當組織的安全性作業中心 (SOC) 要處理的資料量不斷成長時,規劃和監視部署狀態就至關重要。 雖然您可以使用 Microsoft Project、Microsoft Excel、Microsoft Teams 或 Azure DevOps 等一般工具來追蹤移轉流程,但這些工具並非專門用來追蹤安全性資訊與事件管理 (SIEM) 移轉。 為了協助您進行追蹤,我們在名為「Microsoft Sentinel 部署和移轉」的 Microsoft Sentinel 中提供專用活頁簿。
活頁簿可協助您:
- 視覺化移轉進度
- 部署和追蹤資料來源
- 部署和監視分析規則和事件
- 部署和使用活頁簿
- 部署和執行自動化
- 部署和自訂使用者與實體行為分析 (U E B A)
本文說明如何使用 Microsoft Sentinel 部署和移轉活頁簿來追蹤移轉、如何自訂和管理活頁簿,以及如何使用活頁簿索引標籤來部署和監視資料連線器、分析、事件、劇本、自動化規則、U E B A 和資料管理。 深入了解如何在 Microsoft Sentinel 中使用 Azure 監視器活頁簿。
部署活頁簿內容並檢視活頁簿
若要取得此活頁簿,請先從 Microsoft Sentinel 內容中樞安裝獨立項目。
在 Microsoft Sentinel 內容中樞中,篩選依照 [內容類型] = [活頁簿] 列出的內容,然後在搜尋列中輸入「移轉」。
在搜尋結果中,選取 [Microsoft Sentinel 部署和移轉] 活頁簿,然後選取 [安裝]。 Microsoft Sentinel 會部署活頁簿,並將活頁簿儲存在您的環境中。
在 Microsoft Sentinel 的 [威脅管理] 底下,選取 [活頁簿]> [範本]。
選取 [Microsoft Sentinel 部署和移轉] 活頁簿和 [檢視範本]。
部署關注清單
下一個步驟是從 Microsoft Sentinel GitHub 存放庫部署相關的關注清單。
- 在 Microsoft Sentinel GitHub 存放庫中,選取 [DeploymentandMigration] 資料夾,然後選取 [部署至 Azure],以開始在 Azure 中部署範本。
- 提供 Microsoft Sentinel 資源群組和工作區名稱。
- 選取 [檢閱和建立]。
- 資訊驗證後,選取 [建立]。
使用部署和移轉動作更新關注清單
此步驟對追蹤設定流程來說非常重要。 若您略過此步驟,此活頁簿就不會反映追蹤的項目。
若要使用部署和移轉動作更新關注清單:
- 在 Azure 或 Microsoft Defender 入口網站中,選取 [Microsoft Sentinel],然後選取 [關注清單]。
- 選取具有部署別名的關注清單。
- 然後選取 [更新關注清單和編輯關注清單]>。
- 提供部署和移轉所需動作的資訊。
- 選取 [儲存]。
您現在可以在移轉追蹤器活頁簿中檢視關注清單。 了解如何管理關注清單。
此外,您的小組可能會在部署流程期間更新或完成工作。 若要處理這些變更,請在找出新的使用案例或制定新要求時,更新現有的動作或新增動作。 若要更新或新增動作,請編輯您部署的 [部署] 關注清單。 若要簡化此流程,請在活頁簿中選取 [編輯部署關注清單],以直接從此活頁簿開啟關注清單。
檢視部署狀態
若要快速檢視部署進度,請在 [Microsoft Sentinel 部署和移轉] 活頁簿中選取 [部署],並向下捲動,以找出進度摘要。 此區域會顯示部署狀態,包括下列資訊:
- 資料表報告資料
- 報告資料的資料表數目
- 報告記錄數目,以及哪些資料表會報告記錄資料
- 已啟用的規則數目與未部署的規則數目
- 已部署的建議活頁簿
- 已部署的活頁簿總數
- 已部署的劇本總數
部署和監視資料連接器
若要監視已部署的資源並部署新的連接器,請在 [Microsoft Sentinel 部署和移轉] 活頁簿中,選取 [監視資料連接器 >]。 [監視] 檢視會列出:
- 目前的擷取趨勢
- 資料表擷取資料
- 每個資料表所報告的資料量
- 使用 Azure 監控器代理程式報告的端點 (AMA)
- 資源群組中的資料收集規則,以及連結至規則的裝置
- 資料連接器健康情況 (變更和失敗)
- 指定時間範圍內的健康情況記錄
![活頁簿的 [資料連接器] 索引標籤 [監視] 檢視的螢幕擷取畫面。](media/migration-track/migration-track-data-connectors.png#lightbox)
若要設定資料連接器:
- 選取 [設定] 檢視。
- 選取具有您要設定之連接器名稱的按鈕。
- 在開啟的連接器狀態畫面中設定連接器。 若您找不到您需要的連接器,請選取連接器名稱以開啟連接器資源庫或解決方案資源庫。
![活頁簿 [設定] 檢視的螢幕擷取畫面。](media/migration-track/migration-track-configure-data-connectors.png)
部署和監視分析和事件
在工作區中報告資料後,請設定和監視分析規則。 在 [Microsoft Sentinel 部署和移轉] 活頁簿中,選取 [分析] 索引標籤,以檢視所有已部署的規則範本和清單。 此檢視指出目前使用中的規則,以及規則產生事件的頻率。
![活頁簿 [分析] 索引標籤的螢幕擷取畫面。](media/migration-track/migration-track-analytics.png#lightbox)
若您需要更多涵蓋範圍,請選取左側表格下方的 [檢閱 MITRE 涵蓋範圍]。 使用此選項可定義在移轉專案的任何階段、哪些區域會收到更多涵蓋範圍,以及部署哪些規則。
![活頁簿 [MITRE 涵蓋範圍] 檢視的螢幕擷取畫面。](media/migration-track/migration-track-mitre.png#lightbox)
部署分析規則,且將 Defender 產品連接器設定為傳送警示時,即可在 [部署和進度摘要]> 下監視事件建立和頻率。 此區域會顯示依據產品、標題和分類產生警示的相關計量,以呈現 SOC 的健康情況,以及哪些警示需要最多關注。 若產生太多警示,請返回 [分析] 索引標籤修改邏輯。
![在活頁簿 [分析] 索引標籤下的進度摘要螢幕擷取畫面。](media/migration-track/migration-track-analytics-monitor.png#lightbox)
部署和使用活頁簿
若要將 Microsoft Sentinel 執行之資料擷取和偵測的相關資訊視覺化,請在 [Microsoft Sentinel 部署和移轉] 活頁簿中,選取 [活頁簿]。 與 [資料連接器] 索引標籤相似,使用 [監視] 和 [設定] 檢視來檢視監視和設定資訊。
以下是在 [活頁簿] 索引標籤中執行的一些實用工作:
若要檢視環境中所有活頁簿清單和要部署的活頁簿數目,請選取 [監視]。
若要在 [Microsoft Sentinel 部署和移轉] 活頁簿中檢視特定活頁簿,請選取活頁簿,然後選取 [開啟已選取的活頁簿]。
![在 [活頁簿] 索引標籤中選取活頁簿的螢幕擷取畫面。](media/migration-track/migration-track-workbook.png)
若您尚未部署活頁簿,請選取 [設定] 以檢視常用和建議活頁簿的清單。 若未列出活頁簿,請選取 [前往活頁簿資源庫] 或 [前往內容中樞] 以部署相關活頁簿。
![在 [活頁簿] 索引標籤檢視活頁簿的螢幕擷取畫面。](media/migration-track/migration-track-view-workbooks.png)
![在 [活頁簿] 索引標籤中選取活頁簿的螢幕擷取畫面。](media/migration-track/migration-track-workbook.png#lightbox)
部署與監視劇本,並將規則自動化
設定資料擷取、偵測和視覺化後,您現在就可以查看自動化。 在 [Microsoft Sentinel 部署和移轉] 活頁簿中選取 [自動化] 以檢視已部署的劇本,並查看哪些劇本目前已連線至自動化規則。 若存在自動化規則,活頁簿會醒目提示有關每個規則資訊,如下所示:
- 名稱
- 狀態
- 動作或規則的動作
- 上次修改規則的日期,以及修改規則的使用者
- 規則的建立日期
若要在活頁簿的目前區段中檢視、部署和測試自動化,請選取左下方的 [部署自動化資源]。
了解 Microsoft Sentinel 針對劇本和自動化規則所具備的 SOAR 功能。
![活頁簿 [自動化] 索引標籤的螢幕擷取畫面。](media/migration-track/migration-track-automation.png#lightbox)
部署和監視 U E B A
由於是在實體層級報告並偵測資料,因此監視實體行為和趨勢至關重要。 若要在 Microsoft Sentinel 中啟用 U E B A 功能,請在 [Microsoft Sentinel 部署和移轉] 活頁簿中,選取 [UEBA]。 您可以在此自訂實體頁面的實體時間表,並檢視哪些與實體相關的資料表中已經有資料填入。
![活頁簿 [U E B A] 索引標籤的螢幕擷取畫面。](media/migration-track/migration-track-ueba.png)
若要啟用 U E B A:
- 選取資料表清單上方的 [啟用 UEBA]。
- 若要啟用 U E B A,請選取 [開啟]。
- 選取您想要用來產生深入解析的資料來源。
- 選取套用。
啟用 U E B A 後,請監視並確認 Microsoft Sentinel 產生的是 U E B A 資料。
若要自訂時間表:
- 選取資料表清單上方的 [自訂實體時間表]。
- 建立自訂項目,或選取其中一個現成範本。
- 若要部署範本並完成精靈,請選取 [建立]。
設定和管理資料生命週期
當您部署或移轉至 Microsoft Sentinel 時,請務必管理傳入記錄的使用方式和生命週期。 在 [Microsoft Sentinel 部署和移轉] 活頁簿中,選取 [資料管理] 來檢視並設定資料表的保留和封存。
![活頁簿 [資料管理] 索引標籤的螢幕擷取畫面。](media/migration-track/migration-track-data-management.png#lightbox)
檢視下列相關資訊:
- 為基本記錄擷取設定的資料表
- 為分析層擷取設定的資料表
- 設定為封存的資料表
- 預設工作區保留的資料表
若要修改資料表的現有保留原則:
- 選取 [預設保留資料表] 檢視。
- 選取您要修改的資料表,然後選取 [更新保留]。 視需要編輯下列資訊:
- 工作區中的目前保留
- 封存中的目前保留
- 資料將存在於環境中的總天數
- 編輯 TotalRetention 值,以設定資料應該存在於環境中的總天數。
ArchiveRetention 值是將 InteractiveRetention 值減去 TotalRetention 值而得出的值。 如果您需要調整工作區保留,該變更不會影響包含已設定封存的資料表,且資料不會遺失。 若您編輯 InteractiveRetention 值但不變更 TotalRetention 值,Azure Log Analytics 會調整封存保留以補償變更。
若您想要在 UI 中進行變更,請選取 [UI 中的更新保留] 以開啟相關的頁面。
了解資料生命週期管理。
啟用移轉祕訣和指示
為了協助部署和移轉流程,活頁簿中包含說明如何使用不同索引標籤的祕訣,以及相關資源的連結。 這些祕訣是以 Microsoft Sentinel 移轉文件為基礎,且與您目前的 SIEM 相關。 若要啟用祕訣和指示,請在 [Microsoft Sentinel 部署和移轉] 活頁簿的右上方,將 [移轉提示] 和 [指示] 設定為 [是]。
下一步
在本文中,您已了解如何使用 [Microsoft Sentinel 部署和移轉] 活頁簿來追蹤移轉。