Microsoft Sentinel-tartalom konfigurálása
Az előző üzembe helyezési lépésben engedélyezte a Microsoft Sentinelt, az állapotfigyelést és a szükséges megoldásokat. Ebből a cikkből megtudhatja, hogyan konfigurálhatja a Microsoft Sentinel biztonsági tartalmainak különböző típusait, amelyek lehetővé teszik a rendszereken belüli biztonsági fenyegetések észlelését, monitorozását és az azokra való reagálást. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.
A biztonsági tartalom konfigurálása
| Lépés | Leírás |
|---|---|
| Adatösszekötők beállítása | Az üzembe helyezés tervezésekor kiválasztott adatforrások alapján, és a megfelelő megoldások engedélyezése után most már telepítheti vagy beállíthatja az adatösszekötőket. – Ha meglévő összekötőt használ, keresse meg az összekötőt az adatösszekötők teljes listájából. – Ha egyéni összekötőt hoz létre, használja ezeket az erőforrásokat. – Ha egy összekötőt állít be a CEF- vagy Syslog-naplók betöltéséhez, tekintse át ezeket a beállításokat. |
| Elemzési szabályok beállítása | Miután beállította a Microsoft Sentinelt, hogy adatokat gyűjtsön a szervezet minden részéről, megkezdheti az elemzési szabályok használatát a fenyegetések észleléséhez. Válassza ki az elemzési szabályok beállításához és konfigurálásához szükséges lépéseket: - Ütemezett szabályok létrehozása sablonokból vagy alapoktól: Elemzési szabályok létrehozása a környezet fenyegetéseinek és rendellenes viselkedéseinek felderítéséhez. - Adatmezők leképezése entitásokhoz: Entitásleképezések hozzáadása vagy módosítása egy elemzési szabályban. - Egyéni adatok megjelenítése a riasztásokban: Egyéni adatok hozzáadása vagy módosítása egy elemzési szabályban. - Riasztás részleteinek testreszabása: A riasztások alapértelmezett tulajdonságainak felülbírálása az alapul szolgáló lekérdezési eredmények tartalmával. - Elemzési szabályok exportálása és importálása: Az elemzési szabályok exportálása az Azure Resource Manager-sablonfájlokba, és szabályok importálása ezekből a fájlokból. Az exportálási művelet létrehoz egy JSON-fájlt a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt. - Közel valós idejű (NRT) észlelési elemzési szabályok létrehozása: Közel idejű elemzési szabályok létrehozása a veszélyforrások percről percre történő észleléséhez. Ezt a szabálytípust úgy tervezték, hogy rendkívül rugalmas legyen, ha a lekérdezést csak egy perces időközönként futtatja. - Anomáliadetektálási elemzési szabályok használata: Olyan beépített anomáliadetektálási sablonokkal dolgozhat, amelyek több ezer adatforrást és több millió eseményt használnak, vagy módosítják a felhasználói felületen belüli rendellenességek küszöbértékeit és paramétereit. - Az ütemezett elemzési szabályok sablonverzióinak kezelése: Kövesse nyomon az elemzési szabálysablonok verzióit, és állítsa vissza az aktív szabályokat a meglévő sablonverziókra, vagy frissítse őket újakra. - Az ütemezett elemzési szabályok betöltési késleltetésének kezelése: Megtudhatja, hogy a betöltési késleltetés milyen hatással lehet az ütemezett elemzési szabályokra, és hogyan háríthatja el ezeket a hiányosságokat. |
| Automatizálási szabályok beállítása | Automatizálási szabályok létrehozása. Határozza meg azokat az eseményindítókat és feltételeket, amelyek meghatározzák az automatizálási szabály futását, a szabály által végrehajtható különböző műveleteket, valamint a többi funkciót és funkciót. |
| Forgatókönyvek beállítása | A forgatókönyvek a Microsoft Sentinelből rutinként futtatott szervizelési műveletek gyűjteményei, amelyek segítenek automatizálni és vezénylni a fenyegetésekre adott választ. Forgatókönyvek beállítása: - Ajánlott forgatókönyvek áttekintése - Forgatókönyvek létrehozása sablonokból: A forgatókönyvsablonok előre összeállított, tesztelt és használatra kész munkafolyamatok, amelyek igényeinek megfelelően testre szabhatók. A sablonok referenciaként szolgálhatnak az ajánlott eljárásokhoz, amikor forgatókönyveket fejlesztenek az alapoktól kezdve, vagy inspirációként szolgálnak az új automatizálási forgatókönyvekhez. – Forgatókönyv létrehozásához tekintse át ezeket a lépéseket |
| Munkafüzetek beállítása | A munkafüzetek rugalmas vászont biztosítanak az adatelemzéshez és a Microsoft Sentinel gazdag vizuális jelentéseinek létrehozásához. A munkafüzetsablonokkal gyorsan betekintést nyerhet az adatokba, amint csatlakoztat egy adatforrást. Munkafüzetek beállítása: – Gyakran használt Microsoft Sentinel-munkafüzetek áttekintése - Csomagolt megoldásokkal elérhető meglévő munkafüzetsablonok használata - Egyéni munkafüzetek létrehozása az adatok között |
| Figyelőlisták beállítása | A figyelőlisták lehetővé teszik, hogy a Microsoft Sentinel-környezetben megadott adatforrásból származó adatokat korrelálja. Figyelőlisták beállítása: - Figyelőlisták létrehozása - Lekérdezések vagy észlelési szabályok létrehozása figyelőlistákkal: Bármely táblában lévő adatokat lekérdezhet egy figyelőlistáról származó adatokkal úgy, hogy a figyelőlistát táblaként kezeli az illesztésekhez és a keresésekhez. Figyelőlista létrehozásakor meg kell határoznia a SearchKey-et. A keresési kulcs annak az oszlopnak a neve a figyelőlistán, amelyet más adatokkal való összekapcsolásként vagy gyakori keresési objektumként szeretne használni. |
Következő lépések
Ebből a cikkből megtudhatja, hogyan konfigurálhatja a Microsoft Sentinel biztonsági tartalmának különböző típusait.