Ajánlott eljárások a Microsoft Sentinelhez
Az ajánlott eljárásokkal kapcsolatos útmutatást a Microsoft Sentinel műszaki dokumentációjában találja. Ez a cikk a Microsoft Sentinel üzembe helyezése, kezelése és használata során használható néhány kulcsfontosságú útmutatást mutat be.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A Microsoft Sentinel beállítása
Kezdje a Microsoft Sentinel üzembe helyezési útmutatójával. Az üzembe helyezési útmutató a Microsoft Sentinel üzembe helyezésének megtervezéséhez, üzembe helyezéséhez és finomhangolásához szükséges magas szintű lépéseket ismerteti. Az útmutatóban válassza ki a megadott hivatkozásokat, hogy részletes útmutatást találjon az üzembe helyezés egyes szakaszaihoz.
A Microsoft biztonsági szolgáltatás integrációi
A Microsoft Sentinelt azok az összetevők támogatják, amelyek adatokat küldenek a munkaterületre, és más Microsoft-szolgáltatások való integráció révén erősebbek lesznek. A termékekbe, például Felhőhöz készült Microsoft Defender Alkalmazásokba, Végponthoz készült Microsoft Defender és Microsoft Defender for Identitybe betöltött naplók lehetővé teszik, hogy ezek a szolgáltatások észleléseket hozzanak létre, és ezeket az észleléseket a Microsoft Sentinelnek is biztosítják. A naplók közvetlenül a Microsoft Sentinelbe is betölthetők, így teljesebb képet kaphatnak az eseményekről és incidensekről.
Az alábbi képen például az látható, hogy a Microsoft Sentinel hogyan használja fel az adatokat más Microsoft-szolgáltatások és többfelhős és partnerplatformokról, hogy lefedettséget biztosítson a környezet számára:
A Microsoft Sentinel a riasztások és naplók más forrásokból való betöltésén kívül a következőket is tartalmazza:
- A gépi tanulással betöltött információkat használja, amelyek jobb eseménykorrelációt, riasztási aggregációt, anomáliadetektálást és egyebeket biztosítanak.
- Interaktív vizualizációkat készít és jelenít meg munkafüzeteken keresztül, amelyek trendeket, kapcsolódó információkat és a rendszergazdai feladatokhoz és vizsgálatokhoz használt kulcsfontosságú adatokat mutatnak be.
- Forgatókönyveket futtat a riasztások kezeléséhez, az információk gyűjtéséhez, az elemeken végzett műveletek végrehajtásához és az értesítések különböző platformokra való küldéséhez.
- Integrálható olyan partnerplatformokkal, mint a ServiceNow és a Jira, hogy alapvető szolgáltatásokat nyújtson az SOC-csapatok számára.
- Betölti és lekéri a fenyegetésfelderítési platformokról származó gazdagító hírcsatornákat, hogy értékes adatokat hozzon a vizsgálathoz.
További információ a más szolgáltatásokból vagy szolgáltatókból származó adatok integrálásáról: Microsoft Sentinel adatösszekötők.
Fontolja meg a Microsoft Sentinel előkészítését a Microsoft Defender portálra, hogy egyesítse a Microsoft Defender XDR funkcióit, például az incidenskezelést és a speciális vadászatot. További információért tekintse át az alábbi cikkeket:
- A Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez
- Microsoft Sentinel a Microsoft Defender portálon
Incidenskezelés és -reagálás
Az alábbi képen az incidenskezelés és a válaszfolyamat ajánlott lépései láthatók.
Az alábbi táblázat magas szintű leírásokat tartalmaz a Microsoft Sentinel-funkciók incidenskezeléshez és -reagáláshoz való használatához. További információ: Incidensek vizsgálata a Microsoft Sentinellel.
| Funkció | Ajánlott eljárások |
|---|---|
| Incidensek | A létrehozott incidensek az Incidensek oldalon jelennek meg, amely a triage és a korai vizsgálat központi helyszíne. Az Incidensek oldal felsorolja a címet, a súlyosságot és a kapcsolódó riasztásokat, naplókat és minden érdekes entitást. Az incidensek gyors ugrást biztosítanak az összegyűjtött naplókba és az incidenshez kapcsolódó eszközökbe is. |
| Vizsgálati gráf | Az Incidensek oldal együttműködik a Vizsgálati gráfmal, amely egy interaktív eszköz, amellyel a felhasználók egy riasztást vizsgálva és részletesen megvizsgálva jeleníthetik meg a támadás teljes hatókörét. A felhasználók ezután létrehozhatnak egy eseménysort, és felfedezhetik a fenyegetéslánc mértékét. Fedezze fel a legfontosabb entitásokat, például fiókokat, URL-címeket, IP-címet, gazdagépneveket, tevékenységeket, idősorokat stb. Ezen adatok segítségével megtudhatja, hogy van-e hamis pozitív a kezében, ebben az esetben közvetlenül is lezárhatja az incidenst. Ha azt tapasztalja, hogy az incidens valódi pozitív, közvetlenül az Incidensek oldalról műveletet hajthat végre a naplók, entitások vizsgálatához és a fenyegetéslánc felderítéséhez. Miután azonosította a fenyegetést, és létrehozott egy cselekvési tervet, használja a Microsoft Sentinel és más Microsoft biztonsági szolgáltatások egyéb eszközeit a vizsgálat folytatásához. |
| Információvizualizáció | Először tekintse meg a Microsoft Sentinel áttekintési irányítópultját, hogy képet kapjon a szervezet biztonsági helyzetéről, és elemezhesse a környezetében zajló eseményeket. További információkért lásd az összegyűjtött adatok vizualizációja című témakört. A Microsoft Sentinel áttekintési oldalán található információk és trendek mellett a munkafüzetek értékes vizsgálati eszközök. A Investigation Insights-munkafüzet használatával például megvizsgálhat bizonyos incidenseket, valamint a kapcsolódó entitásokat és riasztásokat. Ez a munkafüzet lehetővé teszi az entitások mélyebb megismerését a kapcsolódó naplók, műveletek és riasztások megjelenítésével. |
| Veszélyforrás-keresés | A kiváltó okok kivizsgálása és keresése során futtassa a beépített veszélyforrás-keresési lekérdezéseket, és ellenőrizze az eredményeket a biztonsági rések bármilyen jelére vonatkozóan. További információ: Fenyegetéskeresés a Microsoft Sentinelben. A vizsgálat során vagy a fenyegetés elhárításához és megszüntetéséhez szükséges lépések elvégzése után használja a livestreamet. A Livestream segítségével valós időben figyelheti, hogy vannak-e maradandó kártékony események, vagy hogy a rosszindulatú események továbbra is folytatódnak-e. |
| Entitás viselkedése | Az entitások viselkedése a Microsoft Sentinelben lehetővé teszi a felhasználók számára, hogy áttekintse és kivizsgálják az adott entitásokkal kapcsolatos műveleteket és riasztásokat, például a fiókokat és a gazdagépneveket. További információk: - Felhasználói és entitási viselkedéselemzés (UEBA) engedélyezése a Microsoft Sentinelben - Incidensek vizsgálata UEBA-adatokkal - Microsoft Sentinel UEBA-bővítési referencia |
| Figyelőlisták | Használjon egy figyelőlistát, amely egyesíti a betöltött adatokból és külső forrásokból származó adatokat, például a bővítési adatokat. Létrehozhat például a szervezet vagy a közelmúltban leállított alkalmazottak által használt IP-címtartományok listáját. Az figyelőlisták és forgatókönyvek segítségével bővítő adatokat gyűjthet, például rosszindulatú IP-címeket adhat hozzá a figyelőlistákhoz az észlelés, fenyegetéskeresés és vizsgálatok során. Az incidensek során figyelőlistákkal tárolhatja a vizsgálati adatokat, majd törölheti őket, amikor a vizsgálat befejeztével meggyőződhet arról, hogy a bizalmas adatok nem maradnak láthatók. További információ: Figyelőlisták a Microsoft Sentinelben. |