Microsoft Sentinel 部署指南

本文介绍可帮助你规划、部署和微调 Microsoft Sentinel 部署的活动。

规划和准备概述

本部分介绍可帮助你在部署 Microsoft Sentinel 之前进行规划和准备的活动和先决条件。

规划和准备阶段通常由 SOC 架构师或相关角色执行。

步骤 详细信息
1. 规划和准备概述和先决条件 查看 Azure 租户先决条件
2. 规划工作区体系结构 设计启用 Microsoft Sentinel 的 Log Analytics 工作区。 请考虑以下参数:

- 你将使用单租户还是多租户
- 你对数据收集和存储的任何合规性要求
- 如何控制对 Microsoft Sentinel 数据的访问

查看以下文章:

1. 设计工作区体系结构
3. 准备多个工作区
3. 设置数据连接器的优先级 确定你需要的数据源和数据大小要求,以便准确地预测部署的预算和时间线。

你可以在业务用例评审过程中确定此信息,也可以通过评估现有的 SIEM 来这样做。 如果 SIEM 已就位,请分析你的数据,以了解哪些数据源可以提供最大的价值,因此应当引入到 Microsoft Sentinel 中。
4. 规划角色和权限 使用 Azure 基于角色的访问控制 (RBAC) 在安全运营团队中创建和分配角色,以授予对 Microsoft Sentinel 的适当访问权限。 你可以使用不同的角色,对 Microsoft Sentinel 用户可以看到的和执行的操作进行精细控制。 可以直接在工作区中分配 Azure 角色,或在工作区所属的订阅或资源组(由 Microsoft Sentinel 继承)中进行分配。
5. 计划成本 开始规划预算,并考虑每个计划方案的成本影响。

请确保预算涵盖了 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何 playbook 的成本,等等。

部署概述

部署阶段通常由 SOC 分析师或相关角色执行。

步骤 详细信息
1.启用 Microsoft Sentinel、运行状况和审核以及内容 启用 Microsoft Sentinel、启用运行状况和审核功能,并启用根据组织需求确定的解决方案和内容。

若要使用 API 载入到 Microsoft Sentinel,请参阅最新支持的 Sentinel Onboarding States 版本。
2.配置内容 配置不同类型的 Microsoft Sentinel 安全内容,以便检测、监视和响应系统中的安全威胁:数据连接器、分析规则、自动化规则、剧本、工作簿和监视列表。
3.设置跨工作区体系结构 如果你的环境需要多个工作区,现在可以将它们设置为部署的一部分。 本文介绍如何设置 Microsoft Sentinel 以跨多个工作区和租户进行扩展。
4.启用用户与实体行为分析 (UEBA) 启用并使用 UEBA 功能来简化分析过程。
5.设置交互式和长期数据保留 设置交互式和长期数据保留,以确保组织可以长期保留重要数据。

微调和查看:部署后核对清单

查看部署后核对清单,以帮助确保部署过程按预期进行,并且你部署的安全内容按照你的需求和用例工作并保护你的组织。

微调和查看阶段通常由 SOC 工程师或相关角色执行。

步骤 操作
查看事件和事件流程 - 检查你所看到的事件和事件数量是否反映出环境中实际发生的情况。
- 检查 SOC 的事件流程是否有效处理事件:是否已将不同类型的事件分配给 SOC 的不同层/层级?

详细了解如何导航和调查事件,以及如何处理事件任务
查看和微调分析规则 - 根据事件评审结果,检查分析规则是否按预期触发,以及这些规则是否反映你感兴趣的事件类型。
通过使用自动化或修改计划的分析规则来- 处理误报
查看自动化规则和脚本 - 与分析规则类似,检查自动化规则按预期工作,以及是否反映出你关注和感兴趣的事件。
- 检查脚本是否按预期响应警报和事件。
将数据添加到监视列表 检查监视列表是否为最新。 如果环境中发生了任何更改(例如新用户或用例),则相应地更新监视列表
查看承诺层级 查看最初设置的承诺层级,并验证这些层级是否反映当前配置。
跟踪引入成本 请使用以下其中一个工作簿来跟踪引入成本:
-“工作区使用量报告”工作簿提供工作区的数据消耗、成本和使用量统计信息。 此工作簿提供了工作区的数据引入状态以及免费和付费数据的数量。 可以使用该工作簿的逻辑来监视数据引入和成本,并生成自定义视图和基于规则的警报。
- “Microsoft Sentinel 成本”工作簿提供更集中的 Microsoft Sentinel 成本视图,其中包含引入和保留数据、合格数据源的引入数据、Azure 逻辑应用计费信息等。
微调数据收集规则 (DCR) - 检查 DCR 是否反映数据引入需求和用例。
- 需要时,“实现引入-时间转换”筛选掉不相关的数据,甚至是在这些数据首次存储到工作区之前。
根据 MITRE 框架检查分析规则 在 Microsoft Sentinel MITRE 页面中检查 MITRE 覆盖范围:查看工作区中已处于活动状态的检测,以及可供你配置的检测,以便根据 MITRE ATT&CK® 框架中的策略和技术了解组织的安全覆盖范围。

在本文中,你已查看每个阶段中有助于部署 Microsoft Sentinel 的活动。

请根据你所处的阶段,选择适当的后续步骤:

完成 Microsoft Sentinel 部署后,请通过查看介绍常见任务的教程继续探索 Microsoft Sentinel 功能:

查看 Microsoft Sentinel 操作指南,了解我们建议每天、每周和每月执行一次的常规 SOC 活动。