Configurare il contenuto di Microsoft Sentinel

Nella fase di distribuzione precedente sono stati abilitati Microsoft Sentinel, il monitoraggio dello stato di integrità e le soluzioni necessarie. Questo articolo illustra come configurare i diversi tipi di contenuti di sicurezza Microsoft Sentinel, che consentono di rilevare, monitorare e rispondere alle minacce alla sicurezza nei sistemi. Questo articolo fa parte della guida alla distribuzione per Microsoft Sentinel.

Configurare il contenuto di sicurezza

Fase Descrizione
Configurare i connettori dati In base alle origini dati selezionate durante la pianificazione della distribuzione e dopo aver abilitato le soluzioni pertinenti, è ora possibile installare o configurare i connettori dati.

- Se usi un connettore esistente, trova il tuo connettore in questo elenco completo dei connettori dati.
- Se si sta creando un connettore personalizzato, usare queste risorse.
- Se si sta configurando un connettore per inserire i log CEF o Syslog, esaminare queste opzioni.
Configurare le regole di analisi Dopo aver configurato Microsoft Sentinel per raccogliere dati da tutta l'organizzazione, è possibile iniziare a usare le regole di analisi per rilevare le minacce. Selezionare i passaggi necessari per configurare e configurare le regole di analisi:

- Creare regole pianificate da modelli o da zero: creare regole di analisi per individuare minacce e comportamenti anomali nell'ambiente.
- Mappare i campi di dati alle entità: Aggiungere o modificare le mappature delle entità in una regola di analisi.
- Mostrare i dettagli personalizzati negli avvisi: Aggiungere o modificare i dettagli personalizzati in una regola di analisi.
- Personalizzare i dettagli dell'avviso: eseguire l'override delle proprietà predefinite degli avvisi con il contenuto dei risultati della query sottostante.
- Esportare e importare regole di analisi: esportare le regole di analisi in file modello Azure Resource Manager (ARM) e importare regole da questi file. L'azione di esportazione crea un file JSON nel percorso di download del browser, che è quindi possibile rinominare, spostare e gestire come qualsiasi altro file.
- Creare regole di analisi per il rilevamento quasi in tempo reale (NRT): creare regole di analisi quasi in tempo reale per il rilevamento immediato delle minacce, pronte all'uso. Questo tipo di regola è stato progettato per essere altamente reattivo eseguendo la query a intervalli di soli un minuto di distanza.
- Usare le regole di analisi del rilevamento anomalie: usare modelli di anomalie predefiniti che usano migliaia di origini dati e milioni di eventi oppure modificare soglie e parametri per le anomalie all'interno dell'interfaccia utente.
- Gestire le versioni dei modelli per le regole di analisi pianificate: tenere traccia delle versioni dei modelli di regole di analisi e ripristinare le regole attive alle versioni dei modelli esistenti o aggiornarle a nuove.
- Gestire il ritardo di inserimento nelle regole di analisi pianificate: informazioni su come il ritardo di inserimento potrebbe influire sulle regole di analisi pianificate e su come risolverle per coprire queste lacune.
Configurare le regole di automazione Creare regole di automazione. Definisci i trigger e le condizioni che determinano quando viene eseguita la regola di automazione, le varie azioni che puoi far eseguire alla regola e le altre caratteristiche e funzionalità.
Configura i playbook Un playbook è una raccolta di azioni correttive eseguite da Microsoft Sentinel come routine, per automatizzare e orchestrare la risposta alle minacce. Per configurare i playbook:

- Esaminare i playbook consigliati
- Creare playbook dai modelli: un modello di playbook è un flusso di lavoro predefinito, testato e pronto all'uso che può essere personalizzato in base alle proprie esigenze. I modelli possono anche fungere da riferimento per le procedure consigliate per lo sviluppo di playbook da zero o come fonte di ispirazione per nuovi scenari di automazione.
- Rivedi questi passaggi per creare un playbook
Configurare le cartelle di lavoro Le cartelle di lavoro offrono un canvas flessibile per l'analisi dei dati e la creazione di report visivi avanzati all'interno di Microsoft Sentinel. I modelli di cartella di lavoro consentono di ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati. Per configurare le cartelle di lavoro:

- Esaminare le cartelle di lavoro Microsoft Sentinel di uso comune
- Usare i modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto
- Crea cartelle di lavoro personalizzate a partire dai tuoi dati
Configura liste di controllo Gli watchlist consentono di correlare i dati di un'origine dati fornita con gli eventi nell'ambiente Microsoft Sentinel. Per configurare gli elenchi di controllo:

- Creare elenchi di controllo
- Creare query o regole di rilevamento con le watchlist: Interrogare i dati in qualsiasi tabella confrontandoli con i dati di una watchlist, trattando la watchlist come una tabella per eseguire join e ricerche. Quando si crea un elenco di controllo, si definisce SearchKey. La chiave di ricerca è il nome di una colonna nella watchlist che prevedi di usare per unire altri dati o come oggetto di ricerche frequenti.

Passaggi successivi

In questo articolo si è appreso come configurare i diversi tipi di contenuto di sicurezza Microsoft Sentinel.