Справочник

Строгие требования к резидентности данных в нескольких географических регионах.

→Разверните несколько рабочих областей Microsoft Sentinel, по одной на каждый регион. Используйте Azure Lighthouse для централизованного управления.

Почему: Сохраняет данные журналов в пределах географических границ для соблюдения нормативных требований, позволяя центральному SOC работать со всеми рабочими областями.

Источник↗

Рабочая область Sentinel, поглощающая более 100 ГБ данных в день.

→Переключите ценовой уровень рабочей области Log Analytics с Pay-As-You-Go на Commitment Tiers.

Почему: Commitment Tiers обеспечивают значительную экономию средств для больших объемов предсказуемого поглощения данных по сравнению со стандартными ценами.

Большие объемы журналов (например, Windows Security Events) приводят к увеличению затрат на SIEM.

→1. Используйте Data Collection Rule (DCR) для фильтрации событий на источнике. 2. Настройте целевую таблицу для Basic Logs.

Почему: DCR снижают затраты на поглощение, собирая только необходимые события. Basic Logs сокращают затраты на хранение подробных данных, не требующих полного анализа.

Источник↗

Соответствие требованиям требует хранения данных более 2 лет (например, 7 лет).

→Настройте рабочую область с 90-дневным интерактивным хранением и общим 7-летним хранением (архивный уровень).

Почему: Балансирует немедленную доступность для поиска (интерактивную) с недорогим, долгосрочным хранением (архив). Доступ к архивным данным через Search Jobs.

Сбор событий безопасности с локальных серверов Windows и Linux.

→Установите агент Azure Arc для управления, затем разверните Azure Monitor Agent (AMA) через Arc.

Почему: Arc расширяет плоскость управления Azure на локальные среды, обеспечивая собственное управление и сбор данных с помощью современного агента AMA.

Поглощение журналов от сторонних устройств (например, брандмауэров), поддерживающих Syslog.

→Разверните выделенную виртуальную машину Linux в качестве Log Forwarder с AMA. Используйте формат CEF для структурированных данных безопасности.

Почему: Централизует сбор данных для устройств, которые не могут размещать агент. CEF предоставляет нормализованную, доступную для запросов схему для событий безопасности.

Поглощение инцидентов и оповещений из Microsoft Defender XDR в Sentinel.

→Включите коннектор данных Microsoft Defender XDR и его опцию создания инцидентов/двунаправленной синхронизации.

Почему: Создает унифицированную очередь инцидентов и обеспечивает синхронизацию изменений статуса между Sentinel и порталом Defender.

Фильтрация определенных Event ID Windows на источнике для уменьшения объема поглощаемых данных.

→Настройте Data Collection Rule (DCR) с запросом XPath для указания Event ID, которые нужно собирать.

Почему: Уменьшает объем и стоимость поглощения за счет фильтрации данных на исходном агенте до их отправки в рабочую область.

Требуется максимально быстрое время обнаружения критических событий.

→Используйте правило аналитики Near Real-Time (NRT).

Почему: Правила NRT выполняются каждую минуту, обеспечивая задержку обнаружения около 1-2 минут, что значительно быстрее минимальных 5 минут для запланированных правил.

Обнаружение порогового значения событий в течение определенного временного окна (например, атак методом перебора).

→Создайте запланированное правило аналитики с использованием KQL `summarize ... by bin(TimeGenerated, 5m), ...`.

Почему: Функция `bin()` критически важна для группировки событий в дискретные, непересекающиеся временные окна для точного обнаружения пороговых значений.

Обнаружение сложных, многоэтапных атак, которые могут быть пропущены отдельными оповещениями.

→Включите правила аналитики Fusion для расширенного обнаружения многоэтапных атак.

Почему: Fusion использует ML для корреляции низкодостоверных сигналов из нескольких источников данных в высокодостоверные инциденты, снижая усталость от оповещений.

Обнаружение внутренних угроз или скомпрометированных учетных записей на основе аномального поведения.

→Включите User and Entity Behavior Analytics (UEBA).

Почему: UEBA устанавливает поведенческие базовые показатели для пользователей и сущностей, затем отмечает значительные отклонения, не соответствующие конкретной логике правил.

Напишите единое, независимое от источника правило аналитики для нескольких источников данных (например, DNS от разных поставщиков).

→Используйте парсеры Advanced Security Information Model (ASIM) в запросе KQL.

Почему: ASIM предоставляет нормализованную схему, позволяя выполнять запросы к унифицированному представлению (например, `imDns`) вместо нескольких таблиц, специфичных для поставщиков.

Управление содержимым Sentinel (правилами аналитики, рабочими книгами) как кодом и развертывание в разных средах.

→Используйте репозитории Microsoft Sentinel для подключения репозитория GitHub или Azure DevOps.

Почему: Позволяет использовать рабочие процессы CI/CD, управление версиями и автоматизированное, согласованное развертывание содержимого безопасности (Sentinel-as-Code).

Автоматизация базовых задач по приоритизации инцидентов, таких как назначение владельцев, изменение статуса или добавление тегов.

→Используйте правило автоматизации, срабатывающее при создании инцидента.

Почему: Правила автоматизации являются легковесными и синхронными, идеальными для простых действий по приоритизации без накладных расходов Logic App.

Автоматизация сложных реакций на инциденты, включающих внешние системы (например, блокировка пользователя в Entra ID, отправка сообщения в Teams).

→Создайте Playbook (Azure Logic App) и запустите его из правила автоматизации.

Почему: Logic Apps предоставляют механизм оркестровки и коннекторы, необходимые для сложных, многоэтапных ответов и интеграций.

Понимание масштаба атаки путем визуализации связей между сущностями (пользователями, IP-адресами, хостами).

→Используйте Investigation Graph на странице сведений об инциденте.

Почему: Предоставляет интерактивную карту атаки, упрощая просмотр связей и переключение между связанными сущностями и оповещениями.

Стандартизация и ускорение общих рабочих процессов расследования для команды SOC.

→Создайте и поделитесь Promptbook в Microsoft Security Copilot.

Почему: Promptbooks объединяют серию запросов на естественном языке для создания управляемого, повторяемого процесса расследования для общих сценариев.

Централизованное управление разрешениями безопасности для всех продуктов Microsoft Defender.

→Активируйте унифицированную модель RBAC Microsoft Defender XDR.

Почему: Заменяет индивидуальные роли для конкретных продуктов единой, детализированной моделью разрешений, упрощая администрирование.

Автоматическая изоляция устройств или исправление файлов на основе серьезности оповещения.

→Настройте параметры автоматического расследования для групп устройств, установив уровень автоматизации на "Полный" или "Частичный".

Почему: Обеспечивает автоматическое исправление распространенных угроз. Группы устройств позволяют применять разные уровни автоматизации для рабочих станций и критически важных серверов.

Источник↗

Немедленно заблокируйте известный вредоносный хеш файла, IP-адрес или URL-адрес на всех конечных точках.

→Создайте Indicator of Compromise (IoC) с действием "Блокировать и устранить".

Почему: Обеспечивает быстрый, общеорганизационный механизм сдерживания, который работает быстрее, чем ожидание обновлений антивирусных сигнатур.

Усиление защиты конечных точек путем блокировки распространенных методов атаки (например, Office, создающий дочерние процессы).

→Разверните правила Attack Surface Reduction (ASR), начиная с режима "Аудит" для оценки влияния перед переключением в режим "Блок".

Почему: Правила ASR являются ключевым превентивным контролем. Режим аудита критически важен для предотвращения сбоев в работе бизнес-приложений во время развертывания.

Выполнить глубокое криминалистическое расследование или ручное исправление на активной конечной точке.

→Используйте функцию Live Response для установки удаленной оболочки и сбора криминалистических пакетов.

Почему: Предоставляет прямой доступ к устройству в реальном времени для выполнения команд, сбора файлов и запуска криминалистических скриптов.

Восстановить действия злоумышленника на конкретном скомпрометированном устройстве.

→Проанализируйте Device Timeline.

Почему: Предоставляет подробный, хронологический журнал событий всех процессов, сетевой активности, файлов и активности реестра на конечной точке.

Обнаружение кражи учетных данных и методов бокового перемещения, таких как Pass-the-Hash/Ticket.

→Разверните датчики Microsoft Defender for Identity на всех контроллерах домена.

Почему: Defender for Identity напрямую отслеживает трафик аутентификации локального AD, предоставляя высокоточные оповещения об атаках, основанных на идентификации.

Защита пользователей от неизвестного вредоносного ПО, встроенного в вложения электронной почты.

→Настройте политику безопасных вложений (Safe Attachments) с опцией динамической доставки (Dynamic Delivery).

Почему: Детонирует вложения в песочнице для проверки на вредоносное поведение, немедленно доставляя тело электронного письма, балансируя безопасность и продуктивность.

Найти и удалить все экземпляры фишингового письма из почтовых ящиков пользователей.

→Используйте Threat Explorer (или Advanced Hunting) для поиска письма и выполнения действия мягкого или жесткого удаления.

Почему: Threat Explorer — это мощный инструмент поиска и исправления для удаления активных угроз из всей почтовой системы организации.

Предотвращение эксфильтрации данных путем блокировки загрузки конфиденциальных файлов на неуправляемые (несоответствующие) устройства.

→Настройте политику сеансов Defender for Cloud Apps, используя Conditional Access App Control.

Почему: Действует как обратный прокси-сервер для проверки и контроля активности пользователей в реальном времени в сеансе облачного приложения, применяя политики доступа к данным.

Автоматическое сдерживание широкомасштабной, активной атаки, такой как вымогательское ПО, управляемое человеком.

→Включите Automatic Attack Disruption в Microsoft Defender XDR.

Почему: Использует кросс-доменные сигналы (XDR) для принятия решительных мер со скоростью машины, таких как отключение скомпрометированных учетных записей пользователей и изоляция устройств.

Проактивный поиск угроз по всем данным XDR (конечная точка, электронная почта, идентификация, облачные приложения).

→Используйте Advanced Hunting с языком запросов Kusto (KQL).

Почему: Предоставляет мощный интерфейс на основе запросов для поиска по 30 дням необработанной телеметрии, позволяя обнаруживать угрозы, которые обходят стандартные средства обнаружения.

Быстрое понимание полного масштаба сложного инцидента, включающего несколько оповещений и сущностей.

→Проанализируйте историю атаки (Attack Story) инцидента или график расследования (Investigation Graph).

Почему: Консолидирует и визуализирует всю цепочку атаки, показывая, как злоумышленник перемещался от начальной точки входа по различным активам.

Расширение защиты рабочих нагрузок Defender for Cloud на локальные и мультиоблачные серверы.

→Подключите серверы с помощью Azure Arc, затем включите план Defender for Servers.

Почему: Azure Arc действует как мост плоскости управления, проецируя ресурсы, не относящиеся к Azure, в Azure, чтобы ими можно было управлять и обеспечивать их безопасность с помощью Defender for Cloud.

Быстро понять назначение и потенциальную вредоносность сложного скрипта (например, PowerShell).

→Вставьте скрипт в Security Copilot и попросите проанализировать его функцию и риск.

Почему: Использует генеративный ИИ для деобфускации и объяснения кода, значительно ускоряя анализ артефактов без выполнения скрипта.

Немедленное сдерживание скомпрометированной учетной записи пользователя, которая синхронизируется из локального AD.

→Отключите учетную запись в локальном Active Directory, затем запустите немедленную синхронизацию AD Connect.

Почему: Для синхронизированных удостоверений локальный AD является источником полномочий. Отключение учетной записи там является наиболее эффективным действием по сдерживанию.

Поглощение внешней информации об угрозах из TIP с использованием отраслевого стандарта протокола.

→Используйте коннектор данных "Threat Intelligence - TAXII" в Sentinel.

Почему: Подключается к серверам TAXII 2.x для автоматического импорта индикаторов в формате STIX, что позволяет использовать данные об угрозах.

Источник↗

Корреляция известных индикаторов угроз (IP-адресов, доменов, хешей) со всеми поглощенными источниками журналов.

→Поглотите индикаторы в таблицу ThreatIntelligenceIndicator и включите встроенные правила аналитики "TI map...".

Почему: Эти правила эффективно сопоставляют данные об угрозах с нормализованными полями сущностей в журналах для генерации оповещений об известной вредоносной активности.

Использование пользовательского списка индикаторов (например, IP-адресов деловых партнеров, учетных записей уволенных сотрудников) для оповещения или обогащения данных.

→Создайте Watchlist и объедините ее с данными в запросах KQL.

Почему: Watchlists действуют как простое хранилище пар "ключ-значение" для пользовательских данных, легко используемых в запросах для логики обнаружения или для уменьшения ложных срабатываний.

Успешный поисковый запрос KQL необходимо сохранить и ввести в эксплуатацию для автоматического обнаружения.

→1. Сохраните запрос в разделе "Hunting". 2. Повысьте поисковый запрос до запланированного правила аналитики.

Почему: Формализует переход от разового обнаружения (hunting) к автоматизированному, повторяемому обнаружению (analytics rule).

Оценка покрытия обнаружения и выявление пробелов на основе фреймворка MITRE ATT&CK.

→Используйте раздел MITRE ATT&CK в Sentinel. Пометьте правила аналитики соответствующими тактиками/техниками.

Почему: Предоставляет визуальную тепловую карту возможностей обнаружения, сопоставленных с отраслевым стандартом, направляя разработку средств обнаружения.

Сохранение интересных результатов или доказательств, найденных во время поиска, для последующего анализа.

→Создайте Hunting Bookmark из результатов запроса KQL.

Почему: Захватывает запрос, результаты и контекст сущности, позволяя аналитику сохранять находки без немедленного создания полноценного инцидента.