Auditoria e monitoramento de integridade no Microsoft Sentinel

O Microsoft Sentinel é um serviço essencial para melhorar e proteger a segurança dos ativos tecnológicos e de informação da sua organização. Portanto, você vai querer ter certeza de que ele está sempre funcionando sem problemas e sem interferência.

Você deseja verificar se os diversos elementos móveis do serviço estão sempre funcionando conforme o esperado e se ele não está sendo manipulado por ações não autorizadas, seja por usuários internos ou externos. Talvez você também queira configurar notificações de descompassos de integridade ou ações não autorizadas a serem enviadas aos stakeholders relevantes capazes de emitir ou aprovar uma resposta. Por exemplo, você pode configurar condições para disparar o envio de emails ou mensagens do Microsoft Teams às equipes de operações, gerentes ou diretores, emitir novos tíquetes em seu sistema de tíquetes e assim por diante.

Este artigo descreve como os recursos de monitoramento e auditoria de integridade do Microsoft Sentinel permitem monitorar a atividade de alguns dos principais recursos do serviço e inspecionar logs de ações do usuário dentro do serviço.

Armazenamento de dados de integridade e auditoria

Os dados de integridade e auditoria são coletados em duas tabelas no workspace do Log Analytics: SentinelHealth e SentinelAudit

Os dados de auditoria são coletados na tabela SentinelAudit.

Os dados de integridade são coletados na tabela SentinelHealth, que captura eventos que registram cada vez que uma regra de automação é executada e os resultados finais dessas execuções. A tabela SentinelHealth inclui:

• Se as ações iniciadas na regra são bem-sucedidas ou falham e se os guias estratégicos são chamados pela regra.
• Os eventos que registram o gatilho sob demanda (manual ou baseado em API) de guias estratégicos, incluindo as identidades que os dispararam, e os resultados finais dessas execuções

A tabela SentinelHealth não inclui um registro da execução do conteúdo de um guia estratégico, somente se o guia estratégico foi iniciado com êxito. Um log das ações executadas em um guia estratégico, que são fluxos de trabalho dos Aplicativos Lógicos, é listado na tabela AzureDiagnostics. O AzureDiagnostics oferece uma visão completa da integridade da automação quando usada em conjunto com os dados do SentinelHealth.

A maneira mais comum de usar esses dados é consultando essas tabelas. Para obter melhores resultados, elabore suas consultas nas funções predefinidas nessas tabelas, em _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações feitas no esquema das próprias tabelas.

Importante

As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Perguntas para verificar a integridade do serviço e os dados de auditoria

Use as seguintes perguntas para orientar o monitoramento dos dados de integridade e auditoria do Microsoft Sentinel:

O conector de dados está sendo executado corretamente?

O conector de dados está recebendo dados? Por exemplo, se você instruiu o Microsoft Sentinel a executar uma consulta a cada cinco minutos, convém verificar se essa consulta está sendo executada, como ela está sendo executada e se há riscos ou vulnerabilidades relacionados à consulta.

Uma regra de automação foi executada conforme o esperado?

Sua regra de automação foi executada quando deveria — ou seja, quando as condições dela foram atendidas? Todas as ações na regra de automação foram executadas com êxito?

A regra de análise foi executada conforme o esperado?

Sua regra de análise foi executada quando deveria e gerou resultados? Se você espera ver incidentes específicos em sua fila, mas isso não acontece, é desejável saber se a regra foi executada mas não encontrou nada (ou coisas suficientes) ou se simplesmente não foi executada.

Foram feitas alterações não autorizadas em uma regra de análise?

Algo mudou na regra? Você não conseguiu os resultados esperados de sua regra de análise e não teve nenhum problema de integridade. Você deseja ver se alguma alteração não planejada foi feita na regra e, em caso afirmativo, quais alterações foram feitas, por quem, de onde e quando.

Fluxo de monitoramento de integridade e auditoria

Para começar a coletar dados de integridade e auditoria, você precisa habilitar o monitoramento de integridade e auditoria nas configurações do Microsoft Sentinel. Em seguida, você pode se aprofundar nos dados de integridade e auditoria coletados pelo Microsoft Sentinel:

• Execute consultas nas tabelas de dados SentinelHealth e SentinelAudit da folha Logs do Microsoft Sentinel.

  • Conectores de dados
  • Guias estratégicos e regras de automação (consulta de junção com o diagnóstico dos Aplicativos Lógicos do Azure)
  • Regras de análise

• Use as pastas de trabalho de monitoramento de integridade e auditoria fornecidas no Microsoft Sentinel.

  • Conectores de dados
  • Regras de automação e guias estratégicos
  • Regras de análise

• Use as ferramentas de gerenciamento de execução do Microsoft Sentinel para monitorar e otimizar a execução das regras de análise agendadas.

• Exporte os dados para vários destinos, como seu workspace do Log Analytics, arquivamento para uma conta de armazenamento e muito mais. Saiba mais sobre os destinos compatíveis para seus logs.

Próximas etapas

• Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras de automação e guias estratégicos.
• Monitore a integridade de seus conectores de dados.
• Monitore a integridade das suas regras de análise.
• Confira mais informações sobre os esquemas das tabelas SentinelHealth e SentinelAudit.

Consulte também:

• Uso da Solução Microsoft Sentinel para SAP Monitore sua integridade também.