Nachverfolgen Ihrer Microsoft Sentinel Migration mit einer Arbeitsmappe

Da das Security Operations Center (SOC) Ihres organization wachsende Datenmengen verarbeitet, ist es wichtig, Ihre Bereitstellung status zu planen und zu überwachen. Sie können Ihren Migrationsprozess zwar mit generischen Tools wie Microsoft Project, Microsoft Excel, Microsoft Teams oder Azure DevOps nachverfolgen, aber diese Tools sind nicht spezifisch für die Siem-Migrationsnachverfolgung (Security Information and Event Management). Um Ihnen beim Nachverfolgen zu helfen, stellen wir eine dedizierte Arbeitsmappe in Microsoft Sentinel mit dem Namen Microsoft Sentinel Bereitstellung und Migration bereit.

Die Arbeitsmappe unterstützt Sie bei folgenden Aktionen:

• Visualisieren des Migrationsfortschritts
• Bereitstellen und Nachverfolgen von Datenquellen
• Bereitstellen und Überwachen von Analyseregeln und Incidents
• Bereitstellen und Verwenden von Arbeitsmappen
• Bereitstellen und Durchführen der Automatisierung
• Bereitstellen und Anpassen von Benutzer- und Entitätsverhaltensanalysen (U E B A)

In diesem Artikel wird beschrieben, wie Sie Ihre Migration mit der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration nachverfolgen, die Arbeitsmappe anpassen und verwalten und wie Sie die Arbeitsmappenregister zum Bereitstellen und Überwachen von Datenconnectors, Analysen, Incidents, Playbooks, Automatisierungsregeln, U E B A und Datenverwaltung verwenden. Erfahren Sie mehr über die Verwendung von Azure Monitor-Arbeitsmappen in Microsoft Sentinel.

Bereitstellen des Arbeitsmappeninhalts und Anzeigen der Arbeitsmappe

Um die Arbeitsmappe abzurufen, installieren Sie zuerst das eigenständige Element aus dem Inhaltshub in Microsoft Sentinel.

1. Filtern Sie im Microsoft Sentinel Inhaltshub den nach Inhaltstyp = Arbeitsmappen aufgelisteten Inhalt, und geben Sie dann migration in die Suchleiste ein.

2. Wählen Sie in den Suchergebnissen die Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration und dann Installieren aus. Microsoft Sentinel stellt die Arbeitsmappe bereit und speichert sie in Ihrer Umgebung.

3. Wählen Sie Microsoft Sentinel unter Bedrohungsverwaltung die Option Arbeitsmappenvorlagen> aus.

4. Wählen Sie die Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration und die Vorlage Ansicht aus.

Bereitstellen der Watchlist

Der nächste Schritt besteht darin, die zugehörige Watchlist aus dem Microsoft Sentinel GitHub-Repository bereitzustellen.

1. Wählen Sie im Microsoft Sentinel GitHub-Repository den Ordner DeploymentandMigration und dann Deploy to Azure aus, um mit der Vorlagenbereitstellung in Azure zu beginnen.
2. Geben Sie den Namen der Microsoft Sentinel Ressourcengruppe und des Arbeitsbereichs an.
3. Wählen Sie Überprüfen und erstellen aus.
4. Nachdem die Informationen überprüft wurden, wählen Sie Erstellen aus.

Aktualisieren der Watchlist mit Bereitstellungs- und Migrationsaktionen

Dieser Schritt ist für den Einrichtungsprozess der Nachverfolgung von entscheidender Bedeutung. Wenn Sie diesen Schritt überspringen, spiegelt die Arbeitsmappe nicht die Elemente für die Nachverfolgung wider.

So aktualisieren Sie die Watchlist mit Bereitstellungs- und Migrationsaktionen:

1. Wählen Sie im Azure- oder Microsoft Defender-Portal Microsoft Sentinel und dann Watchlist aus.
2. Wählen Sie die Watchlist mit dem Bereitstellungsalias aus.
3. Wählen Sie dann Watchlistelemente > aktualisieren bearbeiten aus.
4. Geben Sie die Informationen für die Aktionen an, die für die Bereitstellung und Migration erforderlich sind.
5. Klicken Sie auf Speichern.

Sie können nun die Watchlist in der Arbeitsmappe für die Migrationsnachverfolgung anzeigen. Erfahren Sie, wie Sie Watchlists verwalten.

Darüber hinaus kann Ihr Team Aufgaben während des Bereitstellungsprozesses aktualisieren oder abschließen. Um diese Änderungen zu beheben, aktualisieren Sie vorhandene Aktionen, oder fügen Sie neue Aktionen hinzu, wenn Sie neue Anwendungsfälle identifizieren oder neue Anforderungen festlegen. Um Aktionen zu aktualisieren oder hinzuzufügen, bearbeiten Sie die bereitgestellte Bereitstellungs-Watchlist . Um den Vorgang zu vereinfachen, wählen Sie in der Arbeitsmappe Bereitstellungs-Watchlist bearbeiten aus, um die Watchlist direkt aus der Arbeitsmappe zu öffnen.

Anzeigen von bereitstellungs status

Um den Bereitstellungsfortschritt schnell anzuzeigen, wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration die Option Bereitstellung aus, und scrollen Sie nach unten, um die Zusammenfassung des Fortschritts zu finden. In diesem Bereich werden die status der Bereitstellung angezeigt, einschließlich der folgenden Informationen:

• Tabellen, die Daten melden
• Anzahl von Tabellen, die Daten melden
• Anzahl der gemeldeten Protokolle und der Tabellen, die die Protokolldaten melden
• Anzahl aktivierter Regeln im Vergleich zu nicht bereitgestellten Regeln
• Empfohlene Bereitgestellte Arbeitsmappen
• Gesamtanzahl der bereitgestellten Arbeitsmappen
• Gesamtanzahl der bereitgestellten Playbooks

Bereitstellen und Überwachen von Datenconnectors

Um bereitgestellte Ressourcen zu überwachen und neue Connectors bereitzustellen, wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migrationdie Option Datenconnectors > überwachen aus. Die Ansicht Monitor listet Folgendes auf:

• Aktuelle Erfassungstrends
• Tabellen zum Erfassen von Daten
• Wie viele Daten werden von jeder Tabelle gemeldet?
• Endpunkte, die mit Azure Monitor Agent (AMA) berichten
• Datensammlungsregeln in der Ressourcengruppe und den geräten, die mit den Regeln verknüpft sind
• Integrität des Datenconnectors (Änderungen und Fehler)
• Integritätsprotokolle innerhalb des angegebenen Zeitbereichs

So konfigurieren Sie einen Datenconnector:

1. Wählen Sie die Ansicht Konfigurieren aus.
2. Wählen Sie die Schaltfläche mit dem Namen des Connectors aus, den Sie konfigurieren möchten.
3. Konfigurieren Sie den Connector im status Bildschirm, der geöffnet wird. Wenn Sie einen benötigten Connector nicht finden können, wählen Sie den Namen des Connectors aus, um den Connectorkatalog oder Lösungskatalog zu öffnen.

Bereitstellen und Überwachen von Analysen und Vorfällen

Wenn die Daten im Arbeitsbereich gemeldet werden, konfigurieren und überwachen Sie Analyseregeln. Wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration die Registerkarte Analyse aus, um alle bereitgestellten Regelvorlagen und Listen anzuzeigen. Diese Ansicht gibt an, welche Regeln derzeit verwendet werden und wie oft die Regeln Incidents generieren.

Wenn Sie mehr Abdeckung benötigen, wählen Sie unter der Tabelle auf der linken Seite Die MITRE-Abdeckung überprüfen aus. Verwenden Sie diese Option, um zu definieren, welche Bereiche in jeder Phase des Migrationsprojekts eine größere Abdeckung erhalten und welche Regeln bereitgestellt werden.

Wenn Sie die Analyseregeln bereitstellen und der Defender-Produktconnector so konfiguriert ist, dass die Warnungen gesendet werden, überwachen Sie die Erstellung von Vorfällen und die Häufigkeit unter Bereitstellungszusammenfassung > des Fortschritts. In diesem Bereich werden Metriken zur Warnungsgenerierung nach Produkt, Titel und Klassifizierung angezeigt, um die Integrität des SOC anzugeben und anzugeben, welche Warnungen die meiste Aufmerksamkeit erfordern. Wenn Warnungen zu viel Volumen generieren, kehren Sie zur Registerkarte Analyse zurück, um die Logik zu ändern.

Bereitstellen und Verwenden von Arbeitsmappen

Zum Visualisieren von Informationen zur Datenerfassung und -erkennung, die von Microsoft Sentinel ausgeführt wird, wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migrationdie Option Arbeitsmappen aus. Verwenden Sie ähnlich wie auf der Registerkarte Datenconnectors die Ansichten Überwachen und Konfigurieren , um Überwachungs- und Konfigurationsinformationen anzuzeigen.

Hier sind einige nützliche Aufgaben, die auf der Registerkarte Arbeitsmappen ausgeführt werden müssen:

• Um eine Liste aller Arbeitsmappen in der Umgebung und die Anzahl der bereitgestellten Arbeitsmappen anzuzeigen, wählen Sie Überwachen aus.

• Um eine bestimmte Arbeitsmappe innerhalb der Microsoft Sentinel Arbeitsmappe Bereitstellung und Migration anzuzeigen, wählen Sie eine Arbeitsmappe und dann Ausgewählte Arbeitsmappe öffnen aus.

  

• Wenn Sie noch keine Arbeitsmappen bereitgestellt haben, wählen Sie Konfigurieren aus, um eine Liste häufig verwendeter und empfohlener Arbeitsmappen anzuzeigen. Wenn eine Arbeitsmappe nicht aufgeführt ist, wählen Sie Zum Arbeitsmappenkatalog wechseln oder Zum Inhaltshub wechseln aus, um die entsprechende Arbeitsmappe bereitzustellen.

  

Bereitstellen und Überwachen von Playbooks und Automatisierungsregeln

Wenn Sie Datenerfassung, Erkennungen und Visualisierungen konfigurieren, können Sie sich jetzt mit der Automatisierung befassen. Wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migrationdie Option Automatisierung aus, um bereitgestellte Playbooks anzuzeigen und zu sehen, welche Playbooks derzeit mit einer Automatisierungsregel verbunden sind. Wenn Automatisierungsregeln vorhanden sind, werden in der Arbeitsmappe die folgenden Informationen zu den einzelnen Regeln hervorgehoben:

• Name
• Status
• Aktion oder Aktionen der Regel
• Das letzte Datum, an dem die Regel geändert wurde, und der Benutzer, der die Regel geändert hat
• Das Datum, an dem die Regel erstellt wurde

Wählen Sie unten links Automatisierungsressourcen bereitstellen aus, um die Automatisierung im aktuellen Abschnitt der Arbeitsmappe anzuzeigen, bereitzustellen und zu testen.

Erfahren Sie mehr über Microsoft Sentinel SOAR-Funktionen für Playbooks und Automatisierungsregeln.

Bereitstellen und Überwachen von U E B A

Da Datenberichte und -erkennungen auf Entitätsebene erfolgen, ist es wichtig, das Verhalten und die Trends von Entitäten zu überwachen. Wählen Sie zum Aktivieren des U E B A-Features in Microsoft Sentinel in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migrationdie Option UEBA aus. Hier können Sie die Entitätszeitachsen für Entitätsseiten anpassen und anzeigen, welche entitätsbezogenen Tabellen mit Daten aufgefüllt werden.

So aktivieren Sie U E B A:

1. Wählen Sie über der Liste der Tabellen UEBA aktivieren aus.
2. Um U E B A zu aktivieren, wählen Sie Ein aus.
3. Wählen Sie die Datenquellen aus, die Sie zum Generieren von Erkenntnissen verwenden möchten.
4. Wählen Sie Anwenden aus.

Nachdem Sie U E B A aktiviert haben, überwachen Und stellen Sie sicher, dass Microsoft Sentinel U E B A-Daten generiert.

So passen Sie die Zeitleiste an:

1. Wählen Sie Über der Liste der Tabellen die Option Entitätszeitachse anpassen aus.
2. Erstellen Sie ein benutzerdefiniertes Element, oder wählen Sie eine der vordefinierten Vorlagen aus.
3. Wählen Sie Erstellen aus, um die Vorlage bereitzustellen und den Assistenten abzuschließen.

Erfahren Sie mehr über U E B A, oder erfahren Sie, wie Sie die Zeitleiste anpassen.

Konfigurieren und Verwalten des Datenlebenszyklus

Wenn Sie Microsoft Sentinel bereitstellen oder migrieren, ist es wichtig, die Nutzung und den Lebenszyklus der eingehenden Protokolle zu verwalten. Wählen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration die Option Datenverwaltung aus, um die Tabellenaufbewahrung und -archivierung anzuzeigen und zu konfigurieren.

Informationen zu folgenden Themen anzeigen:

• Für die grundlegende Protokollerfassung konfigurierte Tabellen
• Für die Erfassung der Analyseebene konfigurierte Tabellen
• Für die Archivierung konfigurierte Tabellen
• Tabellen zur Standardmäßigen Arbeitsbereichsaufbewahrung

So ändern Sie die vorhandene Aufbewahrungsrichtlinie für Tabellen:

1. Wählen Sie die Ansicht Standardaufbewahrungstabellen aus.
2. Wählen Sie die Tabelle aus, die Sie ändern möchten, und wählen Sie Aufbewahrung aktualisieren aus. Bearbeiten Sie die folgenden Informationen nach Bedarf:
   • Aktuelle Aufbewahrung im Arbeitsbereich
   • Aktuelle Aufbewahrung im Archiv
   • Gesamtzahl der Tage, an den sich die Daten in der Umgebung befinden
3. Bearbeiten Sie den TotalRetention-Wert , um eine neue Gesamtanzahl von Tagen festzulegen, für die die Daten in der Umgebung vorhanden sein sollen.

Der ArchiveRetention-Wert wird berechnet, indem der TotalRetention-Wert vom InteractiveRetention-Wert subtrahiert wird. Wenn Sie die Aufbewahrungsdauer des Arbeitsbereichs anpassen müssen, wirkt sich die Änderung nicht auf Tabellen aus, die konfigurierte Archive enthalten, und Daten gehen nicht verloren. Wenn Sie den InteractiveRetention-Wert bearbeiten und sich der TotalRetention-Wert nicht ändert, passt Azure Log Analytics die Archivaufbewahrung an, um die Änderung zu kompensieren.

Wenn Sie lieber Änderungen an der Benutzeroberfläche vornehmen möchten, wählen Sie Aufbewahrung aktualisieren in der Benutzeroberfläche aus, um die entsprechende Seite zu öffnen.

Erfahren Sie mehr über die Verwaltung des Datenlebenszyklus.

Tipps und Anweisungen zum Aktivieren der Migration

Zur Unterstützung des Bereitstellungs- und Migrationsprozesses enthält die Arbeitsmappe Tipps zur Verwendung der verschiedenen Registerkarten sowie Links zu relevanten Ressourcen. Die Tipps basieren auf Microsoft Sentinel Migrationsdokumentation und sind für Ihr aktuelles SIEM relevant. Um Tipps und Anweisungen zu aktivieren, legen Sie in der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration oben rechts MigrationsInfos und Anweisung auf Ja fest.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Ihre Migration mit der Arbeitsmappe Microsoft Sentinel Bereitstellung und Migration nachverfolgen.

• Migrieren von ArcSight-Erkennungsregeln
• Migrieren von Splunk-Erkennungsregeln
• Migrieren von QRadar-Erkennungsregeln