Microsoft Sentinel 的最佳做法
最佳做法指南在 Microsoft Sentinel 的技术文档的各部分中提供。 本文重点介绍部署、管理和使用 Microsoft Sentinel 时要使用的一些关键指南。
设置 Microsoft Sentinel
从 Microsoft Sentinel 部署指南开始。 该部署指南涵盖规划、部署和微调 Microsoft Sentinel 部署的大致步骤。 从该指南中,选择提供的链接以查找部署中每个阶段的详细指南。
Microsoft 安全服务集成
Microsoft Sentinel 由将数据发送到工作区的组件提供支持,并且它通过与其他 Microsoft 服务集成而变得更加强大。 引入产品(例如 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity)的任何日志都允许这些服务创建检测,并反过来向 Microsoft Sentinel 提供这些检测。 日志也可以直接引入 Microsoft Sentinel,从而为事件提供更全面的描述。
除了引入其他源中的警报和日志,Microsoft Sentinel 还会:
- 通过工作簿生成和呈现交互式视觉对象,显示用于管理任务和调查的趋势、相关信息和关键数据。
- 运行 playbook 以处理警报、收集信息、对项执行操作以及向各种平台发送通知。
- 与合作伙伴平台(例如 ServiceNow 和 Jira)集成,以便为 SOC 团队提供基本服务。
有关从其他服务或提供程序集成数据的详细信息,请参阅 Microsoft Sentinel 数据连接器。
事件管理和响应
下图展示了事件管理和响应过程中的建议步骤。
下表提供有关如何使用 Microsoft Sentinel 功能进行事件管理和响应的一些简要说明。 有关详细信息,请参阅通过 Microsoft Sentinel 调查事件。
| 功能 | 最佳做法 |
|---|---|
| 事故 | 生成的任何事件都显示在“事件”页上,该页充当会审和早期调查的中心位置。 “事件”页列出了标题、严重性和相关警报、日志以及任何有意义的实体。 事件还提供快速跳转到收集的日志和与事件相关的任何工具的功能。 |
| 调查图 | “事件”页与“调查”图共同发挥作用。调查图是一种交互式工具,允许用户深入了解警报以显示攻击的完整范围 。 然后,用户可以构造事件的时间线,并发现威胁链的范围。 发现关键实体,例如帐户、URL、IP 地址、主机名、活动、时间线等。 使用此数据了解是否有误报,在有误报的情况下,可以直接关闭事件。 如果发现事件为真,请直接从“事件”页采取操作,调查日志、实体并浏览威胁链。 确定威胁并创建操作计划后,请使用 Microsoft Sentinel 中的其他工具和其他 Microsoft 安全服务继续进行调查。 |
| 信息可视化效果 | 若要可视化和分析环境中发生的情况,请先查看 Microsoft Sentinel 概述仪表板,以大致了解组织的安全态势。 除了 Microsoft Sentinel 概述页面上的信息和趋势外,工作簿也是有价值的调查工具。 例如,使用调查见解工作簿来调查特定事件以及任何关联的实体和警报。 使用此工作簿可以显示相关的日志、操作和警报,从而深入了解实体。 |
| 威胁搜寻 | 在调查并搜寻根本原因时,请运行内置的威胁搜寻查询,并检查结果中是否有任何入侵迹象。 有关详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻。 在调查期间,或在采取修正和根除威胁的步骤后,使用实时流。 实时流可用于实时监视是否存在任何拖延的恶意事件,或者恶意事件是否仍在继续。 |
| 实体行为 | 用户可以在 Microsoft Sentinel 中使用实体行为,查看和调查特定实体的操作和警报(例如调查帐户和主机名)。 有关详细信息,请参阅: - 在 Microsoft Sentinel 中启用用户和实体行为分析 (UEBA) - 使用 UEBA 数据调查事件 - Microsoft Sentinel UEBA 扩充参考 |
| 播放列表 | 使用将来自引入数据和外部源(例如扩充数据)组合在一起的监视列表。 例如,创建组织或最近离职的员工使用的 IP 地址范围列表。 将监视列表与 playbook 一起用于收集扩充数据,例如,将恶意 IP 地址添加到监视列表以在检测、威胁搜寻和调查期间使用。 在事件发生期间,使用监视列表包含调查数据,然后在调查完成后将其删除,以确保敏感数据不会保留在视图中。 有关详细信息,请参阅 Microsoft Sentinel 中的监视列表。 |