Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wskazówki dotyczące najlepszych rozwiązań są udostępniane w całej dokumentacji technicznej dotyczącej usługi Microsoft Sentinel. Ten artykuł zawiera najważniejsze wskazówki dotyczące wdrażania i używania usługi Microsoft Sentinel oraz zarządzania nimi.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Aby rozpocząć pracę z usługą Microsoft Sentinel, zobacz przewodnik wdrażania, który obejmuje ogólne kroki planowania, wdrażania i dostosowywania wdrożenia usługi Microsoft Sentinel. W tym przewodniku wybierz podane linki, aby znaleźć szczegółowe wskazówki dotyczące każdego etapu wdrożenia.
Wdrażanie architektury jednoplatformowej
Usługa Microsoft Sentinel jest zintegrowana z nowoczesnym magazynem typu data lake, który oferuje niedrogie, długoterminowe przechowywanie, dzięki czemu zespoły mogą uprościć zarządzanie danymi, zoptymalizować koszty i przyspieszyć wdrażanie sztucznej inteligencji. Usługa Data Lake usługi Microsoft Sentinel umożliwia architekturę jednoplatformową na potrzeby danych zabezpieczeń i umożliwia analitykom ujednolicone środowisko zapytań przy jednoczesnym wykorzystaniu bogatego ekosystemu łącznika usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz jezioro danych Microsoft Sentinel.
Dołączanie usługi Microsoft Sentinel do portalu usługi Microsoft Defender i integracja z usługą Microsoft Defender XDR
Rozważ dołączanie usługi Microsoft Sentinel do portalu usługi Microsoft Defender w celu ujednolicenia możliwości za pomocą usługi Microsoft Defender XDR, takich jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń.
Jeśli nie dołączysz usługi Microsoft Sentinel do portalu usługi Microsoft Defender, pamiętaj, że:
- Do lipca 2026 r. wszyscy klienci usługi Microsoft Sentinel korzystający z witryny Azure Portal zostaną przekierowani do portalu usługi Defender.
- Do tego czasu można użyć łącznika danych XDR usługi Defender do zintegrowania danych usługi Microsoft Defender z usługą Microsoft Sentinel w witrynie Azure Portal.
Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft bezproblemowo integruje się z usługą Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
Integrowanie usług zabezpieczeń firmy Microsoft
Usługa Microsoft Sentinel jest upoważniona przez składniki wysyłające dane do obszaru roboczego i jest silniejsza dzięki integracji z innymi usługi firmy Microsoft. Wszystkie dzienniki pozyskane do produktów, takich jak aplikacje Microsoft Defender dla Chmury, Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity, umożliwiają tym usługom tworzenie wykryć, a z kolei zapewniają te wykrycia w usłudze Microsoft Sentinel. Dzienniki można również pozyskiwać bezpośrednio do usługi Microsoft Sentinel, aby zapewnić pełniejszy obraz zdarzeń i zdarzeń.
Usługa Microsoft Sentinel udostępnia również więcej niż pozyskiwanie alertów i dzienników z innych źródeł:
| Capability | Description |
|---|---|
| Wykrywanie zagrożeń | Funkcje wykrywania zagrożeń za pomocą sztucznej inteligencji, umożliwiające tworzenie i prezentowanie interaktywnych wizualizacji za pomocą skoroszytów, uruchamianie podręczników w celu automatycznego działania na alertach, integrowanie modeli uczenia maszynowego w celu zwiększenia operacji zabezpieczeń oraz pozyskiwanie i pobieranie źródeł wzbogacania z platform analizy zagrożeń. |
| Badanie zagrożeń | Możliwości badania zagrożeń umożliwiające wizualizowanie i eksplorowanie alertów i jednostek, wykrywanie anomalii w zachowaniu użytkownika i jednostki oraz monitorowanie zdarzeń w czasie rzeczywistym podczas badania. |
| Zbieranie danych | Zbieraj dane między wszystkimi użytkownikami, urządzeniami, aplikacjami i infrastrukturą, zarówno lokalnie, jak i w wielu chmurach. |
| Odpowiedź na zagrożenia | Możliwości reagowania na zagrożenia, takie jak podręczniki integrujące się z usługami platformy Azure i istniejącymi narzędziami. |
| Integracje partnerów | Integruje się z platformami partnerskimi przy użyciu łączników danych usługi Microsoft Sentinel, zapewniając podstawowe usługi dla zespołów SOC. |
Tworzenie niestandardowych rozwiązań integracji (partnerów)
W przypadku partnerów, którzy chcą tworzyć niestandardowe rozwiązania zintegrowane z usługą Microsoft Sentinel, zobacz Najlepsze rozwiązania dla partnerów integrujących się z usługą Microsoft Sentinel.
Planowanie procesu zarządzania zdarzeniami i reagowania
Na poniższej ilustracji przedstawiono zalecane kroki w procesie zarządzania zdarzeniami i reagowania.
Poniższa tabela zawiera ogólne zadania zarządzania zdarzeniami i reagowania na nie oraz powiązane najlepsze rozwiązania. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń usługi Microsoft Sentinel w witrynie Azure Portal lub Zdarzenia i alerty w portalu usługi Microsoft Defender.
| Zadanie | Najlepsze rozwiązanie |
|---|---|
| Strona Przegląd zdarzeń | Przejrzyj zdarzenie na stronie Incydenty , która zawiera tytuł, ważność i powiązane alerty, dzienniki i wszystkie interesujące jednostki. Możesz również przejść od zdarzeń do zebranych dzienników i wszystkich narzędzi związanych ze zdarzeniem. |
| Korzystanie z grafu zdarzeń | Przejrzyj wykres incydentu , aby zobaczyć pełny zakres ataku. Następnie można utworzyć oś czasu zdarzeń i odkryć zakres łańcucha zagrożeń. |
| Przeglądanie zdarzeń pod kątem wyników fałszywie dodatnich | Użyj danych dotyczących kluczowych jednostek, takich jak konta, adresy URL, adres IP, nazwy hostów, działania, oś czasu, aby zrozumieć, czy masz wynik fałszywie dodatni , w którym przypadku można bezpośrednio zamknąć zdarzenie. Jeśli stwierdzisz, że incydent jest rzeczywiście prawdziwie dodatni, podejmij działania bezpośrednio z poziomu strony incydentów, aby przeanalizować dzienniki, jednostki oraz zbadać łańcuch zagrożeń. Po zidentyfikowaniu zagrożenia i utworzeniu planu działania użyj innych narzędzi w usłudze Microsoft Sentinel i innych usługach zabezpieczeń firmy Microsoft, aby kontynuować badanie. |
| Wizualizowanie informacji | Spójrz na pulpit nawigacyjny przeglądu usługi Microsoft Sentinel, aby poznać stan zabezpieczeń swojej organizacji. Aby uzyskać więcej informacji, zobacz Wizualizowanie zebranych danych. Oprócz informacji i trendów na stronie przeglądu usługi Microsoft Sentinel skoroszyty są cennymi narzędziami śledczymi. Na przykład użyj skoroszytu Investigation Insights, aby zbadać określone zdarzenia wraz z powiązanymi jednostkami i alertami. Ten skoroszyt umożliwia dokładniejsze zagłębienie się w jednostki, wyświetlając powiązane dzienniki, akcje i alerty. |
| Wyszukiwanie zagrożeń | Podczas badania i wyszukiwania głównych przyczyn uruchom wbudowane zapytania wyszukiwania zagrożeń i sprawdź wyniki pod kątem wszelkich wskaźników naruszenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń w usłudze Microsoft Sentinel. |
| Korzystanie z transmisji strumieniowej na żywo | Podczas badania lub po podjęciu kroków w celu skorygowania i wyeliminowania zagrożenia użyj transmisji strumieniowej na żywo. Transmisja strumieniowa na żywo umożliwia monitorowanie w czasie rzeczywistym, niezależnie od tego, czy istnieją jakiekolwiek złośliwe zdarzenia, czy też złośliwe zdarzenia są nadal kontynuowane. |
| Zachowanie jednostki | Zachowanie jednostki w usłudze Microsoft Sentinel umożliwia użytkownikom przeglądanie i badanie akcji i alertów dotyczących określonych jednostek, takich jak badanie kont i nazw hostów. Aby uzyskać więcej informacji, zobacz: - Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel - Badanie zdarzeń przy użyciu danych UEBA - Referencja wzbogaceń UEBA usługi Microsoft Sentinel |
| Watchlists | Użyj listy kontrolnej, która łączy dane z pozyskanych danych i źródeł zewnętrznych, takich jak dane wzbogacania. Na przykład utwórz listy zakresów adresów IP używanych przez organizację lub niedawno zakończonych pracowników. Użyj list do obejrzenia z podręcznikami, aby zebrać dane wzbogacania, takie jak dodawanie złośliwych adresów IP do list obserwowanych do użycia podczas wykrywania, wyszukiwania zagrożeń i badań. Podczas zdarzenia użyj list kontrolnych, aby zawierać dane badania, a następnie usuń je po zakończeniu badania, aby upewnić się, że poufne dane nie pozostaną w widoku. Aby uzyskać więcej informacji, zobacz Listy obserwacyjne w usłudze Microsoft Sentinel. |
Optymalizowanie zbierania i pozyskiwania danych
Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zbierania danych usługi Microsoft Sentinel, które obejmują określanie priorytetów łączników danych, filtrowanie dzienników i optymalizowanie pozyskiwania danych.
Szybsze wykonywanie zapytań języka zapytań Kusto
Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi języka zapytań Kusto, aby przyspieszyć wykonywanie zapytań.