Microsoft Sentinel 的最佳做法

本最佳做法集合提供了在部署、管理和使用 Microsoft Sentinel 时的指南，包括指向提供详细信息的其他文章的链接。

最佳做法参考

Microsoft Sentinel 文档提供了最佳做法指南，这些指南分散在我们的文章中。 本文提供的内容以外的其他信息请参阅以下文章：

• 管理员用户：

  • 有关部署 Microsoft Sentinel 的部署前活动和先决条件
  • Microsoft Sentinel 工作区体系结构最佳做法
  • 设计 Microsoft Sentinel 工作区体系结构
  • 数据收集最佳做法
  • Microsoft Sentinel 成本和账单
  • Microsoft Sentinel 中的权限
  • 在 Microsoft Sentinel 中保护 MSSP 知识产权
  • Microsoft Sentinel 内容和解决方案
  • 审核 Microsoft Sentinel 查询和活动

• 分析师：

  • 建议的 playbook
  • 处理 Microsoft Sentinel 中的误报
  • 使用 Microsoft Sentinel 搜寻威胁
  • 常用的 Microsoft Sentinel 工作簿
  • 直接检测威胁
  • 创建自定义分析规则以检测威胁
  • 使用 Jupyter Notebook 搜寻安全威胁

要执行的常规 SOC 活动

定期计划以下 Microsoft Sentinel 活动，以确保持续实现最佳安全做法：

每日任务

• 会审和调查事件。 查看 Microsoft Sentinel“事件”页，检查当前配置的分析规则生成的新事件，并开始调查任何新事件。 有关详细信息，请参阅教程：通过 Microsoft Sentinel 调查事件。

• 浏览搜寻查询和书签。 浏览所有内置查询的结果，并更新现有的搜寻查询和书签。 手动生成新事件或更新旧事件（如果适用）。 有关详细信息，请参阅：

  • 使用 Microsoft Sentinel 搜寻威胁
  • 使用 Microsoft Sentinel 在搜寻过程中跟踪数据

• 分析规则。 查看并启用新的分析规则（如果适用），包括最近连接的数据连接器中新发布或新提供的规则。

• 数据连接器。 查看从每个数据连接器接收的最后一个日志的状态、日期和时间，以确保数据在流动。 检查新的连接器，并查看引入以确保没有超过设置的限制。 有关详细信息，请参阅数据集合最佳做法和连接数据源。

• Log Analytics 代理。 验证服务器和工作站是否主动连接到工作区，并对任何失败的连接进行排查和修复。 有关详细信息，请参阅 Log Analytics 代理概述。

• Playbook 故障。 验证 playbook 运行状态并排查任何故障。 有关详细信息，请参阅教程：在 Microsoft Sentinel 中结合自动化规则使用 playbook。

每周任务

• 解决方案或独立内容的内容审查。 从内容中心获取已安装解决方案或独立内容的任何内容更新。 查看可能对你的环境有价值的新解决方案或独立内容，例如分析规则、工作簿、搜寻查询或 playbook。

• Microsoft Sentinel 审核。 查看 Microsoft Sentinel 活动，了解谁更新或删除了资源（例如分析规则、书签等）。 有关详细信息，请参阅审核 Microsoft Sentinel 查询和活动。

每月任务

• 查看用户访问权限。 查看用户的权限并检查不活动的用户。 有关详细信息，请参阅 Microsoft Sentinel 中的权限。

• Log Analytics 工作区评审。 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。

与 Microsoft 安全服务集成

Microsoft Sentinel 由将数据发送到工作区的组件提供支持，并且它通过与其他 Microsoft 服务集成而变得更加强大。 引入产品的任何日志都允许这些服务创建检测，并反过来向 Microsoft Sentinel 提供这些检测。 日志也可以直接引入 Microsoft Sentinel，从而为事件提供更全面的描述。

除了引入其他源中的警报和日志，Microsoft Sentinel 还会：

• 通过工作簿生成和呈现交互式视觉对象，显示用于管理任务和调查的趋势、相关信息和关键数据。
• 运行 playbook 以处理警报、收集信息、对项执行操作以及向各种平台发送通知。
• 与合作伙伴平台（例如 ServiceNow 和 Jira）集成，以便为 SOC 团队提供基本服务。

管理和响应事件

下图展示了事件管理和响应过程中的建议步骤。

以下部分提供有关如何在整个过程中使用 Microsoft Sentinel 功能进行事件管理和响应的一些简要说明。 有关详细信息，请参阅教程：通过 Microsoft Sentinel 调查事件。

使用“事件”页和“调查”图

在 Microsoft Sentinel 中 Microsoft Sentinel“事件”页和调查图中，启动对新事件的任何会审流程 。

发现关键实体，例如帐户、URL、IP 地址、主机名、活动、时间线等。 使用此数据了解是否有误报，在有误报的情况下，可以直接关闭事件。

生成的任何事件都显示在“事件”页上，该页充当会审和早期调查的中心位置。 “事件”页列出了标题、严重性和相关警报、日志以及任何有意义的实体。 事件还提供快速跳转到收集的日志和与事件相关的任何工具的功能。

“事件”页与“调查”图共同发挥作用。调查图是一种交互式工具，允许用户深入了解警报以显示攻击的完整范围 。 然后，用户可以构造事件的时间线，并发现威胁链的范围。

如果发现事件为真，请直接从“事件”页采取操作，调查日志、实体并浏览威胁链。 确定威胁并创建操作计划后，请使用 Microsoft Sentinel 中的其他工具和其他 Microsoft 安全服务继续进行调查。

使用工作簿处理事件

除了可视化和显示信息以及趋势外，Microsoft Sentinel 工作簿也是有价值的调查工具。

例如，使用调查见解工作簿来调查特定事件以及任何关联的实体和警报。 使用此工作簿可以显示相关的日志、操作和警报，从而深入了解实体。

使用威胁搜寻处理事件

在调查并搜寻根本原因时，请运行内置的威胁搜寻查询，并检查结果中是否有任何入侵迹象。

在调查期间，或在采取修复和消除威胁的步骤后，请使用 livestream 来实时监视是否存在任何拖延的恶意事件，或者恶意事件是否仍在继续。

使用实体行为处理事件

用户可以在 Microsoft Sentinel 中使用实体行为，查看和调查特定实体的操作和警报（例如调查帐户和主机名）。 有关详细信息，请参阅：

• 在 Microsoft Sentinel 中启用用户和实体行为分析 (UEBA)
• 使用 UEBA 数据调查事件
• Microsoft Sentinel UEBA 扩充参考

后续步骤

若要开始使用 Microsoft Sentinel，请参阅：

• 加入 Microsoft Sentinel
• 了解警报