Microsoft Sentinel 操作指南
本文列出我們建議安全性作業 (SOC) 小組和安全性系統管理員使用 Microsoft Sentinel 作為其一般安全性活動的一部分進行規劃和執行的操作活動。 如需管理安全性作業的詳細資訊,請參閱 安全性作業概觀。
每日工作
每天排程下列活動。
| Task | description |
|---|---|
| 分級和調查事件 | 檢閱 [Microsoft Sentinel 事件] 頁面,檢查目前設定的分析規則所產生的新事件,並開始調查任何新的事件。 如需詳細資訊,請參閱使用 Microsoft Sentinel 調查事件。 |
| 探索搜捕查詢和書籤 | 探索所有內建查詢的結果,並更新現有的搜捕查詢和書籤。 如果適用,請手動產生新事件或更新舊事件。 如需詳細資訊,請參閱:使用 - Microsoft Sentinel 在搜捕期間使用 Microsoft Sentinel- 搜捕威脅時,自動從Microsoft安全性警示 - 建立事件 |
| 分析規則 | 檢閱並啟用適用的新分析規則,包括最近連線數據連接器中新發行或新可用的規則。 |
| 資料連接器 | 檢閱從每個數據連接器接收的最後一個記錄的狀態、日期和時間,以確保數據正在流動。 檢查是否有新的連接器,並檢閱擷取以確保未超過設定限制。 如需詳細資訊,請參閱 數據收集最佳做法 和 連接數據源。 |
| Azure 監視器代理程式 | 確認伺服器和工作站已主動連線到工作區,並針對任何失敗的連線進行疑難解答並補救。 如需詳細資訊,請參閱 Azure 監視器代理程式概觀。 |
| 劇本失敗 | 確認劇本執行狀態,並針對任何失敗進行疑難解答。 如需詳細資訊,請參閱 教學課程:在 Sentinel 中使用劇本搭配自動化 Microsoft規則來回應威脅。 |
每周工作
每周排程下列活動。
| Task | description |
|---|---|
| 解決方案或獨立內容的內容檢閱 | 從內容中樞取得已安裝解決方案或獨立內容的任何內容更新。 檢閱可能對您的環境具有價值的新解決方案或獨立內容,例如分析規則、活頁簿、搜捕查詢或劇本。 |
| Microsoft Sentinel 稽核 | 檢閱Microsoft Sentinel 活動,以查看誰更新或刪除了資源,例如分析規則、書籤等等。 如需詳細資訊,請參閱稽核 Microsoft Sentinel 查詢和活動。 |
每月工作
每月排程下列活動。
| Task | description |
|---|---|
| 檢閱使用者存取權 | 檢閱用戶的許可權,並檢查非使用中使用者。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。 |
| Log Analytics 工作區檢閱 | 檢閱Log Analytics工作區數據保留原則仍然符合貴組織的原則。 如需詳細資訊,請參閱 數據保留原則 和 整合 Azure 數據總管以進行長期記錄保留。 |