重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将于2026 年 8 月 18 日在中国地区的 Azure 中正式停用。
本文介绍有助于规划、部署和微调Microsoft Sentinel部署的活动。
规划和准备概述
本部分介绍有助于在部署Microsoft Sentinel之前规划和准备的活动和先决条件。
规划和准备阶段通常由 SOC 架构师或相关角色执行。
| 步骤 | 详细信息 |
|---|---|
| 1. 规划和准备概述和先决条件 | 查看 Azure 租户先决条件。 |
| 2. 规划工作区体系结构 | 设计为Microsoft Sentinel启用的Log Analytics工作区。 请考虑以下参数: - 你将使用单租户还是多租户 - 你对数据收集和存储的任何合规性要求 - 如何控制对Microsoft Sentinel数据的访问 查看以下文章: 1. 设计工作区体系结构 3. 准备多个工作区 |
| 3. 设置数据连接器的优先级 | 确定你需要的数据源和数据大小要求,以便准确地预测部署的预算和时间线。 你可以在业务用例评审过程中确定此信息,也可以通过评估现有的 SIEM 来这样做。 如果已有 SIEM,请分析数据,以了解哪些数据源提供最大的价值,并且应引入到Microsoft Sentinel。 |
| 4. 规划角色和权限 | 使用Azure基于角色的访问控制(RBAC)在安全运营团队中创建和分配角色,以授予对Microsoft Sentinel的适当访问权限。 不同的角色可让你精细控制Microsoft Sentinel用户可以查看和执行的操作。 可以直接在工作区中分配 Azure 角色,或者在工作区所属的订阅或资源组中进行分配,Microsoft Sentinel 会继承这些角色。 |
| 5. 计划成本 | 开始规划预算,并考虑每个计划方案的成本影响。 请确保您的预算涵盖 Microsoft Sentinel 和 Azure Log Analytics 的数据引入成本、将部署的任何剧本等。 |
部署概述
部署阶段通常由 SOC 分析师或相关角色执行。
| 步骤 | 详细信息 |
|---|---|
| 1。启用Microsoft Sentinel、运行状况和审核以及内容 | 启用Microsoft Sentinel、启用运行状况和审核功能,并启用根据组织需求确定的解决方案和内容。
若要通过 API 加入到 Microsoft Sentinel,请查看最新支持的 Sentinel Onboarding States。 |
| 2.配置内容 | 配置不同类型的Microsoft Sentinel安全内容,以便检测、监视和响应系统中的安全威胁:数据连接器、分析规则、自动化规则、playbook、工作簿和监视列表。 |
| 3.设置跨工作区体系结构 | 如果你的环境需要多个工作区,现在可以将它们设置为部署的一部分。 本文介绍如何设置Microsoft Sentinel以跨多个工作区和租户进行扩展。 |
| 4.启用用户与实体行为分析 (UEBA) | 启用并使用 UEBA 功能来简化分析过程。 |
| 5.设置交互式和长期数据保留 | 设置交互式和长期数据保留,以确保组织可以长期保留重要数据。 |
调整和审查:部署后检查指南
查看部署后核对清单,以帮助确保部署过程按预期进行,并且你部署的安全内容按照你的需求和用例工作并保护你的组织。
微调和查看阶段通常由 SOC 工程师或相关角色执行。
| 步骤 | 操作 |
|---|---|
| ✅ 查看事件和事件流程 | - 检查你所看到的事件和事件数量是否反映出环境中实际发生的情况。 - 检查 SOC 的事件流程是否有效处理事件:是否已将不同类型的事件分配给 SOC 的不同层/层级? 详细了解如何导航和调查事件,以及如何处理事件任务。 |
| ✅ 查看和微调分析规则 | - 根据事件评审结果,检查分析规则是否按预期触发,以及这些规则是否反映你感兴趣的事件类型。 通过使用自动化或修改计划的分析规则来- 处理误报。 |
| ✅ 查看自动化规则和脚本 | - 与分析规则类似,检查自动化规则按预期工作,以及是否反映出你关注和感兴趣的事件。 - 检查操作手册是否按预期响应警报和事件。 |
| ✅ 将数据添加到监视列表 | 检查监视列表是否为最新。 如果环境中发生了任何更改(例如新用户或用例),则相应地更新监视列表。 |
| ✅ 查看承诺层级 | 查看最初设置的承诺层级,并验证这些层级是否反映当前配置。 |
| ✅ 跟踪引入成本 | 请使用以下其中一个工作簿来跟踪引入成本: -“工作区使用量报告”工作簿提供工作区的数据消耗、成本和使用量统计信息。 此工作簿提供了工作区的数据引入状态以及免费和付费数据的数量。 可以使用该工作簿的逻辑来监视数据引入和成本,并生成自定义视图和基于规则的警报。 - Microsoft Sentinel Cost 工作簿可更加集中地查看 Microsoft Sentinel 成本,涵盖引入和保留数据、符合条件的数据源的引入数据、Logic Apps 计费信息等。 |
| ✅ 微调数据收集规则 (DCR) | - 检查 DCR 是否反映数据引入需求和用例。 - 如有需要,您可以在将数据首次存储到工作区之前,实施摄取时转换,以筛选掉不相关的数据。 |
| ✅ 根据 MITRE 框架检查分析规则 |
相关文章
在本文中,你查看了有助于部署Microsoft Sentinel的每个阶段中的活动。
请根据你所处的阶段,选择适当的后续步骤:
- 规划和准备 - 部署 Azure Sentinel 的先决条件
- 部署 - 启用Microsoft Sentinel和初始功能和内容
- 微调和审查 - 导航并调查 Microsoft Sentinel 中的事件
完成Microsoft Sentinel部署后,通过查看涵盖常见任务的教程继续探索Microsoft Sentinel功能:
- 使用 Azure Monitor Agent 将 Syslog 数据转发到具有Microsoft Sentinel Log Analytics工作区
- 配置表级别的数据保留
- 使用分析规则检测威胁
- 使用自动化响应威胁
- 使用 UEBA 进行调查
- 构建和监视 Zero Trust
查看 Microsoft Sentinel 操作指南,了解我们推荐的定期 SOC 活动,建议您每天、每周和每月定期执行。