Microsoft Sentinel 操作指南

本文列出了我们建议安全运营 (SOC) 团队和安全管理员作为使用 Microsoft Sentinel 的常规安全活动的一部分进行规划和运行的操作活动。

每日任务

每日安排以下活动。

任务 description
会审和调查事件 查看 Microsoft Sentinel“事件”页,检查当前配置的分析规则生成的新事件,并开始调查任何新事件。 有关详细信息,请参阅通过 Microsoft Sentinel 调查事件
浏览搜寻查询和书签 浏览所有内置查询的结果,并更新现有的搜寻查询和书签。 手动生成新事件或更新旧事件(如果适用)。 有关详细信息,请参阅:

- 自动根据 Microsoft 安全警报创建事件
- 使用 Microsoft Sentinel 搜寻威胁
- 使用 Microsoft Sentinel 在搜寻过程中跟踪数据
分析规则 查看并启用新的分析规则(如果适用),包括最近连接的数据连接器中新发布或新提供的规则。
数据连接器 查看从每个数据连接器接收的最后一个日志的状态、日期和时间,以确保数据在流动。 检查新的连接器,并查看引入以确保没有超过设置的限制。 有关详细信息,请参阅数据集合最佳做法连接数据源
Azure Monitor 代理 验证服务器和工作站是否主动连接到工作区,并对任何失败的连接进行排查和修复。 有关详细信息,请参阅 Azure Monitor 代理概述
Playbook 故障 验证 playbook 运行状态并排查任何故障。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中使用 playbook 和自动化规则响应威胁

每周任务

每周安排以下活动。

任务 description
解决方案或独立内容的内容评审 内容中心获取已安装解决方案或独立内容的任何内容更新。 查看可能对你的环境有价值的新解决方案或独立内容,例如分析规则、工作簿、搜寻查询或 playbook。
Microsoft Sentinel 审核 查看 Microsoft Sentinel 活动,了解谁更新或删除了资源(例如分析规则、书签等)。 有关详细信息,请参阅审核 Microsoft Sentinel 查询和活动

每月任务

每月安排以下活动。

任务 description
查看用户访问权限 查看用户的权限并检查不活动的用户。 有关详细信息,请参阅 Microsoft Sentinel 中的权限
Log Analytics 工作区评审 查看 Log Analytics 工作区数据保留策略是否仍与组织的策略保持一致。