你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍有助于规划、部署和微调Microsoft Sentinel部署的活动。
计划和准备概述
本部分介绍有助于在部署Microsoft Sentinel之前规划和准备的活动和先决条件。
计划和准备阶段通常由 SOC 架构师或相关角色执行。
| 步骤 | 详细信息 |
|---|---|
| 1. 规划和准备概述和先决条件 | 查看Azure租户先决条件。 |
| 2.规划工作区体系结构 | 设计启用了Microsoft Sentinel的 Log Analytics 工作区。 无论是否要加入Microsoft Defender门户,你仍然需要 Log Analytics 工作区。 请考虑以下参数: - 是使用单个租户还是多个租户 - 对数据收集和存储的任何合规性要求 - 如何控制对Microsoft Sentinel数据的访问 查看以下文章: 1. 设计工作区体系结构 3. 查看示例工作区设计 4. 准备多个工作区 |
| 3. 确定数据连接器的优先级 | 确定所需的数据源和数据大小要求,以帮助你准确预测部署的预算和时间线。 可以在业务用例评审期间或通过评估已到位的当前 SIEM 来确定此信息。 如果已有 SIEM,请分析数据,了解哪些数据源提供的价值最大,应引入Microsoft Sentinel。 |
| 4. 规划角色和权限 | 使用Azure基于角色的访问控制 (RBAC) 在安全运营团队中创建和分配角色,以授予对Microsoft Sentinel的适当访问权限。 通过不同的角色,你可以精细地控制用户可以看到和执行的操作Microsoft Sentinel。 Azure角色可以直接在工作区中分配,也可以在工作区所属的订阅或资源组中分配,Microsoft Sentinel继承这些角色。 |
| 5. 计划成本 | 开始规划预算,并考虑每个计划方案的成本影响。 请确保预算涵盖 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何 playbook 等。 |
部署概述
部署阶段通常由 SOC 分析师或相关角色执行。
| 步骤 | 详细信息 |
|---|---|
| 1. 启用Microsoft Sentinel、运行状况和审核以及内容 | 启用Microsoft Sentinel、启用运行状况和审核功能,并启用根据组织需求确定的解决方案和内容。
若要使用 API 载入Microsoft Sentinel,请参阅最新受支持的Sentinel载入状态版本。 |
| 2.配置内容 | 配置不同类型的Microsoft Sentinel安全内容,以便跨系统检测、监视和响应安全威胁:数据连接器、分析规则、自动化规则、playbook、工作簿和监视列表。 |
| 3. 设置跨工作区体系结构 | 如果环境需要多个工作区,现在可以将它们设置为部署的一部分。 本文介绍如何设置Microsoft Sentinel以跨多个工作区和租户进行扩展。 |
| 4. (UEBA) 启用用户和实体行为分析 | 启用并使用 UEBA 功能来简化分析过程。 |
| 5.配置Microsoft Sentinel数据湖 | 配置交互式和数据保留设置,确保组织保留关键长期数据,利用Microsoft Sentinel数据湖实现经济高效的存储、增强的可见性,并与高级分析工具无缝集成。 |
微调和查看:部署后清单
查看部署后清单,以帮助确保部署过程按预期工作,并且部署的安全内容正常运行,并根据需求和用例保护组织。
微调和评审阶段通常由 SOC 工程师或相关角色执行。
| 步骤 | 操作 |
|---|---|
| ✅ 查看事件和事件流程 | - 检查你看到的事件和事件数是否反映了环境中实际发生的情况。 - 检查 SOC 的事件流程是否有效处理事件:是否已将不同类型的事件分配给 SOC 的不同层/层? 详细了解如何 导航和调查 事件,以及如何使用 事件任务。 |
| ✅ 查看和微调分析规则 | - 根据事件评审,检查分析规则是否按预期触发,以及这些规则是否反映了你感兴趣的事件类型。 - 使用自动化或修改计划的分析规则来处理误报。 - Microsoft Sentinel提供内置的微调功能,帮助你分析分析规则。 查看这些内置见解并实施相关建议。 |
| ✅ 查看自动化规则和 playbook | - 与分析规则类似,检查自动化规则按预期工作,并反映你关注和感兴趣的事件。 - 检查 playbook 是否按预期响应警报和事件。 |
| ✅ 将数据添加到监视列表 | 检查监视列表是否为最新。 如果环境中发生了任何更改(例如新用户或用例),请 相应地更新监视列表。 |
| ✅ 查看承诺层 | 查看最初设置的承诺层,并验证这些层是否反映了当前配置。 |
| ✅ 跟踪引入成本 | 若要跟踪引入成本,请使用以下工作簿之一: - 工作区使用情况报告 工作簿 提供工作区的数据消耗、成本和使用情况统计信息。 工作簿提供工作区的数据引入状态以及免费和可计费数据量。 可以使用工作簿逻辑来监视数据引入和成本,以及生成自定义视图和基于规则的警报。 - Microsoft Sentinel成本工作簿提供了Microsoft Sentinel成本的更集中视图,包括引入和保留数据、合格数据源的引入数据、逻辑应用计费信息等。 |
| ✅ 微调数据收集规则 (DCR) | - 检查 DCR 是否反映了数据引入需求和用例。 - 如果需要, 请实现引入时转换 ,以筛选出不相关的数据,甚至在数据首次存储在工作区之前。 |
| ✅ 根据 MITRE 框架检查分析规则 | 在“Microsoft Sentinel MITRE”页中检查 MITRE 覆盖范围:根据 MITRE ATT&CK® 框架的策略和技术,查看工作区中已处于活动状态的检测以及可供你配置的检测,以了解组织的安全覆盖范围。 |
| ✅ 搜寻可疑活动 | 确保 SOC 具有 主动威胁搜寻的流程。 搜寻是安全分析师查找未检测到的威胁和恶意行为的过程。 通过创建假设、搜索数据并验证该假设,他们确定要处理什么。 操作可能包括创建新检测、新威胁情报或启动新事件。 |
相关文章
在本文中,你查看了帮助你部署Microsoft Sentinel的每个阶段中的活动。
根据你所在的阶段,选择适当的后续步骤:
- 规划和准备 - 部署Azure Sentinel的先决条件
- 部署 - 启用Microsoft Sentinel和初始功能和内容
- 微调和查看 - 在 Microsoft Sentinel 中导航和调查事件
完成Microsoft Sentinel部署后,请继续通过查看涵盖常见任务的教程来探索Microsoft Sentinel功能:
- 什么是Microsoft Sentinel数据湖?
- 使用 Azure Monitor 代理将 Syslog 数据转发到具有Microsoft Sentinel的 Log Analytics 工作区
- 配置表级保留
- 使用分析规则检测威胁
- 在事件中自动检查和记录 IP 地址信誉信息
- 使用自动化响应威胁
- 使用非本机操作提取事件实体
- 使用 UEBA 进行调查
- 生成和监视零信任
查看有关常规 SOC 活动的Microsoft Sentinel操作指南,建议每天、每周和每月执行一次。