunden: Skapa analysregler som hjälper dig att identifiera hot och avvikande beteenden i din miljö. - Mappa datafält till entiteter: Lägga till eller ändra entitetsmappningar i en analysregel. - Visa anpassad information i aviseringar: Lägga till eller ändra anpassad information i en analysregel. - Anpassa aviseringsinformation: Åsidosätt standardegenskaperna för aviseringar med innehåll från underliggande frågeresultat. - Exportera och importera analysregler: Exportera dina analysregler till ARM-mallfiler (Azure Resource Manager) och importera regler från dessa filer. Exportåtgärden skapar en JSON-fil på webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som alla andra filer. - Skapa identifieringsanalysregler nästan i realtid (NRT): Skapa analysregler nära tid för hotidentifiering i den närmaste minuten. Den här typen av regel har utformats för att vara mycket dynamisk genom att köra frågan med intervall med bara en minuts mellanrum. - Arbeta med analysregler för avvikelseidentifiering: Arbeta med inbyggda avvikelsemallar som använder tusentals datakällor och miljontals händelser, eller ändra tröskelvärden och parametrar för avvikelserna i användargränssnittet. - Hantera mallversioner för dina schemalagda analysregler: Spåra versionerna av dina analysregelmallar och återställ antingen aktiva regler till befintliga mallversioner eller uppdatera dem till nya. - Hantera inmatningsfördröjning i schemalagda analysregler: Lär dig hur inmatningsfördröjning kan påverka dina schemalagda analysregler och hur du kan åtgärda dem för att täcka dessa luckor. |
| Konfigurera automatiseringsregler | Skapa automatiseringsregler. Definiera utlösare och villkor som avgör när automatiseringsregeln körs, de olika åtgärder som du kan låta regeln utföra och återstående funktioner. |
| Konfigurera spelböcker | En spelbok är en samling reparationsåtgärder som du kör från Microsoft Sentinel som en rutin för att automatisera och samordna hotsvaret. Så här konfigurerar du spelböcker: – Granska rekommenderade spelböcker - Skapa spelböcker från mallar: En spelboksmall är ett fördefinierat, testat och färdigt arbetsflöde som kan anpassas efter dina behov. Mallar kan också fungera som en referens för bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier. – Granska de här stegen för att skapa en spelbok |
| Konfigurera arbetsböcker | Arbetsböcker ger en flexibel arbetsyta för dataanalys och skapande av omfattande visuella rapporter i Microsoft Sentinel. Med arbetsboksmallar kan du snabbt få insikter i dina data så snart du ansluter en datakälla. Så här konfigurerar du arbetsböcker: – Granska vanliga Microsoft Sentinel-arbetsböcker - Använda befintliga arbetsboksmallar som är tillgängliga med paketerade lösningar - Skapa anpassade arbetsböcker i dina data |
| Konfigurera visningslistor | Med visningslistor kan du korrelera data från en datakälla som du anger med händelserna i din Microsoft Sentinel-miljö. Så här konfigurerar du bevakningslistor: - Skapa visningslistor - Skapa frågor eller identifieringsregler med bevakningslistor: Fråga data i en tabell mot data från en visningslista genom att behandla visningslistan som en tabell för kopplingar och sökningar. När du skapar en visningslista definierar du SearchKey. Söknyckeln är namnet på en kolumn i visningslistan som du förväntar dig att använda som en koppling till andra data eller som ett vanligt objekt för sökningar. |
Nästa steg
I den här artikeln har du lärt dig hur du konfigurerar olika typer av Microsoft Sentinel-säkerhetsinnehåll.