Microsoft Sentinel 的最佳做法

最佳做法指南在 Microsoft Sentinel 的技术文档的各部分中提供。 本文重点介绍部署、管理和使用 Microsoft Sentinel 时要使用的一些关键指南。

设置 Microsoft Sentinel

Microsoft Sentinel 部署指南开始。 该部署指南涵盖规划、部署和微调 Microsoft Sentinel 部署的大致步骤。 从该指南中,选择提供的链接以查找部署中每个阶段的详细指南。

Microsoft 安全服务集成

Microsoft Sentinel 由将数据发送到工作区的组件提供支持,并且它通过与其他 Microsoft 服务集成而变得更加强大。 引入产品(例如 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity)的任何日志都允许这些服务创建检测,并反过来向 Microsoft Sentinel 提供这些检测。 日志也可以直接引入 Microsoft Sentinel,从而为事件提供更全面的描述。

除了引入其他源中的警报和日志,Microsoft Sentinel 还会:

  • 通过机器学习使用引入的信息,从而实现更好的事件关联、警报聚合和匿名检测等操作。
  • 通过工作簿生成和呈现交互式视觉对象,显示用于管理任务和调查的趋势、相关信息和关键数据
  • 运行 playbook 以处理警报、收集信息、对项执行操作以及向各种平台发送通知。
  • 与合作伙伴平台(例如 ServiceNow 和 Jira)集成,以便为 SOC 团队提供基本服务。

有关从其他服务或提供程序集成数据的详细信息,请参阅 Microsoft Sentinel 数据连接器

事件管理和响应

下图展示了事件管理和响应过程中的建议步骤。

事件管理过程的示意图:会审。准备。修正。根除。后续工作。

下表提供有关如何使用 Microsoft Sentinel 功能进行事件管理和响应的一些简要说明。 有关详细信息,请参阅通过 Microsoft Sentinel 调查事件

功能 最佳做法
事故 生成的任何事件都显示在“事件”页上,该页充当会审和早期调查的中心位置。 “事件”页列出了标题、严重性和相关警报、日志以及任何有意义的实体。 事件还提供快速跳转到收集的日志和与事件相关的任何工具的功能。
调查图 “事件”页与“调查”图共同发挥作用。调查图是一种交互式工具,允许用户深入了解警报以显示攻击的完整范围 。 然后,用户可以构造事件的时间线,并发现威胁链的范围。

发现关键实体,例如帐户、URL、IP 地址、主机名、活动、时间线等。 使用此数据了解是否有误报,在有误报的情况下,可以直接关闭事件。

如果发现事件为真,请直接从“事件”页采取操作,调查日志、实体并浏览威胁链。 确定威胁并创建操作计划后,请使用 Microsoft Sentinel 中的其他工具和其他 Microsoft 安全服务继续进行调查。
信息可视化效果 若要可视化和分析环境中发生的情况,请先查看 Microsoft Sentinel 概述仪表板,以大致了解组织的安全态势。

除了 Microsoft Sentinel 概述页面上的信息和趋势外,工作簿也是有价值的调查工具。 例如,使用调查见解工作簿来调查特定事件以及任何关联的实体和警报。 使用此工作簿可以显示相关的日志、操作和警报,从而深入了解实体。
威胁搜寻 在调查并搜寻根本原因时,请运行内置的威胁搜寻查询,并检查结果中是否有任何入侵迹象。 有关详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻

在调查期间,或在采取修正和根除威胁的步骤后,使用实时流。 实时流可用于实时监视是否存在任何拖延的恶意事件,或者恶意事件是否仍在继续。
实体行为 用户可以在 Microsoft Sentinel 中使用实体行为,查看和调查特定实体的操作和警报(例如调查帐户和主机名)。 有关详细信息,请参阅:

- 在 Microsoft Sentinel 中启用用户和实体行为分析 (UEBA)
- 使用 UEBA 数据调查事件
- Microsoft Sentinel UEBA 扩充参考
播放列表 使用将来自引入数据和外部源(例如扩充数据)组合在一起的监视列表。 例如,创建组织或最近离职的员工使用的 IP 地址范围列表。 将监视列表与 playbook 一起用于收集扩充数据,例如,将恶意 IP 地址添加到监视列表以在检测、威胁搜寻和调查期间使用。

在事件发生期间,使用监视列表包含调查数据,然后在调查完成后将其删除,以确保敏感数据不会保留在视图中。

有关详细信息,请参阅 Microsoft Sentinel 中的监视列表