Microsoft Sentinel 的技術文件會提供最佳做法指引。 本文重點說明部署、管理和使用 Microsoft Sentinel 時要使用的一些重要指導。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender 全面偵測回應或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
若要開始使用 Microsoft Sentinel,請參閱 部署指南,其中涵蓋規劃、部署及微調Microsoft Sentinel 部署的高階步驟。 從該指南中,選取提供的連結,以尋找部署中每個階段的詳細指導。
採用單一平台架構
Microsoft Sentinel 與現代數據湖集成,提供經濟實惠的長期存儲,使團隊能夠簡化數據管理、優化成本並加速 AI 的採用。 Microsoft Sentinel 資料湖可啟用安全性資料的單一平臺架構,並為分析師提供統一的查詢體驗,同時利用 Microsoft Sentinel 豐富的連接器生態系統。 如需詳細資訊,請參閱 Microsoft Sentinel 資料湖 。
將Microsoft Sentinel 上線至 Microsoft Defender 入口網站,並與 Microsoft Defender XDR 整合
請考慮將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站,以整合Microsoft Defender XDR 的功能,例如事件管理和進階搜捕。
如果您未將Microsoft Sentinel 上線至 Microsoft Defender 入口網站,請注意:
- 到 2026 年 7 月,使用 Azure 入口網站的所有Microsoft Sentinel 客戶都會重新導向至 Defender 入口網站。
- 在此之前,您可以使用 Defender XDR 數據連接器 ,在 Azure 入口網站中整合 Microsoft Defender 服務數據與 Microsoft Sentinel。
下圖顯示 MicrosoftXDR 解決方案如何順暢地與 Microsoft Sentinel 整合。
如需詳細資訊,請參閱下列文章:
- Microsoft Defender XDR 與 Microsoft Sentinel 整合
- 將 Microsoft Sentinel 連接至 Microsoft Defender XDR
- Microsoft Defender 入口網站中的 Microsoft Sentinel
整合Microsoft安全性服務
Microsoft Sentinel 受傳送資料至工作區的元件支援,並且透過與其他 Microsoft 服務的整合來強化。 任何擷取到產品中的記錄,例如 Microsoft Defender for Cloud Apps、適用於端點的 Defender Microsoft Defender,以及適用於身分識別的 Microsoft Defender,允許這些服務建立偵測,並接著將這些偵測提供給 Microsoft Sentinel。 記錄也可以直接內嵌至 Microsoft Sentinel 來幫助您更完整地了解活動和事件。
除了從其他來源擷取警示和記錄之外,Microsoft Sentinel 還提供:
| 能力 | Description |
|---|---|
| 威脅偵測 | 具有人工智慧的威脅偵測功能,可讓您透過活頁簿建置和呈現互動式視覺效果、執行教戰手冊以自動處理警示、整合機器學習模型以增強安全性作業,以及從威脅情報平台擷取和擷取擴充摘要。 |
| 威脅調查 | 威脅調查功能 可讓您視覺化和探索警示和實體、偵測使用者和實體行為的異常,以及在調查期間監視即時事件。 |
| 資料收集 | 收集 所有使用者、裝置、應用程式和基礎架構的資料,包括內部部署和多個雲端。 |
| 威脅回應 | 威脅回應功能,例如與 Azure 服務和現有工具整合的劇本。 |
| 合作夥伴整合 | 使用 Microsoft Sentinel 資料連接器與合作夥伴平台整合,為 SOC 團隊提供基本服務。 |
建立自訂整合解決方案 (合作夥伴)
若合作夥伴希望建立與 Microsoft Sentinel 整合的自訂解決方案,請參閱《合作夥伴整合 Microsoft Sentinel 的最佳做法》。
規劃事件管理和回應程式
下圖顯示事件管理和回應流程的建議步驟。
下表提供高階事件管理和回應工作和相關最佳做法。 如需詳細資訊,請參閱 Azure 入口網站中的 Microsoft Sentinel 事件調查 或 Microsoft Defender 入口網站中的事件和警示。
| 任務 | 最佳做法 |
|---|---|
| 檢閱事件頁面 | 在 [ 事件 ] 頁面上檢閱事件,其中列出標題、嚴重性和相關警示、記錄,以及任何感興趣的實體。 您也可以從事件跳到收集的記錄,以及與事件相關的任何工具。 |
| 使用事件圖表 | 檢閱 事件的事件圖表 ,以查看攻擊的完整範圍。 然後,您可以建構事件的時程表,並探索威脅鏈結的範圍。 |
| 檢閱誤判為真的事件 | 使用重要實體的相關資料,例如帳戶、URL、IP 位址、主機名稱、活動、時間表,以了解您手邊是否存在誤判為真,在此情況下您可以直接關閉事件。 如果您發現該事件是確判為真的事件,請直接從 [事件] 頁面採取行動以調查記錄、實體,並探索威脅鏈。 在您識別出威脅並建立行動計劃之後,請使用 Microsoft Sentinel 的其他安全性服務和其他工具繼續調查。 |
| 視覺化資訊 | 請查看 Microsoft Sentinel 概觀儀錶板,以了解組織的安全性狀態。 如需詳細資訊,請參閱 將收集的資料可視化。 除了 Microsoft Sentinel 概觀頁面上的資訊和趨勢之外,活頁簿也是有價值的調查工具。 例如,使用 [調查深入解析] 活頁簿來調查特定事件和任何相關聯的實體和警示。 此活頁簿可顯示相關記錄、動作和警示,幫助您深入了解實體。 |
| 搜尋威脅 | 調查並搜尋根本原因時,請執行內建的威脅搜捕查詢,並檢查是否有任何入侵指標的結果。 如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅搜捕。 |
| 使用即時串流 | 在調查期間,或在採取步驟來補救和消除威脅之後,請使用 livestream。 即時串流可讓您即時監視是否有任何揮之不去的惡意事件,或惡意事件仍在繼續。 |
| 實體行為 | Microsoft Sentinel 中的實體行為可讓使用者檢閱和調查特定實體的動作和警示,例如調查帳戶和主機名稱。 如需詳細資訊,請參閱 - 在 Microsoft Sentinel 中啟用使用者與實體行為分析 (UEBA) - 使用 UEBA 資料調查事件 - Microsoft Sentinel UEBA 擴充參考 |
| Watchlists | 使用結合來自內嵌資料和外部來源之資料 (如擴充資料) 的關注清單。 例如,建立您的組織或最近離職員工所使用的 IP 位址範圍清單。 搭配劇本使用關注清單來收集擴充資料,例如將惡意 IP 位址新增至關注清單,以便在偵測、威脅搜捕和調查期間使用。 在事件期間,使用監看清單來包含調查資料,然後在調查完成時加以刪除,以確保敏感性資料不會一直出現在檢視中。 如需詳細資訊,請參閱 Microsoft Sentinel 中的監看清單。 |
優化數據收集和擷取
檢閱Microsoft Sentinel 數據收集最佳做法,包括將數據連接器優先順序、篩選記錄,以及優化數據擷取。
提升您 Kusto 查詢語言的運行速度
檢閱 Kusto 查詢語言最佳做法 ,讓查詢更快。