Megosztás a következőn keresztül:


Microsoft Sentinel-tartalom konfigurálása

Az előző üzembe helyezési lépésben engedélyezte a Microsoft Sentinelt, az állapotfigyelést és a szükséges megoldásokat. Ebből a cikkből megtudhatja, hogyan konfigurálhatja a Microsoft Sentinel biztonsági tartalmainak különböző típusait, amelyek lehetővé teszik a rendszereken belüli biztonsági fenyegetések észlelését, monitorozását és az azokra való reagálást. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

A biztonsági tartalom konfigurálása

Lépés Leírás
Adatösszekötők beállítása Az üzembe helyezés tervezésekor kiválasztott adatforrások alapján, és a megfelelő megoldások engedélyezése után most már telepítheti vagy beállíthatja az adatösszekötőket.

– Ha meglévő összekötőt használ, keresse meg az összekötőt az adatösszekötők teljes listájából.
– Ha egyéni összekötőt hoz létre, használja ezeket az erőforrásokat.
– Ha egy összekötőt állít be a CEF- vagy Syslog-naplók betöltéséhez, tekintse át ezeket a beállításokat.
Elemzési szabályok beállítása Miután beállította a Microsoft Sentinelt, hogy adatokat gyűjtsön a szervezet minden részéről, megkezdheti az elemzési szabályok használatát a fenyegetések észleléséhez. Válassza ki az elemzési szabályok beállításához és konfigurálásához szükséges lépéseket:

- Ütemezett szabályok létrehozása sablonokból vagy alapoktól: Elemzési szabályok létrehozása a környezet fenyegetéseinek és rendellenes viselkedéseinek felderítéséhez.
- Adatmezők leképezése entitásokhoz: Entitásleképezések hozzáadása vagy módosítása egy elemzési szabályban.
- Egyéni adatok megjelenítése a riasztásokban: Egyéni adatok hozzáadása vagy módosítása egy elemzési szabályban.
- Riasztás részleteinek testreszabása: A riasztások alapértelmezett tulajdonságainak felülbírálása az alapul szolgáló lekérdezési eredmények tartalmával.
- Elemzési szabályok exportálása és importálása: Az elemzési szabályok exportálása az Azure Resource Manager-sablonfájlokba, és szabályok importálása ezekből a fájlokból. Az exportálási művelet létrehoz egy JSON-fájlt a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.
- Közel valós idejű (NRT) észlelési elemzési szabályok létrehozása: Közel idejű elemzési szabályok létrehozása a veszélyforrások percről percre történő észleléséhez. Ezt a szabálytípust úgy tervezték, hogy rendkívül rugalmas legyen, ha a lekérdezést csak egy perces időközönként futtatja.
- Anomáliadetektálási elemzési szabályok használata: Olyan beépített anomáliadetektálási sablonokkal dolgozhat, amelyek több ezer adatforrást és több millió eseményt használnak, vagy módosítják a felhasználói felületen belüli rendellenességek küszöbértékeit és paramétereit.
- Az ütemezett elemzési szabályok sablonverzióinak kezelése: Kövesse nyomon az elemzési szabálysablonok verzióit, és állítsa vissza az aktív szabályokat a meglévő sablonverziókra, vagy frissítse őket újakra.
- Az ütemezett elemzési szabályok betöltési késleltetésének kezelése: Megtudhatja, hogy a betöltési késleltetés milyen hatással lehet az ütemezett elemzési szabályokra, és hogyan háríthatja el ezeket a hiányosságokat.
Automatizálási szabályok beállítása Automatizálási szabályok létrehozása. Határozza meg azokat az eseményindítókat és feltételeket, amelyek meghatározzák az automatizálási szabály futását, a szabály által végrehajtható különböző műveleteket, valamint a többi funkciót és funkciót.
Forgatókönyvek beállítása A forgatókönyvek a Microsoft Sentinelből rutinként futtatott szervizelési műveletek gyűjteményei, amelyek segítenek automatizálni és vezénylni a fenyegetésekre adott választ. Forgatókönyvek beállítása:

- Ajánlott forgatókönyvek áttekintése
- Forgatókönyvek létrehozása sablonokból: A forgatókönyvsablonok előre összeállított, tesztelt és használatra kész munkafolyamatok, amelyek igényeinek megfelelően testre szabhatók. A sablonok referenciaként szolgálhatnak az ajánlott eljárásokhoz, amikor forgatókönyveket fejlesztenek az alapoktól kezdve, vagy inspirációként szolgálnak az új automatizálási forgatókönyvekhez.
– Forgatókönyv létrehozásához tekintse át ezeket a lépéseket
Munkafüzetek beállítása A munkafüzetek rugalmas vászont biztosítanak az adatelemzéshez és a Microsoft Sentinel gazdag vizuális jelentéseinek létrehozásához. A munkafüzetsablonokkal gyorsan betekintést nyerhet az adatokba, amint csatlakoztat egy adatforrást. Munkafüzetek beállítása:

– Gyakran használt Microsoft Sentinel-munkafüzetek áttekintése
- Csomagolt megoldásokkal elérhető meglévő munkafüzetsablonok használata
- Egyéni munkafüzetek létrehozása az adatok között
Figyelőlisták beállítása A figyelőlisták lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Figyelőlisták beállítása:

- Figyelőlisták létrehozása
- Lekérdezések vagy észlelési szabályok létrehozása figyelőlistákkal: Bármely táblában lévő adatokat lekérdezhet egy figyelőlistáról származó adatokkal úgy, hogy a figyelőlistát táblaként kezeli az illesztésekhez és a keresésekhez. Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni.

Következő lépések

Ebből a cikkből megtudhatja, hogyan konfigurálhatja a Microsoft Sentinel biztonsági tartalmának különböző típusait.