你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 操作指南
本文列出了我们建议安全运营 (SOC) 团队和安全管理员作为使用 Microsoft Sentinel 的常规安全活动的一部分进行规划和运行的操作活动。 有关管理安全作的详细信息,请参阅 安全作概述。
每日任务
每日安排以下活动。
| 任务 | description |
|---|---|
| 会审和调查事件 | 查看 Microsoft Sentinel“事件”页,检查当前配置的分析规则生成的新事件,并开始调查任何新事件。 有关详细信息,请参阅: |
| 浏览搜寻查询和书签 | 浏览所有内置查询的结果,并更新现有的搜寻查询和书签。 手动生成新事件或更新旧事件(如果适用)。 有关详细信息,请参阅: |
| 分析规则 | 查看并启用适用的新分析规则,包括最近部署的解决方案中新发布的或新可用的规则。 有关详细信息,请参阅: 监视运行状况并优化分析规则的执行。 有关详细信息,请参阅: |
| 数据连接器 | 查看数据连接器的运行状况,以确保数据流式传输。 检查新的连接器,并查看引入以确保没有超过设置的限制。 有关详细信息,请参阅监视数据连接器的运行状况。 |
| Azure Monitor 代理 | 验证服务器和工作站是否主动连接到工作区,并对任何失败的连接进行排查和修复。 有关详细信息,请参阅 Azure Monitor 代理概述。 |
| Playbook 故障 | 验证 playbook 运行状态并排查任何故障。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中使用 playbook 和自动化规则响应威胁。 |
每周任务
每周安排以下活动。
| 任务 | description |
|---|---|
| 解决方案或独立内容的内容评审 | 从内容中心获取已安装解决方案或独立内容的任何内容更新。 查看可能对你的环境有价值的新解决方案或独立内容,例如分析规则、工作簿、搜寻查询或 playbook。 |
| Microsoft Sentinel 审核 | 查看 Microsoft Sentinel 活动,了解谁更新或删除了资源(例如分析规则、书签等)。 有关详细信息,请参阅审核 Microsoft Sentinel 查询和活动。 |
每月任务
每月安排以下活动。
| 任务 | description |
|---|---|
| 查看用户访问权限 | 查看用户的权限并检查不活动的用户。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。 |
| Log Analytics 工作区评审 | 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。 有关详细信息,请参阅数据保留策略和集成 Azure 数据资源管理器以实现长期日志保留。 |