Driftsguide för Microsoft Sentinel
I den här artikeln visas de operativa aktiviteter som vi rekommenderar att säkerhetsåtgärdsteam (SOC) och säkerhetsadministratörer planerar för och kör som en del av sina regelbundna säkerhetsaktiviteter med Microsoft Sentinel. Mer information om hur du hanterar dina säkerhetsåtgärder finns i Översikt över säkerhetsåtgärder.
Dagliga uppgifter
Schemalägg följande aktiviteter dagligen.
| Uppgift | description |
|---|---|
| Sortera och undersöka incidenter | Gå till sidan Microsoft Sentinel-incidenter för att söka efter nya incidenter som genererats av de för närvarande konfigurerade analysreglerna och börja undersöka eventuella nya incidenter. Mer information finns i: |
| Utforska jaktfrågor och bokmärken | Utforska resultaten för alla inbyggda frågor och uppdatera befintliga jaktfrågor och bokmärken. Generera nya incidenter manuellt eller uppdatera gamla incidenter om det är tillämpligt. Mer information finns i: |
| Analysregler | Granska och aktivera nya analysregler efter behov, inklusive både nyligen släppta eller nyligen tillgängliga regler från nyligen distribuerade lösningar. Mer information finns i: Övervaka hälsotillståndet och optimera körningen av dina analysregler. Mer information finns i: |
| Dataanslutningsprogram | Granska hälsostatusen för dina dataanslutningar för att säkerställa att data flödar. Sök efter nya anslutningsappar och granska inmatningen för att säkerställa att de angivna gränserna inte överskrids. Mer information finns i Övervaka hälsotillståndet för dina dataanslutningar. |
| Azure Monitor-agent | Kontrollera att servrar och arbetsstationer är aktivt anslutna till arbetsytan och felsöka och åtgärda eventuella misslyckade anslutningar. Mer information finns i Översikt över Azure Monitor Agent. |
| Spelboksfel | Verifiera spelbokskörningsstatusar och felsök eventuella fel. Mer information finns o Självstudie: Svara på hot med hjälp av spelböcker med automatiseringsregler i Microsoft Sentinel. |
Veckovisa uppgifter
Schemalägg följande aktiviteter varje vecka.
| Uppgift | description |
|---|---|
| Innehållsgranskning av lösningar eller fristående innehåll | Hämta eventuella innehållsuppdateringar för dina installerade lösningar eller fristående innehåll från innehållshubben. Granska nya lösningar eller fristående innehåll som kan vara av värde för din miljö, till exempel analysregler, arbetsböcker, jaktfrågor eller spelböcker. |
| Microsoft Sentinel-granskning | Granska Microsoft Sentinel-aktiviteten för att se vem som uppdaterade eller tog bort resurser, till exempel analysregler, bokmärken och så vidare. Mer information finns i Granska Microsoft Sentinel-frågor och aktiviteter. |
Månatliga uppgifter
Schemalägg följande aktiviteter varje månad.
| Uppgift | description |
|---|---|
| Granska användaråtkomst | Granska behörigheter för dina användare och sök efter inaktiva användare. Mer information finns i Behörigheter i Microsoft Sentinel. |
| Granskning av Log Analytics-arbetsyta | Granska att Log Analytics-principen för datakvarhållning för arbetsytor fortfarande överensstämmer med organisationens princip. Mer information finns i Datakvarhållningsprincip och Integrera Azure Data Explorer för långsiktig loggkvarhållning. |