Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die operativen Aktivitäten aufgeführt, für die Sicherheitsbetriebsteams (Security Operations, SOC) und Sicherheitsadministratoren im Rahmen ihrer regulären Sicherheitsaktivitäten mit Microsoft Sentinel geplant und ausgeführt werden. Weitere Informationen zum Verwalten Von Sicherheitsvorgängen finden Sie unter Übersicht über Sicherheitsvorgänge.
Tägliche Aufgaben
Planen Sie die folgenden Aktivitäten täglich.
| Aufgabe | description |
|---|---|
| Selektieren und Untersuchen von Vorfällen | Überprüfen Sie die Seite Microsoft Sentinel Incidents, um nach neuen Incidents zu suchen, die von den aktuell konfigurierten Analyseregeln generiert wurden, und beginnen Sie mit der Untersuchung neuer Vorfälle. Weitere Informationen finden Sie unter: |
| Erkunden von Suchabfragen und Lesezeichen | Untersuchen Sie die Ergebnisse für alle integrierten Abfragen, und aktualisieren Sie vorhandene Huntingabfragen und Lesezeichen. Generieren Sie neue Incidents manuell, oder aktualisieren Sie ggf. alte Incidents. Weitere Informationen finden Sie unter: |
| Analyseregeln | Überprüfen und aktivieren Sie ggf. neue Analyseregeln, einschließlich neu veröffentlichter oder neu verfügbarer Regeln aus kürzlich bereitgestellten Lösungen. Weitere Informationen finden Sie unter: Überwachen Sie die Integrität, und optimieren Sie die Ausführung Ihrer Analyseregeln. Weitere Informationen finden Sie unter: |
| Datenconnectors | Überprüfen Sie die Integritäts-status Ihrer Datenconnectors, um sicherzustellen, dass Daten fließen. Suchen Sie nach neuen Connectors, und überprüfen Sie die Erfassung, um sicherzustellen, dass festgelegte Grenzwerte nicht überschritten werden. Weitere Informationen finden Sie unter Überwachen der Integrität Ihrer Datenconnectors. |
| Azure Monitor-Agent | Überprüfen Sie, ob Server und Arbeitsstationen aktiv mit dem Arbeitsbereich verbunden sind, und beheben Sie alle fehlerhaften Verbindungen. Weitere Informationen finden Sie unter Azure Übersicht über den Monitor-Agent. |
| Playbookfehler | Überprüfen Sie den Ausführungsstatus des Playbooks, und beheben Sie Fehler. Weitere Informationen finden Sie unter Tutorial: Reagieren auf Bedrohungen mithilfe von Playbooks mit Automatisierungsregeln in Microsoft Sentinel. |
Wöchentliche Aufgaben
Planen Sie die folgenden Aktivitäten wöchentlich.
| Aufgabe | description |
|---|---|
| Inhaltsüberprüfung von Lösungen oder eigenständigen Inhalten | Rufen Sie alle Inhaltsupdates für Ihre installierten Lösungen oder eigenständige Inhalte vom Inhaltshub ab. Überprüfen Sie neue Lösungen oder eigenständige Inhalte, die für Ihre Umgebung von Nutzen sein könnten, z. B. Analyseregeln, Arbeitsmappen, Huntingabfragen oder Playbooks. |
| Microsoft Sentinel-Überwachung | Überprüfen Sie Microsoft Sentinel Aktivität, um zu sehen, wer Ressourcen wie Analyseregeln, Lesezeichen usw. aktualisiert oder gelöscht hat. Weitere Informationen finden Sie unter Überwachen Microsoft Sentinel Abfragen und Aktivitäten. |
Monatliche Aufgaben
Planen Sie die folgenden Aktivitäten monatlich.
| Aufgabe | description |
|---|---|
| Überprüfen des Benutzerzugriffs | Überprüfen Sie die Berechtigungen für Ihre Benutzer, und suchen Sie nach inaktiven Benutzern. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel. |
| Überprüfung des Log Analytics-Arbeitsbereichs | Überprüfen Sie, dass die Datenaufbewahrungsrichtlinie des Log Analytics-Arbeitsbereichs weiterhin der Richtlinie Ihres organization entspricht. Weitere Informationen finden Sie unter Datenaufbewahrungsrichtlinie und Integrieren Azure Data Explorer für die langfristige Protokollaufbewahrung. |