이 문서에서는 SOC(보안 운영) 팀과 보안 관리자가 Microsoft Sentinel 정기적인 보안 활동의 일부로 계획하고 실행하는 것이 좋습니다. 보안 작업 관리에 대한 자세한 내용은 보안 작업 개요를 참조하세요.
일상적인 작업
매일 다음 활동을 예약합니다.
| 작업 | description |
|---|---|
| 인시던트 심사 및 조사 | Microsoft Sentinel 인시던트 페이지를 검토하여 현재 구성된 분석 규칙에서 생성된 새 인시던트에 대해 검사 새 인시던트 조사를 시작합니다. 자세한 내용은 다음 항목을 참조하세요. |
| 헌팅 쿼리 및 책갈피 살펴보기 | 모든 기본 제공 쿼리에 대한 결과를 탐색하고 기존 헌팅 쿼리 및 책갈피를 업데이트합니다. 새 인시던트가 수동으로 생성되거나 해당되는 경우 이전 인시던트가 업데이트됩니다. 자세한 내용은 다음 항목을 참조하세요. |
| 분석 규칙 | 최근에 배포된 솔루션에서 새로 릴리스되거나 새로 사용 가능한 규칙을 포함하여 해당하는 경우 새 분석 규칙을 검토하고 사용하도록 설정합니다. 자세한 내용은 다음 항목을 참조하세요. 상태를 모니터링하고 분석 규칙의 실행을 최적화합니다. 자세한 내용은 다음 항목을 참조하세요. |
| 데이터 커넥터 | 데이터 커넥터의 상태 상태 검토하여 데이터가 흐르는지 확인합니다. 새 커넥터를 확인하고 수집을 검토하여 설정 한도를 초과하지 않는지 확인합니다. 자세한 내용은 데이터 커넥터의 상태 모니터링을 참조하세요. |
| Azure Monitor 에이전트 | 서버 및 워크스테이션이 작업 영역에 적극적으로 연결되어 있는지 확인하고 실패한 연결 문제를 해결하고 수정합니다. 자세한 내용은 Azure Monitor Agent 개요를 참조하세요. |
| 플레이북 오류 | 플레이북 실행 상태를 확인하고 오류를 해결합니다. 자세한 내용은 자습서: Microsoft Sentinel 자동화 규칙과 함께 플레이북을 사용하여 위협에 대응을 참조하세요. |
주간 작업
매주 다음 활동을 예약합니다.
| 작업 | description |
|---|---|
| 솔루션 또는 독립 실행형 콘텐츠의 콘텐츠 검토 | 설치된 솔루션에 대한 콘텐츠 업데이트 또는 콘텐츠 허브에서 독립 실행형 콘텐츠를 가져옵니다. 분석 규칙, 통합 문서, 헌팅 쿼리 또는 플레이북과 같이 환경에 가치가 있을 수 있는 새로운 솔루션 또는 독립 실행형 콘텐츠를 검토합니다. |
| Microsoft Sentinel 감사 | Microsoft Sentinel 작업을 검토하여 분석 규칙, 책갈피 등과 같은 리소스를 업데이트하거나 삭제한 사용자를 확인합니다. 자세한 내용은 감사 Microsoft Sentinel 쿼리 및 활동을 참조하세요. |
월별 작업
매월 다음 활동을 예약합니다.
| 작업 | description |
|---|---|
| 사용자 액세스 검토 | 사용자에 대한 사용 권한을 검토하고 비활성 사용자에 대한 검사. 자세한 내용은 Microsoft Sentinel 사용 권한을 참조하세요. |
| Log Analytics 작업 영역 검토 | Log Analytics 작업 영역 데이터 보존 정책이 여전히 organization 정책과 일치하는지 검토합니다. 자세한 내용은 데이터 보존 정책 및 장기 로그 보존을 위한 Azure Data Explorer 통합을 참조하세요. |