你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 部署指南
本文介绍可帮助你规划、部署和微调 Microsoft Sentinel 部署的活动。
规划和准备概述
本部分介绍可帮助你在部署 Microsoft Sentinel 之前进行规划和准备的活动和先决条件。
规划和准备阶段通常由 SOC 架构师或相关角色执行。
步骤 | 详细信息 |
---|---|
1. 规划和准备概述和先决条件 | 查看 Azure 租户先决条件。 |
2. 规划工作区体系结构 | 设计启用 Microsoft Sentinel 的 Log Analytics 工作区。 请考虑以下参数: - 你将使用单租户还是多租户 - 你对数据收集和存储的任何合规性要求 - 如何控制对 Microsoft Sentinel 数据的访问 查看以下文章: 1.设计工作区体系结构 3. 查看示例工作区设计 4. 准备多个工作区 |
3. 设置数据连接器的优先级 | 确定你需要的数据源和数据大小要求,以便准确地预测部署的预算和时间线。 你可以在业务用例评审过程中确定此信息,也可以通过评估现有的 SIEM 来这样做。 如果 SIEM 已就位,请分析你的数据,以了解哪些数据源可以提供最大的价值,因此应当引入到 Microsoft Sentinel 中。 |
4. 规划角色和权限 | 使用 Azure 基于角色的访问控制 (RBAC) 在安全运营团队中创建和分配角色,以授予对 Microsoft Sentinel 的适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在工作区中分配 Azure 角色,或在工作区所属的订阅或资源组(由 Microsoft Sentinel 继承)中进行分配。 |
5. 计划成本 | 开始规划预算,并考虑每个计划方案的成本影响。 请确保预算涵盖了 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何 playbook 的成本,等等。 |
部署概述
部署阶段通常由 SOC 分析师或相关角色执行。
步骤 | 详细信息 |
---|---|
1.启用 Microsoft Sentinel、运行状况和审核以及内容 | 启用 Microsoft Sentinel、启用运行状况和审核功能,并启用根据组织需求确定的解决方案和内容。 若要使用 API 载入到 Microsoft Sentinel,请参阅最新支持的 Sentinel Onboarding States 版本。 |
2.配置内容 | 配置不同类型的 Microsoft Sentinel 安全内容,以便检测、监视和响应系统中的安全威胁:数据连接器、分析规则、自动化规则、剧本、工作簿和监视列表。 |
3.设置跨工作区体系结构 | 如果你的环境需要多个工作区,现在可以将它们设置为部署的一部分。 本文介绍如何设置 Microsoft Sentinel 以跨多个工作区和租户进行扩展。 |
4.启用用户与实体行为分析 (UEBA) | 启用并使用 UEBA 功能来简化分析过程。 |
5.设置交互式和长期数据保留 | 设置交互式和长期数据保留,以确保组织可以长期保留重要数据。 |
微调和查看:部署后核对清单
查看部署后核对清单,以帮助确保部署过程按预期进行,并且你部署的安全内容按照你的需求和用例工作并保护你的组织。
微调和查看阶段通常由 SOC 工程师或相关角色执行。
步骤 | 操作 |
---|---|
✅查看事件和事件流程 | - 检查你所看到的事件和事件数量是否反映出环境中实际发生的情况。 - 检查 SOC 的事件流程是否有效处理事件:是否已将不同类型的事件分配给 SOC 的不同层/层级? 详细了解如何导航和调查事件,以及如何处理事件任务。 |
✅查看和微调分析规则 | - 根据事件评审结果,检查分析规则是否按预期触发,以及这些规则是否反映你感兴趣的事件类型。 通过使用自动化或修改计划的分析规则来- 处理误报。 - Microsoft Sentinel 提供内置微调功能来帮助你分析分析规则。 查看这些内置见解并实施相关建议。 |
✅查看自动化规则和脚本 | - 与分析规则类似,检查自动化规则按预期工作,以及是否反映出你关注和感兴趣的事件。 - 检查脚本是否按预期响应警报和事件。 |
✅将数据添加到监视列表 | 检查监视列表是否为最新。 如果环境中发生了任何更改(例如新用户或用例),则相应地更新监视列表。 |
✅查看承诺层级 | 查看最初设置的承诺层级,并验证这些层级是否反映当前配置。 |
✅跟踪引入成本 | 请使用以下其中一个工作簿来跟踪引入成本: - “工作区使用量报告”工作簿提供工作区的数据消耗、成本和使用量统计信息。 此工作簿提供了工作区的数据引入状态以及免费和付费数据的数量。 可以使用该工作簿的逻辑来监视数据引入和成本,并生成自定义视图和基于规则的警报。 - “Microsoft Sentinel 成本”工作簿提供更集中的 Microsoft Sentinel 成本视图,其中包含引入和保留数据、合格数据源的引入数据、Azure 逻辑应用计费信息等。 |
✅微调数据收集规则 (DCR) | - 检查 DCR 是否反映数据引入需求和用例。 - 需要时,“实现引入-时间转换”筛选掉不相关的数据,甚至是在这些数据首次存储到工作区之前。 |
✅根据 MITRE 框架检查分析规则 | 在 Microsoft Sentinel MITRE 页面中检查 MITRE 覆盖范围:查看工作区中已处于活动状态的检测,以及可供你配置的检测,以便根据 MITRE ATT&CK® 框架中的策略和技术了解组织的安全覆盖范围。 |
✅搜寻可疑活动 | 确保安全运营中心有用于主动搜寻威胁的流程。 搜寻是安全分析师查找未检测到的威胁和恶意行为的过程。 他们通过创建假设、搜索数据并验证该假设,来确定要执行哪些操作。 操作可能包括创建新检测、新威胁情报或启动新事件。 |
相关文章
在本文中,你已查看每个阶段中有助于部署 Microsoft Sentinel 的活动。
请根据你所处的阶段,选择适当的后续步骤:
- 规划和准备 - 部署 Azure Sentinel 所要满足的先决条件
- 部署 - 启用 Microsoft Sentinel 以及初始功能和内容
- 微调和审查 - 在 Microsoft Sentinel 中浏览和调查事件
完成 Microsoft Sentinel 部署后,请通过查看介绍常见任务的教程继续探索 Microsoft Sentinel 功能:
- 通过 Azure Monitor 代理,使用 Microsoft Sentinel 将 Syslog 数据转发到 Log Analytics 工作区
- 配置数据保留策略
- 使用分析规则检测威胁
- 自动检查和记录事件中的 IP 地址信誉信息
- 使用自动化响应威胁
- 使用非原生操作提取事件实体
- 使用 UEBA 进行调查
- 生成和监视零信任
查看 Microsoft Sentinel 操作指南,了解我们建议每天、每周和每月执行一次的常规 SOC 活动。