共用方式為


Microsoft Sentinel 操作指南

本文列出我們建議安全性作業 (SOC) 小組和安全性系統管理員使用 Microsoft Sentinel 作為其一般安全性活動的一部分進行規劃和執行的作活動。 如需管理安全性作業的詳細資訊,請參閱 安全性作業概觀

每日工作

每天排程下列活動。

Task description
分級和調查事件 檢閱 [Microsoft Sentinel 事件] 頁面,檢查目前設定的分析規則所產生的新事件,並開始調查任何新的事件。 如需詳細資訊,請參閱
  • 在 Azure 入口網站 中巡覽、分級和管理 sentinel 事件Microsoft
  • 深入調查 Azure 入口網站 Microsoft Sentinel 事件
  • 探索搜捕查詢和書籤 探索所有內建查詢的結果,並更新現有的搜捕查詢和書籤。 如果適用,請手動產生新事件或更新舊事件。 如需詳細資訊,請參閱
  • 在 Azure 入口網站 Microsoft Sentinel 中手動建立您自己的事件 (預覽)
  • 使用 Microsoft Sentinel 搜捕威脅
  • 使用 Microsoft Sentinel 在搜捕時持續追蹤資料
  • 分析規則 檢閱並啟用適用的新分析規則,包括最近部署解決方案中新發行或新可用的規則。 如需詳細資訊,請參閱
  • 從範本建立排程的分析規則
  • 關於 Microsoft Sentinel 內容和解決方案

    監視健康情況並優化分析規則的執行。 如需詳細資訊,請參閱
  • 監視健康情況並稽核分析規則的完整性
  • 監視並最佳化排程分析規則的執行
  • 資料連接器 檢閱數據連接器的健康情況狀態,以確保數據正在流動。 檢查是否有新的連接器,並檢閱擷取以確保未超過設定限制。 如需詳細資訊,請參閱監視資料連接器的健康情況
    Azure 監視器代理程式 確認伺服器和工作站已主動連線到工作區,並針對任何失敗的連線進行疑難解答並補救。 如需詳細資訊,請參閱 Azure 監視器代理程式概觀
    劇本失敗 確認劇本執行狀態,並針對任何失敗進行疑難解答。 如需詳細資訊,請參閱教學課程:在 Microsoft Sentinel 中使用劇本搭配自動化規則來回應威脅

    每周工作

    每周排程下列活動。

    Task description
    解決方案或獨立內容的內容檢閱 從內容樞取得已安裝解決方案或獨立內容的任何內容更新。 檢閱可能對您的環境具有價值的新解決方案或獨立內容,例如分析規則、活頁簿、搜捕查詢或劇本。
    Microsoft Sentinel 稽核 檢閱Microsoft Sentinel 活動,以查看誰更新或刪除了資源,例如分析規則、書籤等等。 如需詳細資訊,請參閱稽核 Microsoft Sentinel 查詢和活動

    每月工作

    每月排程下列活動。

    Task description
    檢閱使用者存取權 檢閱用戶的許可權,並檢查非使用中使用者。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限
    Log Analytics 工作區檢閱 檢閱Log Analytics工作區數據保留原則仍然符合貴組織的原則。 如需詳細資訊,請參閱 數據保留原則整合 Azure 數據總管以進行長期記錄保留