Microsoft Sentinel 操作指南
本文列出了我们建议安全运营 (SOC) 团队和安全管理员作为使用 Microsoft Sentinel 的常规安全活动的一部分进行规划和运行的操作活动。
每日任务
每日安排以下活动。
| 任务 | description |
|---|---|
| 会审和调查事件 | 查看 Microsoft Sentinel“事件”页,检查当前配置的分析规则生成的新事件,并开始调查任何新事件。 有关详细信息,请参阅通过 Microsoft Sentinel 调查事件。 |
| 浏览搜寻查询和书签 | 浏览所有内置查询的结果,并更新现有的搜寻查询和书签。 手动生成新事件或更新旧事件(如果适用)。 有关详细信息,请参阅: - 自动根据 Microsoft 安全警报创建事件 - 使用 Microsoft Sentinel 搜寻威胁 - 使用 Microsoft Sentinel 在搜寻过程中跟踪数据 |
| 分析规则 | 查看并启用新的分析规则(如果适用),包括最近连接的数据连接器中新发布或新提供的规则。 |
| 数据连接器 | 查看从每个数据连接器接收的最后一个日志的状态、日期和时间,以确保数据在流动。 检查新的连接器,并查看引入以确保没有超过设置的限制。 有关详细信息,请参阅数据集合最佳做法和连接数据源。 |
| Azure Monitor 代理 | 验证服务器和工作站是否主动连接到工作区,并对任何失败的连接进行排查和修复。 有关详细信息,请参阅 Azure Monitor 代理概述。 |
| Playbook 故障 | 验证 playbook 运行状态并排查任何故障。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中使用 playbook 和自动化规则响应威胁。 |
每周任务
每周安排以下活动。
| 任务 | description |
|---|---|
| 解决方案或独立内容的内容评审 | 从内容中心获取已安装解决方案或独立内容的任何内容更新。 查看可能对你的环境有价值的新解决方案或独立内容,例如分析规则、工作簿、搜寻查询或 playbook。 |
| Microsoft Sentinel 审核 | 查看 Microsoft Sentinel 活动,了解谁更新或删除了资源(例如分析规则、书签等)。 有关详细信息,请参阅审核 Microsoft Sentinel 查询和活动。 |
每月任务
每月安排以下活动。
| 任务 | description |
|---|---|
| 查看用户访问权限 | 查看用户的权限并检查不活动的用户。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。 |
| Log Analytics 工作区评审 | 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。 |