Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлены действия, которые помогут вам спланировать, развернуть и точно настроить развертывание Microsoft Sentinel.
В этом разделе представлены действия и предварительные требования, которые помогут вам спланировать и подготовиться перед развертыванием Microsoft Sentinel.
Этап планирования и подготовки обычно выполняется архитектором SOC или связанными ролями.
| Этап | Сведения |
|---|---|
| 1. Планирование и подготовка обзора и предварительных требований | Просмотрите предварительные требования клиента Azure. |
| 2. Планирование архитектуры рабочей области | Создайте рабочую область Log Analytics с поддержкой Microsoft Sentinel. Рассмотрите такие параметры, как: — будете ли вы использовать одного арендатора или несколько арендаторов. - Все требования к соответствию требованиям, которые у вас есть для сбора и хранения данных — Управление доступом к данным Microsoft Sentinel Ознакомьтесь со следующими статьями: 1. Разработка архитектуры рабочей области 3. Просмотрите примеры проектов рабочих областей 4. Подготовка к нескольким рабочим областям |
| 3. Приоритет соединителей данных | Определите, какие источники данных вам нужны и каковы требования к объему данных, чтобы правильно спроектировать бюджеты и сроки развертывания. Вы можете определить эту информацию на этапе проверки сценария использования или в ходе оценки текущей системы SIEM. Если у вас уже есть система SIEM, изучите данные и определите, какие источники предоставляют наибольшую ценность и должны быть приняты в Microsoft Sentinel. |
| 4. Планирование ролей и разрешений | Используйте управление доступом на основе ролей Azure (RBAC) для создания и назначения ролей в команде по операциям безопасности, чтобы предоставить соответствующий доступ к Microsoft Sentinel. Различные роли позволяют точно контролировать, к чему пользователи Microsoft Sentinel имеют доступ и что они могут делать. Роли Azure можно назначать непосредственно в рабочей области или в подписке или группе ресурсов, к которой принадлежит рабочая область, к которой наследует Microsoft Sentinel. |
| 5. Планирование затрат | Начните планирование бюджета, учитывая последствия затрат для каждого запланированного сценария. Обязательно учтите в бюджете затраты на прием данных в Microsoft Sentinel и Azure Log Analytics, развертывание сборников схем и так далее. |
Этап развертывания обычно выполняется аналитиком SOC или связанными ролями.
| Этап | Сведения |
|---|---|
| 1. Включить Microsoft Sentinel, работоспособность и аудит, а также содержимое | Включите Microsoft Sentinel, включите функцию работоспособности и аудита, а также включите решения и содержимое, которое вы определили в соответствии с потребностями вашей организации.
Сведения о подключении к Microsoft Sentinel с помощью API см. в последней поддерживаемой версии Sentinel Onboarding States. |
| 2. Настройка содержимого | Настройте различные типы содержимого безопасности Microsoft Sentinel, которые позволяют обнаруживать, отслеживать и реагировать на угрозы безопасности в системах: соединители данных, правила аналитики, правила автоматизации, сборники схем, книги и списки наблюдения. |
| 3. Настройка архитектуры между рабочими областями | Если для вашей среды требуется несколько рабочих областей, теперь их можно настроить в рамках развертывания. Из этой статьи вы узнаете, как настроить Microsoft Sentinel для расширения нескольких рабочих областей и клиентов. |
| 4. Включение аналитики поведения пользователей и сущностей (UEBA) | Включите и используйте функцию UEBA для упрощения процесса анализа. |
| 5. Настройка интерактивного и долгосрочного хранения данных | Настройте интерактивное и долгосрочное хранение данных, чтобы убедиться, что ваша организация сохраняет данные, важные в долгосрочной перспективе. |
Просмотрите контрольный список после развертывания, чтобы убедиться, что процесс развертывания работает должным образом, и что развернутый контент безопасности работает и защищает вашу организацию в соответствии с вашими потребностями и вариантами использования.
Этап точной настройки и проверки обычно выполняется инженером SOC или связанными ролями.
| Этап | Действия |
|---|---|
| ✅ Просмотр инцидентов и процессов инцидентов | — Проверьте, отражают ли инциденты и их количество, которые вы видите, то, что действительно происходит в вашей среде. — Проверьте, работает ли процесс обработки инцидентов SOC для их эффективного разрешения: назначили ли вы различные типы инцидентов различным уровням или позициям в SOC? Узнайте больше о том, как ориентироваться и исследовать инциденты и как работать с задачами инцидентов. |
| ✅ Проверка и настройка правил аналитики | — На основе проверки инцидентов проверьте, активируются ли правила аналитики должным образом и соответствуют ли правила типам интересующих вас инцидентов. - Обработка ложных срабатываний с помощью автоматизации или путем изменения правил запланированной аналитики. — Microsoft Sentinel предоставляет встроенные возможности тонкой настройки, помогающие анализировать правила аналитики. Просмотрите эти встроенные аналитические сведения и реализуйте соответствующие рекомендации. |
| ✅ Просмотр правил автоматизации и сборников схем | — Как и в правилах аналитики, убедитесь, что правила автоматизации работают должным образом и отражают интересующие вас инциденты. — Проверьте, отвечают ли плейбуки на оповещения и инциденты так, как ожидалось. |
| ✅ Добавление данных в списки наблюдения | Убедитесь, что списки наблюдения обновлены. Если в вашей среде произошли какие-либо изменения, например новые пользователи или варианты использования, обновите списки наблюдения соответствующим образом. |
| ✅ Проверка уровней обязательств | Просмотрите уровни обязательств, которые вы изначально настроили, и убедитесь, что эти уровни отражают текущую конфигурацию. |
| ✅ Следите за затратами на потребление | Чтобы отслеживать затраты на использование, используйте одну из следующих рабочих книг: — Рабочая книга отчёта о рабочей области предоставляет данные о потреблении, затратах и статистике использования вашей рабочей области. На основе представленных в книге сведений вы сможете получить представление о состоянии приема данных в рабочей области и объеме бесплатных и оплачиваемых данных. Логику книги можно использовать для мониторинга принимаемых данных и затрат, а также для создания настраиваемых представлений и оповещений на основе правил. — Панель затрат Microsoft Sentinel предоставляет более подробное представление о затратах Microsoft Sentinel, включая сбор и хранение данных, сбор данных для соответствующих источников данных, сведения о выставлении счетов Logic Apps и многое другое. |
| ✅ Настройка правил сбора данных (DCR) | — Убедитесь, что ваши DCRs соответствуют вашим потребностям в приеме данных и вариантам использования. — При необходимости реализуйте преобразование на этапе приема данных, чтобы отфильтровать неуместные данные еще до их первого хранения в рабочей области. |
| ✅ Проверка правил аналитики на платформе MITRE | Проверьте охват MITRE на странице Microsoft Sentinel MITRE: просмотрите обнаружения, уже активные в вашей рабочей области, а также те, которые вы можете настроить, чтобы понять охват безопасности вашей организации, основанный на тактиках и техниках платформы MITRE ATT&CK®. |
| ✅ Охота на подозрительные действия | Убедитесь, что ваш SOC имеет процедуру упреждающего поиска угроз. Охота — это процесс, в котором аналитики безопасности ищут незамеченные угрозы и вредоносные действия. Создавая гипотезу, просматривая данные и проверяя данную гипотезу, они определяют, на что действовать. Действия могут включать создание новых обнаружений, новую аналитику угроз или создание нового инцидента. |
В этой статье вы рассмотрели действия на каждом из этапов, которые помогут развернуть Microsoft Sentinel.
В зависимости от того, на каком этапе вы находитесь, выберите соответствующие дальнейшие действия.
- Планирование и подготовка . Предварительные требования для развертывания Azure Sentinel
- Развертывание. Включение Microsoft Sentinel и начальных функций и содержимого
- Точная настройка и проверка — навигация по и исследование инцидентов в Microsoft Sentinel
Завершив развертывание Microsoft Sentinel, продолжайте изучать возможности Microsoft Sentinel, просматривая руководства по общим задачам:
- Перенаправить данные системного журнала в рабочую область Log Analytics с Microsoft Sentinel, используя агент Azure Monitor
- Настройка хранения на уровне таблицы
- Обнаружение угроз с помощью правил аналитики
- Автоматическая проверка и запись сведений о репутации IP-адресов в инцидентах
- Реагирование на угрозы с помощью автоматизации
- Извлечение сущностей инцидентов с помощью действия, отличного от машинного кода
- Расследование с помощью UEBA
- Создание и мониторинг нулевого доверия
Ознакомьтесь с руководством по работе Microsoft Sentinel для обычных действий SOC, которые мы рекомендуем выполнять ежедневно, еженедельно и ежемесячно.