Compartilhar via


Configurar o conteúdo do Microsoft Sentinel

Na etapa anterior de implantação, você habilitou o Microsoft Sentinel, o monitoramento de integridade e as soluções necessárias. Neste artigo, você aprenderá a configurar os diferentes tipos de conteúdo de segurança do Microsoft Sentinel, que permitem detectar, monitorar e responder a ameaças à segurança nos sistemas. Este artigo faz parte do guia de implantação do Microsoft Sentinel.

Configurar o conteúdo de segurança

Etapa Descrição
Configurar conectores de dados Com base nas fontes de dados que você selecionou ao planejar a implantação e depois de habilitar as soluções relevantes, agora você pode instalar ou configurar os conectores de dados.

- Se estiver usando um conector existente, localize seu conector nesta lista completa de conectores de dados.
- Se estiver criando um conector personalizado, use estes recursos.
- Se estiver configurando um conector para ingerir registros CEF ou Syslog, examine estas opções.
Configurar regras de análise Depois de configurar o Microsoft Sentinel para coletar dados de toda a sua organização, você pode começar a usar as regras de análise para detectar ameaças. Selecione as etapas necessárias para configurar suas regras de análise:

– Criar regras agendadas com base em modelos ou do zero: crie regras de análise para ajudar a descobrir ameaças e comportamentos anormais em seu ambiente.
- Mapear campos de dados para entidades: adicione ou altere mapeamentos de entidades em uma regra de análise.
- Exibir detalhes personalizados em alertas: adicione ou altere detalhes personalizados em uma regra de análise.
- Personalizar os detalhes do alerta: substitua as propriedades padrão dos alertas pelo conteúdo dos resultados da consulta subjacente.
- Exportar e importar regras de análise: exporte as regras de análise para arquivos de modelo do ARM (Azure Resource Manager) e importe regras desses arquivos. A ação de exportação cria um arquivo JSON no local de downloads do navegador, que pode ser renomeado, movido e manipulado como qualquer outro arquivo.
- Criar regras de análise de detecção quase em tempo real (NRT): crie regras de análise quase em tempo real para detecção de ameaças atualizada e pronta para uso. Esse tipo de regra foi desenvolvido para ser altamente responsivo, executando a consulta em intervalos de apenas um minuto.
- Trabalhar com regras de análise de detecção de anomalias: trabalhe com modelos de anomalia incorporados que usam milhares de fontes de dados e milhões de eventos ou altere limites e parâmetros para as anomalias na interface do usuário.
- Gerenciar versões de modelos para regras de análise agendadas: acompanhe as versões dos modelos de regras de análise e reverta as regras ativas para as versões de modelos existentes ou atualize-as para novas versões.
- Lidar com o atraso na ingestão em regras de análise agendadas: saiba como o atraso na ingestão pode afetar as regras de análise agendadas e como você pode corrigi-las para cobrir essas lacunas.
Configurar regras de automação Crie regras de automação. Defina os gatilhos e as condições que determinam quando a regra de automação é executada, as várias ações que você pode fazer com que a regra execute e os demais recursos e funcionalidades.
Configurar guias estratégicos Um guia estratégico é um conjunto de ações de correção que você executa a partir do Microsoft Sentinel como uma rotina, para ajudar a automatizar e orquestrar sua resposta a ameaças. Para configurar guias estratégicos:

- Revise manuais recomendados
- Criar guias estratégicos a partir de modelos: Um modelo de guia estratégico é um fluxo de trabalho predefinido, testado e pronto para uso que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para práticas recomendadas ao desenvolver os guias estratégicos do zero ou como inspiração para novos cenários de automação.
- Examine estas etapas para criar um guia estratégico
Configurar pastas de trabalho As pastas de trabalho fornecem uma tela flexível para a análise de dados e a criação de relatórios visuais avançados no Microsoft Sentinel. Os modelos de pasta de trabalho permitem que você obtenha rapidamente insights sobre seus dados assim que conectar uma fonte de dados. Para configurar pastas de trabalho:

- Revise as pastas de trabalho do Microsoft Sentinel comumente usadas
- Usar modelos de pastas de trabalho existentes disponíveis em pacotes de soluções
- Criar pastas de trabalho personalizadas com seus dados
Configurar watchlists As watchlists permitem que você correlacione dados de uma fonte de dados fornecida por você com os eventos no ambiente do Microsoft Sentinel. Para configurar watchlists:

- Criar watchlists
- Crie consultas ou regras de detecção com watchlists: consulte dados em qualquer tabela em relação aos dados de uma watchlist, tratando a watchlist como uma tabela para junções e pesquisas. Ao criar uma watchlist, você define a SearchKey. O termo de pesquisa é o nome de uma coluna em sua watchlist que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas.

Próximas etapas

Neste artigo, você aprendeu a configurar os diferentes tipos de conteúdo de segurança do Microsoft Sentinel.