Руководство по эксплуатации Microsoft Sentinel
В этой статье перечислены операционные действия, которые мы рекомендуем группам безопасности (SOC) и администраторам безопасности планировать и запускать в рамках своих обычных действий безопасности с помощью Microsoft Sentinel. Дополнительные сведения об управлении операциями безопасности см. в обзоре операций безопасности.
Ежедневные задачи
Запланируйте следующие действия ежедневно.
| Задача | описание |
|---|---|
| Изучение инцидентов и расследование инцидентов | Проверьте страницу Инциденты в Microsoft Sentinel на наличие новых инцидентов, созданных текущими настроенными правилами аналитики, и инициируйте анализ любых новых записей. Дополнительные сведения см. в разделе: |
| Изучение запросов охоты и закладок | Изучите результаты всех встроенных запросов и обновите существующие запросы и закладки охоты. Вручную создайте новые инциденты или обновите существующие, если это применимо. Дополнительные сведения см. в разделе: |
| Правила аналитики | Просмотрите и включите новые правила аналитики, в том числе только что выпущенные или новые доступные правила из недавно развернутых решений. Дополнительные сведения см. в разделе: Отслеживайте работоспособность и оптимизируйте выполнение правил аналитики. Дополнительные сведения см. в разделе: |
| Соединители данных | Проверьте состояние работоспособности соединителей данных, чтобы обеспечить поток данных. Проверьте наличие новых соединителей и проверьте прием, чтобы обеспечить превышение ограничений. Дополнительные сведения см. в статье Мониторинг работоспособности соединителей данных. |
| Агент Azure Monitor | Убедитесь в наличии активных подключений от серверов и рабочих станций к рабочей области, устраните неполадки и исправьте все неполадки соединений. Дополнительные сведения см. в обзоре агента Azure Monitor. |
| Сбои сборника схем | Проверьте состояние выполнения сборника схем и устраните все сбои. Дополнительные сведения см. в руководстве по реагированию на угрозы с использованием сборников схем с правилами автоматизации в Microsoft Sentinel. |
Еженедельные задачи
Запланируйте следующие действия еженедельно.
| Задача | описание |
|---|---|
| Проверка содержимого решений или автономного содержимого | Получите все обновления содержимого для установленных решений или автономного содержимого из центра контента. Просмотрите новые решения или автономное содержимое, которое может иметь значение для вашей среды, например правила аналитики, книги, запросы охоты или сборники схем. |
| Аудит Microsoft Sentinel | Просмотрите действие Microsoft Sentinel, чтобы узнать, кто обновил или удалил ресурсы, такие как правила аналитики, закладки и т. д. Дополнительные сведения см. в статье Аудит запросов и действий Microsoft Sentinel. |
Ежемесячные задачи
Запланируйте следующие действия ежемесячно.
| Задача | описание |
|---|---|
| Проверка доступа пользователей | Проверьте разрешения для пользователей и наличие неактивных пользователей. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel. |
| Проверка рабочей области Log Analytics | Убедитесь, что политика хранения данных рабочей области Log Analytics по-прежнему соответствует политике вашей организации. Дополнительные сведения см. в статьях Политика хранения данных и Интеграция Azure Data Explorer для долгосрочного хранения журналов. |