Guia operacional do Microsoft Sentinel
Este artigo lista as atividades operacionais que recomendamos que as equipes de operações de segurança (SOC) e os administradores de segurança planejem e executem como parte de suas atividades regulares de segurança com o Microsoft Sentinel. Para obter mais informações sobre como gerenciar suas operações de segurança, consulte Visão geral das operações de segurança.
Tarefas diárias
Programe as seguintes atividades diariamente.
| Tarefa | descrição |
|---|---|
| Triagem e investigação de incidentes | Examine a página Incidentes do Microsoft Azure Sentinel para verificar se há novos incidentes gerados pelas regras de análise configuradas atualmente e começar a investigar novos incidentes. Para saber mais, veja: |
| Explorar consultas de busca e marcadores | Explore os resultados de todas as consultas internas e atualize os indicadores e consultas de busca existentes. Gere manualmente novos incidentes ou atualize incidentes antigos, se aplicável. Para saber mais, veja: |
| Regras de análise | Revise e habilite novas regras de análise conforme aplicável, incluindo regras recém-lançadas ou recém-disponíveis de soluções implantadas recentemente. Para saber mais, veja: Monitore a integridade e otimize a execução de suas regras de análise. Para saber mais, veja: |
| Conectores de dados | Examine o status de integridade dos conectores de dados para garantir que os dados estejam fluindo. Verifique se há novos conectores e revise a ingestão para garantir que os limites definidos não sejam excedidos. Para obter mais informações, confira Monitorar a integridade dos seus conectores de dados. |
| Agente do Azure Monitor | Verifique se os servidores e as estações de trabalho estão conectados ativamente ao espaço de trabalho e solucione e corrija todas as conexões com falha. Para obter mais informações, confira Visão geral do Agente do Azure Monitor. |
| Falhas no guia estratégico | Verifique os estados da execução do guia estratégico e solucione quaisquer falhas. Para obter mais informações, veja Tutorial: Responder a ameaças usando manuais com regras de automação no Microsoft Sentinel. |
Tarefas semanais
Programe as seguintes atividades semanalmente.
| Tarefa | descrição |
|---|---|
| Revisão de conteúdo de soluções ou conteúdo autônomo | Obtenha todas as atualizações de conteúdo para suas soluções instaladas ou conteúdo autônomo no hub de conteúdo. Examine novas soluções ou conteúdo autônomo que possa ser de valor para seu ambiente, como regras de análise, pastas de trabalho, consultas de busca ou guias estratégicos. |
| Auditoria do Microsoft Sentinel | Revise a atividade do Microsoft Sentinel para ver quem atualizou ou excluiu recursos, como regras analíticas, marcadores e assim por diante. Para obter mais informações, confira Auditar consultas e atividades do Microsoft Azure Sentinel. |
Tarefas mensais
Programe as seguintes atividades mensalmente.
| Tarefa | descrição |
|---|---|
| Examinar o acesso do usuário | Examine as permissões para os usuários e verifique se há usuários inativos. Para saber mais, confira Permissões no Microsoft Azure Sentinel. |
| Revisão do workspace do Log Analytics | Examine se a política de retenção de dados de espaço de trabalho do Log Analytics ainda se alinha com a política da sua organização. Para obter mais informações, confira Política de retenção de dados e Integrar o Azure Data Explorer para retenção de log de longo prazo. |