Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo aborda os diferentes componentes de uma solução Microsoft Sentinel e como podem trabalhar em conjunto para abordar cenários importantes do cliente.
A plataforma Sentinel inclui um data lake, grafo, tarefas de blocos de notas do Jupyter, um servidor mcP (Model Context Protocol) e dados de mais de 300 conectores Sentinel para ajudar os clientes a centralizar e analisar os seus dados de segurança de uma forma económica. Estas capacidades e Microsoft Security Copilot permitem que clientes e parceiros criem soluções com impacto, que podem ser publicadas através da Microsoft Security Store.
Sentinel SIEM é utilizado pelas equipas de Operações de Segurança (SOC) para gerar deteções, investigar comportamentos maliciosos e remediar ameaças. Ao criar conectores Sentinel para trazer novos dados e ao criar conteúdos como regras de análise, manuais de procedimentos, consultas de investigação, analisadores e livros, os parceiros podem ajudar as equipas do SOC a obter informações de que precisam para identificar ameaças e responder adequadamente. Sentinel soluções SIEM são publicadas através do Hub de Conteúdos do Sentinel.
Coleta de dados
Quer esteja a criar uma solução que utilize componentes de plataforma ou a segmentar um Sentinel integração SIEM, é fundamental ter os dados certos para o seu cenário.
Sentinel Conectores trazem dados para Sentinel, que podem ser analisados no lago com blocos de notas e trabalhos do Jupyter ou resolvidos com Sentinel conteúdo SIEM, como regras de análise e consultas de investigação.
Esses dados podem incluir os seguintes tipos:
| Tipo | Descrição |
|---|---|
| Dados não processados | Suporta deteções e processos de investigação. Analise dados operacionais não processados nos quais possam estar presentes sinais de atividade maliciosa. Traga dados não processados para Microsoft Sentinel para utilizar as funcionalidades de deteção e investigação incorporadas do Microsoft Sentinel para identificar novas ameaças e muito mais. Exemplos: dados do Syslog, dados CEF através do Syslog, aplicação, firewall, autenticação ou registos de acesso, etc. |
| Conclusões de segurança | Cria visibilidade e oportunidade de alerta para correlação. Alertas e deteções são conclusões que já foram feitas sobre ameaças. Colocar as deteções em contexto com todas as atividades e outras deteções visíveis nas investigações Microsoft Sentinel, poupa tempo aos analistas e cria uma imagem mais completa de um incidente, resultando numa melhor atribuição de prioridades e melhores decisões. Exemplos: alertas antimalware, processos suspeitos, comunicação com anfitriões incorretos conhecidos, tráfego de rede bloqueado e porquê, inícios de sessão suspeitos, ataques de spray de palavra-passe detetados, ataques de phishing identificados, eventos de exfiltração de dados e muito mais. |
| Dados de referência | Cria contexto com ambientes referenciados, poupando esforços de investigação e aumentando a eficiência. Exemplos: CMDBs, bases de dados de ativos de valor elevado, bases de dados de dependência de aplicações, registos de atribuição de IP, coleções de informações sobre ameaças para melhoramento e muito mais. |
| Informações sobre ameaças | Alimenta a deteção de ameaças ao contribuir com indicadores de ameaças conhecidas. As informações sobre ameaças podem incluir indicadores atuais que representam ameaças imediatas ou indicadores históricos que são mantidos para prevenção futura. Os conjuntos de dados históricos são, muitas vezes, grandes e são melhor referenciados ad-hoc, em vez de os importar diretamente para Microsoft Sentinel. |
Analisadores
Os analisadores são funções KQL que transformam dados personalizados de produtos de terceiros num esquema ASIM normalizado. A normalização garante que os analistas do SOC não têm de aprender detalhes sobre novos esquemas e, em vez disso, criar regras analíticas e consultas de investigação sobre o esquema normalizado com o qual já estão familiarizados. Reveja os esquemas ASIM disponíveis fornecidos pelo Microsoft Sentinel para identificar esquemas ASIM relevantes (um ou mais) para os seus dados para garantir uma integração mais fácil para os analistas do SOC e para garantir que o conteúdo de segurança existente escrito para o esquema ASIM é aplicável fora da caixa para os seus dados de produto. Para obter mais informações sobre os esquemas ASIM disponíveis, veja Esquemas do Modelo de Informação de Segurança Avançada (ASIM).
Visualização
Pode incluir visualizações para ajudar os clientes a gerir e compreender os seus dados, incluindo vistas gráficas sobre como os dados fluem para Microsoft Sentinel e como contribuem eficazmente para as deteções.
Pode incluir visualizações para ajudar os clientes a gerir e compreender os seus dados, incluindo vistas gráficas sobre como os dados fluem para Microsoft Sentinel e como contribuem eficazmente para as deteções.
Monitorização e deteção
As funcionalidades de monitorização e deteção do Sentinel criam deteções automatizadas para ajudar os clientes a dimensionar os conhecimentos da equipa do SOC.
As secções seguintes descrevem elementos de monitorização e deteção que pode incluir na sua solução.
agentes de Security Copilot
Security Copilot agentes automatizam tarefas repetitivas e reduzem as cargas de trabalho manuais. Melhoram as operações de segurança e TI na cloud, segurança de dados e privacidade, identidade e segurança de rede. Por Sentinel, os agentes podem consultar o SIEM ou o data lake e chamar APIs para enriquecer Microsoft Sentinel dados. Podem utilizar tarefas de blocos de notas para processamento ou análise de dados intensivos e utilizar qualquer número de plug-ins.
Tarefas de blocos de notas do Jupyter
As tarefas dos blocos de notas do Jupyter fornecem ferramentas avançadas para realizar transformações de dados complexas e executar modelos de machine learning com trabalhos do Spark no Sentinel Data Lake. Podem ser utilizados por agentes Security Copilot para fornecer um meio determinista e eficiente de realizar análises e resumos de dados e ser executados de forma contínua. As tarefas dos blocos de notas podem escrever tabelas de dados personalizadas na camada analítica e no data lake para serem utilizadas por componentes a jusante, como agentes, livros, consultas de investigação, entre outros.
Regras de análise
As regras de análise são deteções sofisticadas que podem criar alertas precisos e significativos.
Adicione regras de análise à sua solução para ajudar os seus clientes a beneficiar dos dados do seu sistema no Microsoft Sentinel. Por exemplo, as regras de análise podem ajudar a fornecer conhecimentos e informações sobre as atividades que podem ser detetadas nos dados que a sua integração fornece.
Podem gerar alertas (eventos notáveis), incidentes (unidades de investigação) ou acionar manuais de procedimentos de automatização.
Pode adicionar regras de análise ao incluí-las numa solução e através da Microsoft Sentinel comunidade ThreatHunters. Contribuir através da comunidade para incentivar a criatividade da comunidade em vez de dados de origem de parceiros, ajudando os clientes com deteções mais fiáveis e eficazes.
Consultas de investigação
As consultas de investigação permitem que os analistas do SOC procurem proativamente novas anomalias que não são detetadas pelas regras de análise atualmente agendadas. As consultas de investigação orientam os analistas do SOC para fazerem as perguntas certas para encontrar problemas dos dados que já estão disponíveis no Microsoft Sentinel e ajudam-nos a identificar potenciais cenários de ameaças. Ao incluir consultas de investigação, pode ajudar os clientes a encontrar ameaças desconhecidas nos dados que fornecer.
Pastas de trabalho
Os livros fornecem relatórios e dashboards interativos que ajudam os utilizadores a visualizar dados de segurança e a identificar padrões dentro dos dados. A necessidade de livros depende do caso de utilização específico. À medida que cria a sua solução, pense em cenários que podem ser melhor explicados visualmente, especialmente para cenários para controlar o desempenho.
Investigação
O gráfico de investigação Sentinel fornece aos investigadores dados relevantes quando precisam, fornecendo visibilidade sobre incidentes de segurança e alertas através de entidades ligadas. Os investigadores podem usar o gráfico de investigação para encontrar eventos relevantes ou relacionados, contribuindo para a ameaça que está sob investigação.
Os parceiros podem contribuir para o gráfico de investigação ao fornecer:
- Microsoft Sentinel alertas e incidentes, criados através de regras de análise em soluções de parceiros.
- Consultas de exploração personalizadas para dados fornecidos por parceiros. As consultas de exploração personalizadas proporcionam uma exploração avançada e conectividade entre dados e informações para investigadores de segurança.
Resposta
Os manuais de procedimentos suportam fluxos de trabalho com automatização avançada, executando tarefas relacionadas com segurança em ambientes de clientes. São fundamentais para garantir que os analistas do SOC não estão sobrecarregados com itens táticos e podem concentrar-se na causa raiz mais estratégica e profunda das vulnerabilidades. Por exemplo, se for detetado um alerta de gravidade elevada, um manual de procedimentos pode iniciar automaticamente uma série de ações, como notificar a equipa de segurança, isolar os sistemas afetados e recolher registos relevantes para análise adicional.
Por exemplo, os manuais de procedimentos podem ajudar de qualquer uma das seguintes formas e muito mais:
- Ajudar os clientes a configurar políticas de segurança em produtos parceiros
- Recolher dados adicionais para informar decisões de investigação
- Ligar incidentes Microsoft Sentinel a sistemas de gestão externos
- Integrar a gestão do ciclo de vida de alertas em soluções de parceiros
À medida que cria a sua solução, pense nas ações automatizadas que podem ser tomadas para resolve incidentes criados pelas regras de análise definidas na sua solução.
Sentinel exemplos de cenários SIEM
As secções seguintes descrevem cenários de parceiros comuns e recomendações sobre o que incluir numa solução para cada cenário.
O seu produto gera dados importantes para investigações de segurança
Cenário: o seu produto gera dados que podem informar as investigações de segurança.
Exemplo: os produtos que fornecem alguma forma de dados de registo incluem firewalls, mediadores de segurança de aplicações na cloud, sistemas de acesso físico, saída do Syslog, aplicações LOB criadas comercialmente e criadas pela empresa, servidores, metadados de rede, qualquer material a entregar através do Syslog no formato Syslog ou CEF ou através da API REST no formato JSON.
Como utilizar os seus dados no Microsoft Sentinel: importe os dados do produto para Microsoft Sentinel através de um conector de dados para fornecer análises, investigação, investigações, visualizações e muito mais.
O que criar: para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Required | - Um conector de dados Microsoft Sentinel para fornecer os dados e ligar outras personalizações no portal. Consultas de dados de exemplo |
| Recomendado | - Livros - Regras de análise, para criar deteções baseadas nos seus dados no Microsoft Sentinel |
| Opcional | - Consultas de investigação, para fornecer aos caçadores consultas inativas a utilizar ao caçar - Blocos de notas, para proporcionar uma experiência de investigação totalmente orientada e repetível |
O seu produto fornece deteções
Cenário: O produto fornece deteções que complementam alertas e incidentes de outros sistemas
Exemplos: Antimalware, soluções de deteção e resposta empresarial, soluções de deteção e resposta de rede, soluções de segurança de correio, como produtos anti-phishing, análise de vulnerabilidades, soluções de gestão de dispositivos móveis, soluções UEBA, serviços de proteção de informações, entre outros.
Como utilizar os seus dados no Microsoft Sentinel: disponibilize as suas deteções, alertas ou incidentes no Microsoft Sentinel para os mostrar em contexto com outros alertas e incidentes que possam estar a ocorrer nos ambientes dos seus clientes. Considere também entregar os registos e metadados que alimentam as suas deteções, como contexto extra para investigações.
O que criar: para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Required | Um Microsoft Sentinel conector de dados para fornecer os dados e ligar outras personalizações no portal. |
| Recomendado | Regras de análise, para criar Microsoft Sentinel incidentes a partir das suas deteções que são úteis nas investigações |
O produto fornece indicadores de informações sobre ameaças
Cenário: O produto fornece indicadores de informações sobre ameaças que podem fornecer contexto para eventos de segurança que ocorrem nos ambientes dos clientes
Exemplos: plataformas TIP, coleções STIX/TAXII e origens de informações sobre ameaças públicas ou licenciadas. Dados de referência, como WhoIS, GeoIP ou domínios recentemente observados.
Como utilizar os seus dados no Microsoft Sentinel: forneça indicadores atuais para Microsoft Sentinel para utilização nas plataformas de deteção da Microsoft. Utilize conjuntos de dados históricos ou de grande escala para cenários de melhoramento, através do acesso remoto.
O que criar: para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Informações sobre ameaças atuais | Crie um conector de dados GSAPI para emitir indicadores para Microsoft Sentinel. Forneça um Servidor TAXII STIX 2.0 ou 2.1 que os clientes possam utilizar com o conector de dados TAXII desativado. |
| Indicadores históricos e/ou conjuntos de dados de referência | Forneça um conector de aplicações lógicas para aceder aos dados e um manual de procedimentos de fluxo de trabalho de melhoramento que direciona os dados para os locais corretos. |
O seu produto fornece contexto extra para investigações
Cenário: o seu produto fornece dados contextuais adicionais para investigações baseadas em Microsoft Sentinel.
Exemplos: CMDBs de contexto extra, bases de dados de ativos de valor elevado, bases de dados VIP, bases de dados de dependências de aplicações, sistemas de gestão de incidentes, sistemas de pedidos de suporte
Como utilizar os seus dados no Microsoft Sentinel: utilize os seus dados no Microsoft Sentinel para enriquecer alertas e incidentes.
O que criar: para este cenário, inclua os seguintes elementos na sua solução:
- Um conector da Aplicação Lógica
- Um manual de procedimentos de fluxo de trabalho de melhoramento
- Um fluxo de trabalho de gestão do ciclo de vida de incidentes externo (opcional)
O seu produto pode implementar políticas de segurança
Cenário: o seu produto pode implementar políticas de segurança no Azure Policy e noutros sistemas
Exemplos: Firewalls, NDR, EDR, MDM, Soluções de identidade, soluções de Acesso Condicional, soluções de acesso físico ou outros produtos que suportem políticas de segurança de bloqueio/permissão ou outras políticas de segurança acionáveis
Como utilizar os seus dados no Microsoft Sentinel: Microsoft Sentinel ações e fluxos de trabalho que permitem remediações e respostas a ameaças
O que criar: para este cenário, inclua os seguintes elementos na sua solução:
- Um conector da Aplicação Lógica
- Um manual de procedimentos de fluxo de trabalho de ação
Referências para começar
Todas as integrações Microsoft Sentinel SIEM começam com o Microsoft Sentinel o Repositório do GitHub e a Documentação de Orientação sobre Contribuições.
Quando estiver pronto para começar a trabalhar na sua solução de Microsoft Sentinel, encontre instruções para submeter, empacotar e publicar no Guia para Criar soluções Microsoft Sentinel.
Chegar ao mercado
A Microsoft oferece os programas para ajudar os parceiros a abordar os clientes Microsoft:
Microsoft Partner Network (MPN). O programa principal para a parceria com a Microsoft é o Microsoft Partner Network. A associação no MPN é necessária para se tornar um editor do Azure Marketplace, que é onde todas as soluções Microsoft Sentinel são publicadas.
Azure Marketplace. Microsoft Sentinel soluções são fornecidas através do Azure Marketplace, que é onde os clientes vão descobrir e implementar integrações de Azure gerais fornecidas pela Microsoft e pelos parceiros.
Microsoft Sentinel soluções são um dos muitos tipos de ofertas encontradas no Marketplace. Também pode encontrar as ofertas de solução incorporadas no hub de conteúdos do Microsoft Sentinel
Associação de Segurança Inteligente da Microsoft (MISA). O MISA fornece ajuda aos Parceiros de Segurança da Microsoft na criação de conhecimentos sobre integrações criadas por parceiros com clientes microsoft e ajuda a fornecer deteção para integrações de produtos do Microsoft Security.
A adesão ao programa MISA requer uma nomeação de uma Equipa de Produtos de Segurança da Microsoft participante. A criação de qualquer uma das seguintes integrações pode qualificar parceiros para nomeação:
- Um Microsoft Sentinel conector de dados e conteúdo associado, como livros, consultas de exemplo e regras de análise
- Conector do Logic Apps publicado e Microsoft Sentinel manuais de procedimentos
- Integrações de API, caso a caso
Para pedir uma revisão de nomeação misa ou para perguntas, contacte AzureSentinelPartner@microsoft.com.
Próximas etapas
Para saber mais, confira:
Recolha de dados:
- Melhores práticas de recolha de dados
- Microsoft Sentinel conectores de dados
- Localizar o conector de dados Microsoft Sentinel
- Compreender as informações sobre ameaças no Microsoft Sentinel
Deteção de ameaças:
- Automatizar o processamento de incidentes em Microsoft Sentinel com regras de automatização
- Investigar incidentes com Microsoft Sentinel
- Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
Investigação e blocos de notas:
- Procurar ameaças com Microsoft Sentinel
- Gerir consultas de investigação no Microsoft Sentinel com a API REST
- Utilizar blocos de notas do Jupyter para investigar ameaças de segurança
Visualização: visualizar os dados recolhidos.
Investigação: Investigar incidentes com Microsoft Sentinel.
Resposta: