Panduan operasional Microsoft Azure Sentinel
Artikel ini mencantumkan aktivitas operasional yang kami rekomendasikan untuk direncanakan oleh tim operasi keamanan (SOC) dan administrator keamanan sebagai bagian dari aktivitas keamanan reguler mereka dengan Microsoft Azure Sentinel. Untuk informasi selengkapnya tentang mengelola operasi keamanan Anda, lihat Gambaran umum operasi keamanan.
Tugas sehari-hari
Jadwalkan aktivitas berikut setiap hari.
| Tugas | description |
|---|---|
| Triase dan selidiki insiden | Tinjau halaman Insiden Microsoft Azure Sentinel untuk memeriksa insiden baru yang dihasilkan oleh aturan analitik yang saat ini dikonfigurasi, dan mulailah menyelidiki insiden baru apa pun. Untuk informasi selengkapnya, lihat: |
| Menjelajahi kueri berburu dan marka buku | Jelajahi hasil untuk semua kueri bawaan, dan perbarui kueri dan bookmark berburu yang ada. Secara manual hasilkan insiden baru atau perbarui insiden lama jika bisa digunakan. Untuk informasi selengkapnya, lihat: |
| Aturan analitik | Tinjau dan aktifkan aturan analitik baru sebagaimana berlaku, termasuk aturan yang baru dirilis atau yang baru tersedia dari solusi yang baru disebarkan. Untuk informasi selengkapnya, lihat: Pantau kesehatan dan optimalkan eksekusi aturan analitik Anda. Untuk informasi selengkapnya, lihat: |
| Konektor data | Tinjau status kesehatan konektor data Anda untuk memastikan bahwa data mengalir. Periksa konektor baru, dan tinjau penyerapan untuk memastikan batas yang ditetapkan tidak terlampaui. Untuk info selengkapnya, lihat Memantau kesehatan konektor data Anda. |
| Agen Azure Monitor | Verifikasi bahwa server dan workstation secara aktif terhubung ke ruang kerja, dan lakukan pemecahan masalah dan pemulihan koneksi apapun yang gagal. Untuk informasi selengkapnya, lihat Gambaran umum Agen Azure Monitor. |
| Kegagalan playbook | Verifikasi playbook menjalankan status dan pecahkan masalah kegagalan apa pun. Untuk informasi selengkapnya, lihat Tutorial: Menanggapi ancaman dengan menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel. |
Tugas mingguan
Jadwalkan aktivitas berikut secara mingguan.
| Tugas | description |
|---|---|
| Tinjauan konten solusi atau konten mandiri | Dapatkan pembaruan konten apa pun untuk solusi yang diinstal atau konten mandiri dari hub Konten. Tinjau solusi baru atau konten mandiri yang mungkin bernilai untuk lingkungan Anda, seperti aturan analitik, buku kerja, kueri berburu, atau playbook. |
| Audit Microsoft Azure Sentinel | Tinjau aktivitas Microsoft Azure Sentinel untuk melihat siapa yang memperbarui atau menghapus sumber daya, seperti aturan analitik, marka buku, dan sebagainya. Untuk informasi selengkapnya, lihat Audit kueri dan aktivitas Microsoft Azure Sentinel. |
Tugas bulanan
Jadwalkan aktivitas berikut setiap bulan.
| Tugas | description |
|---|---|
| Meninjau akses pengguna | Tinjau izin untuk pengguna Anda dan periksa pengguna yang tidak aktif. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel. |
| Tinjauan ruang kerja Analitik Log | Tinjau bahwa kebijakan retensi data ruang kerja Log Analytics masih selaras dengan kebijakan organisasi Anda. Untuk informasi selengkapnya, lihat Kebijakan retensi data dan Mengintegrasikan Azure Data Explorer untuk penyimpanan log jangka panjang. |