你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用工作簿跟踪Microsoft Sentinel迁移

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

由于组织的安全运营中心 (SOC) 处理不断增长的数据量,因此规划和监视部署状态至关重要。 虽然可以使用 Microsoft Project、Microsoft Excel、Microsoft Teams 或 Azure DevOps 等通用工具跟踪迁移过程,但这些工具并不特定于安全信息和事件管理, (SIEM) 迁移跟踪。 为了帮助你进行跟踪,我们在名为“部署和迁移Microsoft Sentinel”Microsoft Sentinel中提供了一个专用工作簿。

工作簿可帮助你:

  • 可视化迁移进度
  • 部署和跟踪数据源
  • 部署和监视分析规则和事件
  • 部署和利用工作簿
  • 部署和执行自动化
  • (U B A) 部署和自定义用户和实体行为分析

本文介绍如何使用Microsoft Sentinel部署和迁移工作簿跟踪迁移、如何自定义和管理工作簿,以及如何使用工作簿选项卡来部署和监视数据连接器、分析、事件、playbook、自动化规则、U E B A 和数据管理。 详细了解如何在 Microsoft Sentinel 中使用 Azure Monitor 工作簿

部署工作簿内容并查看工作簿

若要获取工作簿,请先从 Microsoft Sentinel 中的内容中心安装独立项。

  1. 在Microsoft Sentinel内容中心,筛选“内容类型 = 工作簿”中列出的内容,然后在搜索栏中输入迁移

  2. 在搜索结果中,选择“Microsoft Sentinel部署和迁移”工作簿,然后选择“安装”。 Microsoft Sentinel部署工作簿并将工作簿保存在环境中。

  3. 在“Microsoft Sentinel”中的“威胁管理”下,选择“工作簿>模板”。

  4. 选择Microsoft Sentinel“部署和迁移”工作簿和“视图”模板

部署监视列表

下一步是从 gitHub 存储库Microsoft Sentinel部署相关监视列表。

  1. Microsoft Sentinel GitHub 存储库中,选择“DeploymentandMigration”文件夹,然后选择“部署到Azure”,开始在 Azure 中部署模板。
  2. 提供Microsoft Sentinel资源组和工作区名称。 将监视列表部署到Azure的屏幕截图。
  3. 选择“ 查看并创建”。
  4. 验证信息后,选择“ 创建”。

使用部署和迁移操作更新监视列表

此步骤对于跟踪设置过程至关重要。 如果跳过此步骤,工作簿不会反映要跟踪的项目。

若要使用部署和迁移操作更新监视列表,请执行以下操作:

  1. 在Azure或Microsoft Defender门户中,选择“Microsoft Sentinel”,然后选择“监视列表”。
  2. 选择具有 部署 别名的监视列表。
  3. 然后选择“ 更新监视列表 > 编辑监视列表项”。
  4. 提供部署和迁移所需的操作信息。 使用部署和迁移操作更新监视列表项的屏幕截图。
  5. 选择“保存”

现在可以在迁移跟踪器工作簿中查看监视列表。 了解如何 管理监视列表

此外,团队可能会在部署过程中更新或完成任务。 若要解决这些更改,请在确定新用例或设置新要求时更新现有操作或添加新操作。 若要更新或添加操作,请编辑部署的 部署 监视列表。 若要简化此过程,请在工作簿中选择 “编辑部署监视列表 ”,直接从工作簿打开监视列表。

查看部署状态

若要快速查看部署进度,请在Microsoft Sentinel部署和迁移工作簿中,选择“部署”,然后向下滚动以找到进度摘要。 此区域显示部署状态,包括以下信息:

  • 表报告数据
  • 报告数据的表数
  • 报告的日志数以及哪些表报告日志数据
  • 启用的规则数与未部署的规则数
  • 已部署的建议工作簿
  • 已部署的工作簿总数
  • 部署的 playbook 总数

部署和监视数据连接器

若要监视已部署的资源并部署新连接器,请在Microsoft Sentinel部署和迁移工作簿中,选择“数据连接器>监视器”。 “ 监视器” 视图列出:

  • 当前引入趋势
  • 表引入数据
  • 每个表报告的数据量
  • 使用 Azure Monitor 代理 (AMA) 的终结点报告
  • 资源组中的数据收集规则以及链接到规则的设备
  • 数据连接器运行状况 (更改和故障)
  • 指定时间范围内的运行状况日志

工作簿的“数据连接器”选项卡“监视器”视图的屏幕截图。

配置数据连接器:

  1. 选择“ 配置” 视图。
  2. 选择具有要配置的连接器名称的按钮。
  3. 在打开的连接器状态屏幕中配置连接器。 如果找不到所需的连接器,请选择连接器名称以打开连接器库或解决方案库。 工作簿的“配置”视图的屏幕截图。

部署和监视分析和事件

在工作区中报告数据时,请配置和监视分析规则。 在“Microsoft Sentinel部署和迁移”工作簿中,选择“分析”选项卡,查看所有已部署的规则模板和列表。 此视图指示当前正在使用的规则以及规则生成事件的频率。

工作簿的“分析”选项卡的屏幕截图。

如果需要更多覆盖范围,请选择左侧表格下方的“ 查看 MITRE 覆盖范围 ”。 使用此选项可以定义哪些区域在迁移项目的任何阶段接收更多覆盖范围以及部署了哪些规则。

工作簿的“MITRE 覆盖范围”视图的屏幕截图。

部署分析规则并且 Defender 产品连接器配置为发送警报时,请在 “进度部署 > 摘要”下监视事件创建和频率。 此区域显示有关按产品、标题和分类生成警报的指标,以指示 SOC 的运行状况以及哪些警报最需要关注。 如果警报生成过多的量,请返回到“ 分析 ”选项卡以修改逻辑。

工作簿的“分析”选项卡下的进度摘要的屏幕截图。

部署和利用工作簿

若要可视化有关Microsoft Sentinel执行的数据引入和检测的信息,请在Microsoft Sentinel部署和迁移工作簿中选择“工作簿”。 与“ 数据连接器 ”选项卡类似,使用 “监视 ”和 “配置” 视图查看监视和配置信息。

下面是在 “工作簿 ”选项卡中执行的一些有用任务:

  • 若要查看环境中所有工作簿的列表以及部署的工作簿数,请选择“ 监视”。

  • 若要查看Microsoft Sentinel部署和迁移工作簿中的特定工作簿,请选择一个工作簿,然后选择“打开所选工作簿”。

    在“工作簿”选项卡中选择工作簿的屏幕截图。

  • 如果尚未部署工作簿,请选择“ 配置 ”以查看常用工作簿和建议工作簿的列表。 如果未列出工作簿,请选择“ 转到工作簿库 ”或“ 转到内容中心 ”以部署相关工作簿。

    从“工作簿”选项卡查看工作簿的屏幕截图。

部署和监视 playbook 和自动化规则

配置数据引入、检测和可视化效果时,现在可以了解自动化。 在“Microsoft Sentinel部署和迁移”工作簿中,选择“自动化”以查看已部署的 playbook,并查看哪些 playbook 当前已连接到自动化规则。 如果存在自动化规则,工作簿会突出显示有关每个规则的以下信息:

  • 名称
  • 状态
  • 规则的操作
  • 上次修改规则的日期和修改规则的用户
  • 创建规则的日期

若要在工作簿的当前部分中查看、部署和测试自动化,请选择左下角的“ 部署自动化资源 ”。

了解 playbook自动化规则Microsoft Sentinel SOAR 功能。

工作簿的“自动化”选项卡的屏幕截图。

部署和监视 U E B A

由于数据报告和检测发生在实体级别,因此监视实体行为和趋势至关重要。 若要在 Microsoft Sentinel 中启用 U E B A 功能,请在“Microsoft Sentinel部署和迁移”工作簿中选择“UEBA”。 在这里,可以自定义实体页的实体时间线,并查看哪些实体相关表填充了数据。

工作簿的“U E B A”选项卡的屏幕截图。

若要启用 U E B A,请执行:

  1. 选择表列表上方的 “启用 UEBA ”。
  2. 若要启用 U E B A,请选择“ 打开”。
  3. 选择要用于生成见解的数据源。
  4. 选择“应用”。

启用 U E B A 后,监视并确保Microsoft Sentinel正在生成 U E B A 数据。

自定义时间线:

  1. 选择表列表上方的“ 自定义实体时间线 ”。
  2. 创建自定义项,或选择一个现成的模板。
  3. 若要部署模板并完成向导,请选择“ 创建”。

详细了解 U E B A 或了解如何自定义时间线

配置和管理数据生命周期

部署或迁移到Microsoft Sentinel时,必须管理传入日志的使用情况和生命周期。 在“Microsoft Sentinel部署和迁移”工作簿中,选择“数据管理”以查看和配置表保留和存档。

工作簿的“数据管理”选项卡的屏幕截图。

查看有关的信息:

  • 为基本日志引入配置的表
  • 为分析层引入配置的表
  • 配置为存档的表
  • 默认工作区保留期的表

修改表的现有保留策略:

  1. 选择 “默认保留表” 视图。
  2. 选择要修改的表,然后选择“ 更新保留期”。 根据需要编辑以下信息:
    • 工作区中的当前保留期
    • 存档中的当前保留期
    • 数据在环境中生存的总天数
  3. 编辑 TotalRetention 值以设置数据应存在于环境中的新总天数。

ArchiveRetention 值是通过从 InteractiveRetention 值中减去 TotalRetention 值来计算。 如果需要调整工作区保留期,更改不会影响包含已配置存档的表,并且不会丢失数据。 如果编辑 InteractiveRetention 值且 TotalRetention 值未更改,Azure Log Analytics 会调整存档保留期以补偿更改。

如果想要在 UI 中进行更改,请选择“ UI 中的更新保留期 ”以打开相关页面。

了解 数据生命周期管理

启用迁移提示和说明

为了帮助完成部署和迁移过程,工作簿包含说明如何使用不同选项卡的提示,以及指向相关资源的链接。 这些提示基于Microsoft Sentinel迁移文档,与当前 SIEM 相关。 若要启用提示和说明,请在右上角Microsoft Sentinel部署和迁移工作簿中,将“迁移提示说明”设置为“是”。

工作簿的迁移提示和说明的屏幕截图。

后续步骤

本文介绍了如何使用Microsoft Sentinel部署和迁移工作簿跟踪迁移。

  • Last updated on