مشاركة عبر

الدليل التشغيلي ل Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

تسرد هذه المقالة الأنشطة التشغيلية التي نوصي بها لفرق عمليات الأمان (SOC) ومسؤولي الأمان الذين يخططون لها ويعملون كجزء من أنشطة الأمان العادية الخاصة بهم باستخدام Microsoft Sentinel. لمزيد من المعلومات حول إدارة عمليات الأمان، راجع نظرة عامة على عمليات الأمان.

المهام اليومية

جدولة الأنشطة التالية يوميا.

المهمة الوصف
فرز الحوادث والتحقيق فيها راجع صفحة Incidents في Microsoft Sentinel للتحقق من الحوادث الجديدة الناتجة عن قواعد التحليلات المكونة حاليًا، وبدء التحقيق في أي حوادث جديدة. لمزيد من المعلومات، راجع:
  • التنقل في أحداث Microsoft Sentinel وفرزها وإدارتها في مدخل Microsoft Azure
  • التحقيق في أحداث Microsoft Sentinel بعمق في مدخل Microsoft Azure
    		•
    استكشاف استعلامات التتبع والإشارات المرجعية استكشف النتائج لجميع الاستعلامات المضمنة، وقم بتحديث استعلامات التتبع والإشارات المرجعية الحالية. إنشاء حوادث جديدة يدويًا أو تحديث الحوادث القديمة إن كان ذلك ممكنًا. لمزيد من المعلومات، راجع:
  • إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel في مدخل Microsoft Azure (معاينة)
  • البحث عن التهديدات باستخدام Microsoft Sentinel
  • تعقب البيانات في أثناء التتبع باستخدام Microsoft Azure Sentinel
    		•
    قواعد التحليلات مراجعة وتمكين قواعد التحليلات الجديدة حسب الاقتضاء، بما في ذلك القواعد التي تم إصدارها حديثا أو المتوفرة حديثا من الحلول المنشورة مؤخرا. لمزيد من المعلومات، راجع:
  • إنشاء قواعد تحليلات مجدولة من القوالب
  • بشأن محتوى وحلول Microsoft Sentinel

    مراقبة الصحة وتحسين تنفيذ قواعد التحليلات الخاصة بك. لمزيد من المعلومات، راجع:
  • مراقبة سلامة قواعد التحليلات ومراجعة تكاملها
  • مراقبة وتحسين تنفيذ قواعد التحليلات المجدولة
    		•
    موصلات البيانات راجع الحالة الصحية لموصلات البيانات للتأكد من تدفق البيانات. تحقق من وجود موصلات جديدة، وراجع الاستيعاب للتأكد من عدم تجاوز الحدود المحددة. لمزيد من المعلومات، راجع مراقبة سلامة موصلات البيانات.
    عامل Azure Monitor تحقق من أن الخوادم ومحطات العمل متصلة بنشاط بمساحة العمل، ثم قم باستكشاف أخطاء أي اتصالات فاشلة وإصلاحها. لمزيد من المعلومات، راجع نظرة عامة على عامل Azure Monitor.
    فشل دليل المبادئ تحقق من حالات تشغيل دليل المبادئ واستكشاف أي حالات فشل وإصلاحها. لمزيد من المعلومات، راجع البرنامج التعليمي: الاستجابة للتهديدات باستخدام أدلة المبادئ مع قواعد التشغيل التلقائي في Microsoft Sentinel.

    المهام الأسبوعية

    جدولة الأنشطة التالية أسبوعيا.

    المهمة الوصف
    مراجعة المحتوى للحلول أو المحتوى المستقل احصل على أي تحديثات محتوى للحلول المثبتة أو المحتوى المستقل من مركز المحتوى. راجع الحلول الجديدة أو المحتوى المستقل الذي قد يكون له قيمة للبيئة الخاصة بك، مثل قواعد التحليلات أو المصنفات أو استعلامات التتبع أو أدلة المبادئ.
    تدقيق Microsoft Sentinel راجع نشاط Microsoft Sentinel لمعرفة من قام بتحديث الموارد أو حذفها، مثل قواعد التحليلات والإشارات المرجعية وما إلى ذلك. لمزيد من المعلومات، راجع تدقيق استعلامات Microsoft Azure Sentinel وأنشطته.

    المهام الشهرية

    جدولة الأنشطة التالية شهريا.

    المهمة الوصف
    مراجعة وصول المستخدم راجع الأذونات للمستخدمين وتحقق من المستخدمين غير النشطين. لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.
    مراجعة مساحة عمل Log Analytics تأكد من أن نهج استبقاء بيانات مساحة عمل Log Analytics لا يزال متوافقًا مع نهج مؤسستك. لمزيد من المعلومات، راجع نهج استبقاء البيانات ودمج Azure Data Explorer لاستبقاء السجل على المدى الطويل.

    المحتوى ذو الصلة