配置 Microsoft Sentinel 内容
在上一个部署步骤中,你启用了 Microsoft Sentinel、运行状况监视和所需的解决方案。 在本文中,你将了解如何配置不同类型的 Microsoft Sentinel 安全内容,以便跨系统检测、监视和响应安全威胁。 本文是 Microsoft Sentinel 部署指南的一部分。
配置安全内容
步骤 | 说明 |
---|---|
设置数据连接器 | 根据规划部署时选择的数据源,在启用相关解决方案后,现在可以安装或设置数据连接器。 - 如果使用现有连接器,请在此数据连接器的完整列表中查找连接器。 - 如果要创建自定义连接器,请使用这些资源。 - 如果要设置连接器以引入 CEF 或 Syslog 日志,请查看这些选项。 |
设置分析规则 | 设置 Microsoft Sentinel 以从整个组织收集数据后,可以开始使用分析规则来检测威胁。 选择设置和配置分析规则所需的步骤: - 从模板或从头开始创建计划规则:创建分析规则来帮助发现环境中的威胁和异常行为。 - 将数据字段映射到实体:在分析规则中添加或更改实体映射。 - 在警报中显示自定义详细信息:在分析规则中添加或更改自定义详细信息。 - 自定义警报详细信息:使用基础查询结果中的内容替代警报的默认属性。 - 导出和导入分析规则:将分析规则导出到 Azure 资源管理器 (ARM) 模板文件,并从这些文件导入规则。 导出操作将在浏览器的下载位置中创建一个 JSON 文件,然后可以像处理任何其他文件一样对其进行重命名、移动和其他处理。 - 创建近实时 (NRT) 检测分析规则:创建近实时分析规则,以即时检测现成威胁。 这种类型的规则被设计为高度响应,每隔一分钟就运行一次其查询。 - 管理计划分析规则的模板版本:跟踪分析规则模板的版本,并将活动规则还原为现有模板版本,或将其更新为新的版本。 - 处理计划分析规则中的引入延迟:了解引入延迟如何影响计划分析规则,以及如何修复它们以弥补这些差距。 |
设置自动化规则 | 创建自动化规则。 定义触发器和条件,以确定自动化规则的运行时间、可以要求规则执行的各种操作,以及其余特性和功能。 |
设置剧本 | 剧本是可作为例程从 Microsoft Sentinel 运行,以帮助自动执行和协调威胁响应的修正操作的集合。 要设置剧本,请: - 根据模板创建剧本:剧本模板是预生成的、已经过测试且随时可用的工作流,可以根据自己的需求对其进行自定义。 在从头开发 playbook 时,还可以将这些模板作为最佳做法参考;或者,可以通过模板获得灵感以实现新的自动化方案。 - 查看创建剧本的步骤 |
设置工作簿 | 工作簿提供了一块灵活的画布,可用于分析数据以及在 Microsoft Sentinel 中创建丰富的视觉报告。 使用工作簿模板,可以在连接数据源后快速跨数据获取见解。 要设置工作簿,请执行以下操作: - 查看常用的 Microsoft Sentinel 工作簿 - 使用打包解决方案中提供的现有工作簿模板 - 跨数据创建自定义工作簿 |
设置监视列表 | 使用监视列表,可以将所提供数据源中的数据与 Microsoft Sentinel 环境中的事件相关联。 要设置监视列表,请: - 创建监视列表 - 使用监视列表构建查询或检测规则:通过将监视列表视为可供联接和查找的表,根据监视列表中的数据查询任何表中的数据。 创建监视列表时,定义 SearchKey。 搜索键是监视列表中你希望用作与其他数据的联接或用作常见搜索对象的列的名称。 |
后续步骤
在本文中,你了解了如何配置不同类型的 Microsoft Sentinel 安全内容。