Dela via


Driftsguide för Microsoft Sentinel

I den här artikeln visas de operativa aktiviteter som vi rekommenderar att säkerhetsåtgärdsteam (SOC) och säkerhetsadministratörer planerar för och kör som en del av sina regelbundna säkerhetsaktiviteter med Microsoft Sentinel. Mer information om hur du hanterar dina säkerhetsåtgärder finns i Översikt över säkerhetsåtgärder.

Dagliga uppgifter

Schemalägg följande aktiviteter dagligen.

Uppgift description
Sortera och undersöka incidenter Gå till sidan Microsoft Sentinel-incidenter för att söka efter nya incidenter som genererats av de för närvarande konfigurerade analysreglerna och börja undersöka eventuella nya incidenter. Mer information finns i:
  • Navigera, sortera och hantera Microsoft Sentinel-incidenter i Azure Portal
  • Undersöka Microsoft Sentinel-incidenter på djupet i Azure Portal
  • Utforska jaktfrågor och bokmärken Utforska resultaten för alla inbyggda frågor och uppdatera befintliga jaktfrågor och bokmärken. Generera nya incidenter manuellt eller uppdatera gamla incidenter om det är tillämpligt. Mer information finns i:
  • Skapa egna incidenter manuellt i Microsoft Sentinel i Azure Portal (förhandsversion)
  • Jaga efter hot med Microsoft Sentinel
  • Hålla reda på data under jakt med Microsoft Sentinel
  • Analysregler Granska och aktivera nya analysregler efter behov, inklusive både nyligen släppta eller nyligen tillgängliga regler från nyligen distribuerade lösningar. Mer information finns i:
  • Skapa schemalagda analysregler från mallar
  • Om Microsoft Sentinel-innehåll och -lösningar

    Övervaka hälsotillståndet och optimera körningen av dina analysregler. Mer information finns i:
  • Övervaka hälsotillståndet och granska integriteten för dina analysregler
  • Övervaka och optimera körningen av dina schemalagda analysregler
  • Dataanslutningsprogram Granska hälsostatusen för dina dataanslutningar för att säkerställa att data flödar. Sök efter nya anslutningsappar och granska inmatningen för att säkerställa att de angivna gränserna inte överskrids. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningar.
    Azure Monitor-agent Kontrollera att servrar och arbetsstationer är aktivt anslutna till arbetsytan och felsöka och åtgärda eventuella misslyckade anslutningar. Mer information finns i Översikt över Azure Monitor Agent.
    Spelboksfel Verifiera spelbokskörningsstatusar och felsök eventuella fel. Mer information finns o Självstudie: Svara på hot med hjälp av spelböcker med automatiseringsregler i Microsoft Sentinel.

    Veckovisa uppgifter

    Schemalägg följande aktiviteter varje vecka.

    Uppgift description
    Innehållsgranskning av lösningar eller fristående innehåll Hämta eventuella innehållsuppdateringar för dina installerade lösningar eller fristående innehåll från innehållshubben. Granska nya lösningar eller fristående innehåll som kan vara av värde för din miljö, till exempel analysregler, arbetsböcker, jaktfrågor eller spelböcker.
    Microsoft Sentinel-granskning Granska Microsoft Sentinel-aktiviteten för att se vem som uppdaterade eller tog bort resurser, till exempel analysregler, bokmärken och så vidare. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter.

    Månatliga uppgifter

    Schemalägg följande aktiviteter varje månad.

    Uppgift description
    Granska användaråtkomst Granska behörigheter för dina användare och sök efter inaktiva användare. Mer information finns i Behörigheter i Microsoft Sentinel.
    Granskning av Log Analytics-arbetsyta Granska att Log Analytics-principen för datakvarhållning för arbetsytor fortfarande överensstämmer med organisationens princip. Mer information finns i Datakvarhållningsprincip och Integrera Azure Data Explorer för långsiktig loggkvarhållning.