Compartilhar via


Treinamento de aumento de habilidade do Microsoft Sentinel

Este artigo orienta você em um treinamento de nível 400 para ajudá-lo a se aprimorar no Microsoft Sentinel. O treinamento é composto por 21 módulos individuais que apresentam documentação relevante do produto, postagens em blogs e outros recursos.

Os módulos listados aqui são divididos em cinco partes seguindo o ciclo de vida de um SOC (centro de operações de segurança):

Parte 1: visão geral

Parte 2: arquitetura e implantação

Parte 3: criando conteúdo

Parte 4: operando

Parte 5: avançado

Parte 1: visão geral

Módulo 0: outras opções de aprendizado e suporte

Este treinamento de habilidades é um treinamento de nível 400 baseado no treinamento do Microsoft Sentinel Ninja. Se você não quiser se aprofundar tanto ou tiver um problema específico para resolver, outros recursos podem ser mais adequados:

Módulo 1: introdução ao Microsoft Azure Sentinel

O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças. Para obter mais informações, consulte O que é o Microsoft Azure Sentinel?.

Se você deseja obter uma visão geral inicial dos recursos técnicos do Microsoft Sentinel, a última apresentação do Ignite é um bom ponto de partida. Você também pode achar útil o Guia de início rápido do Microsoft Sentinel (é necessário o registro no site).

Encontre uma visão geral mais detalhada neste webinar do Microsoft Sentinel: YouTube, MP4 ou apresentação.

Por fim, você mesmo quer experimentar? O Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 ou apresentação) oferece uma maneira fácil de começar. Para saber como começar, revise a documentação de integração ou assista ao vídeo de configuração e configuração do Microsoft Sentinel do Insight.

Saiba mais com outros usuários

Milhares de organizações e provedores de serviços estão usando o Microsoft Sentinel. Como de costume com os produtos de segurança, a maioria das organizações não anuncia isto publicamente. De qualquer forma, aqui estão alguns deles:

Aprenda com os analistas

Módulo 2: como o Microsoft Sentinel é usado?

Muitas empresas usam o Microsoft Sentinel como seu SIEM principal. A maioria dos módulos neste curso aborda esse caso de uso. Neste módulo, apresentamos algumas maneiras adicionais de usar o Microsoft Sentinel.

Como parte da pilha de segurança da Microsoft

Use o Microsoft Sentinel, o Microsoft Defender para Nuvem e o Microsoft Defender XDR juntos para proteger suas cargas de trabalho da Microsoft, incluindo Windows, Azure e Office:

Para monitorar suas cargas de trabalho de várias nuvens

A nuvem é (ainda) nova e muitas vezes não é monitorada tão extensivamente quanto as cargas de trabalho locais. Leia esta apresentação para saber como o Microsoft Sentinel pode ajudá-lo a fechar a lacuna de monitoramento de nuvem entre suas nuvens.

Lado a lado com seu SIEM existente

Por um período de transição ou um prazo mais longo, se você estiver usando o Microsoft Sentinel para suas cargas de trabalho na nuvem, poderá usar o Microsoft Sentinel junto com o SIEM existente. Você também pode estar usando ambos com um sistema de tíquete, como o Service Now.

Para obter mais informações sobre a migração de outro SIEM para o Microsoft Sentinel, assista ao webinar de migração: YouTube, MP4 ou apresentação.

Há três cenários comuns para implantação lado a lado:

Você também pode enviar os alertas do Microsoft Sentinel para seu SIEM de terceiros ou sistema de tíquetes usando a API de Segurança do Microsoft Graph. Essa abordagem é mais simples, mas não permite o envio de outros dados.

Para MSSPs

Como ele elimina o custo de configuração e é independente de localização, o Microsoft Sentinel é uma escolha popular para fornecer SIEM como um serviço. Encontre uma lista de provedores de serviços de segurança gerenciados por membros (MSSPs) da Associação de Segurança Inteligente da Microsoft (MISA) que usam o Microsoft Sentinel. Muitos outros MSSPs, especialmente os regionais e menores, usam o Microsoft Sentinel, mas não são membros da MISA.

Para iniciar sua jornada como MSSP, leia os manuais técnicos do Microsoft Sentinel para MSSPs. Mais informações sobre o suporte ao MSSP estão incluídas no próximo módulo, que abrange a arquitetura de nuvem e o suporte a vários locatários.

Parte 2: arquitetura e implantação

Embora a "Parte 1: Visão geral" ofereça maneiras de começar a usar o Microsoft Sentinel em questão de minutos, antes de iniciar uma implantação de produção, é importante criar um plano.

Esta seção orienta você pelas áreas a serem consideradas ao arquitetar sua solução e fornece diretrizes sobre como implementar seu design:

  • Workspace e arquitetura de locatário
  • Coleta de dados
  • Gerenciamento de Log
  • Aquisição de inteligência de ameaças

Módulo 3: workspace e arquitetura de locatário

Uma instância do Microsoft Sentinel é chamada de workspace. O workspace é o mesmo que um workspace do Log Analytics e oferece suporte a qualquer recurso do Log Analytics. Você pode pensar no Microsoft Sentinel como uma solução que adiciona recursos SIEM em um workspace do Log Analytics.

Vários workspaces geralmente são necessários e podem atuar juntos como um único sistema do Microsoft Sentinel. Um caso de uso especial é fornecer um serviço usando o Microsoft Sentinel (por exemplo, por um MSSP (Managed Security Service Provider) ou por um Global SOC em uma grande organização).

Para saber mais sobre como usar vários workspaces como um sistema Microsoft Sentinel, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários ou assista ao webinar: YouTube, MP4 ou apresentação.

Ao usar vários workspaces, considere o seguinte:

O Guia Estratégico Técnico do Microsoft Sentinel para MSSPs fornece diretrizes detalhadas para muitos desses tópicos e também é útil para grandes organizações, não apenas para MSSPs.

Módulo 4: coleta de dados

A base de um SIEM é coletar telemetria: eventos, alertas e informações de enriquecimento contextual, como inteligência de ameaças, dados de vulnerabilidade e informações de ativos. Aqui está uma lista de fontes para consultar:

  • Leia Conectores de dados do Microsoft Sentinel.
  • Vá para Localizar seu conector de dados do Microsoft Sentinel para ver todos os conectores de dados compatíveis e prontos para uso. Encontre links para procedimentos de implantação genéricos e etapas extras necessárias para conectores específicos.
  • Cenários de coleta de dados: saiba mais sobre métodos de coleta, como Logstash/CEF/WEF. Outros cenários comuns são restrição de permissões para tabelas, filtragem de logs, coleta de logs da Amazon Web Services (AWS) ou Google Cloud Platform (GCP), logs brutos do Microsoft 365 e assim por diante. Tudo pode ser encontrado no webinar "Cenários de coleta de dados": YouTube, MP4 ou apresentação.

A primeira informação que você vê para cada conector é o método de ingestão de dados. O método exibido tem um link para um dos seguintes procedimentos de implantação genéricos, que contêm a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:

Método de ingestão de dados Artigo associado
Integração de serviço a serviço do Azure Conectar aos serviços do Azure, Windows, Microsoft e Amazon
CEF (Formato Comum de Evento) via Syslog Ingerir mensagens do Syslog e CEF no Microsoft Sentinel com o Agente do Azure Monitor
API do coletor de dados do Microsoft Sentinel Conectar sua fonte de dados à API do Coletor de Dados do Microsoft Sentinel para ingerir dados
Azure Functions e a API REST Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados
syslog Ingerir mensagens do Syslog e CEF no Microsoft Sentinel com o Agente do Azure Monitor
Logs personalizados Conector de dados Logs Personalizados via AMA: configurar a ingestão de dados para o Microsoft Sentinel a partir de aplicativos específicos

Se sua origem não estiver disponível, você poderá criar um conector personalizado. Os conectores personalizados usam a API de ingestão e, portanto, são semelhantes às fontes diretas. Com mais frequência, você implementa conectores personalizados usando os Aplicativos Lógicos do Azure, que oferecem uma opção sem código, ou o Azure Functions.

Módulo 5: gerenciamento de logs

A primeira decisão de arquitetura a ser considerada ao configurar o Microsoft Sentinel é quantos espaços de trabalho e quais usar. Outras decisões importantes de arquitetura de gerenciamento de logs a serem consideradas incluem:

  • Onde e por quanto tempo reter dados.
  • Como gerenciar melhor o acesso aos dados e protegê-los.

Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel

Para começar, assista ao webinar "Gerenciar seu ciclo de vida de log com novos métodos para ingestão, arquivamento, pesquisa e restauração".

Este conjunto de recursos contém:

  • Camada de ingestão básica: um novo tipo de preço para logs do Azure Monitor que permite xonsumir logs a um custo menor. Esses dados são retidos no espaço de trabalho por apenas oito dias.
  • Camada de armazenamento de arquivos: os Logs do Azure Monitor expandiram sua capacidade de retenção de dois anos para sete anos. Com essa nova camada, você pode reter dados por até sete anos em um estado arquivado de baixo custo.
  • Trabalhos de pesquisa:Tarefas de pesquisa que executam KQL limitado para localizar e retornar todos os logs relevantes. Esses trabalhos pesquisam dados na camada de análise, na camada básica e nos dados arquivados.
  • Restauração de dados: Um novo recurso que permite escolher uma tabela de dados e um intervalo de tempo para que você possa restaurar dados no espaço de trabalho por meio de uma tabela de restauração.

Para obter mais informações sobre esses novos recursos, consulte Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel.

Opções alternativas de retenção fora da plataforma Microsoft Sentinel

Se você deseja reter dados por mais de dois anos ou reduzir o custo de retenção, considere usar o Azure Data Explorer para retenção de longo prazo de logs do Microsoft Sentinel. Consulte os slides do webinar, a gravação de webinar ou o blog.

Deseja informações mais detalhadas? Assista ao webinar "Aprimorando a amplitude e a cobertura da caça a ameaças com suporte a ADX, mais tipos de entidade e integração MITRE atualizada".

Se você preferir outra solução de retenção de longo prazo, confira Exportar do espaço de trabalho do Microsoft Sentinel/Log Analytics para o Armazenamento do Azure e Hubs de Eventos ou Mover logs para o armazenamento de longo prazo usando os Aplicativos Lógicos do Azure. A vantagem de usar Aplicativos Lógicos do Azure é que ele pode exportar dados históricos.

Por fim, você pode definir períodos de retenção refinados usando configurações de retenção em nível de tabela. Para obter mais informações, consulte Configurar retenção de dados e políticas de arquivamento nos logs do Azure Monitor (visualização).

Log de Segurança

Cluster dedicado

Use um cluster de workspace dedicado se a ingestão de dados projetado for igual ou superior a 500 GB por dia. Com um cluster dedicado, você pode proteger recursos para seus dados do Microsoft Sentinel, o que permite um melhor desempenho de consulta para grandes conjuntos de dados.

Módulo 6: enriquecimento: inteligência de ameaças, listas de observação e muito mais

Uma das funções importantes de um SIEM é aplicar informações contextuais ao fluxo de eventos, o que permite detecção, priorização de alertas e investigação de incidentes. As informações contextuais incluem, por exemplo, inteligência de ameaças, inteligência de IP, informações de host e usuário e listas de observação.

O Microsoft Sentinel fornece ferramentas abrangentes para importar, gerenciar e usar inteligência contra ameaças. Para outros tipos de informações contextuais, o Microsoft Sentinel fornece listas de observação e outras soluções alternativas.

Inteligência contra ameaças

A inteligência de ameaças é um componente importante de um SIEM. Assista ao webinar "Explore o poder da inteligência contra ameaças no Microsoft Sentinel".

No Microsoft Sentinel, você pode integrar a inteligência de ameaças usando os conectores internos dos servidores TAXII (Trusted Automated eXchange of Indicator Information) ou por meio da API de segurança do Microsoft Graph. Para obter mais informações, consulte Integração de inteligência de ameaças no Microsoft Sentinel. Para obter mais informações sobre como importar inteligência contra ameaças, consulte as seções Módulo 4: coleta de dados.

Depois de importada, a inteligência de ameaças é usada extensivamente em todo o Microsoft Sentinel. Os recursos a seguir se concentram no uso de inteligência de ameaças:

Assista ao webinar "Automatize seus esforços de triagem do Microsoft Sentinel com o RiskIQ Threat Intelligence": YouTube ou apresentação.

Com pouco tempo? Assista a sessão ignite (28 minutos).

Deseja informações mais detalhadas? Assista ao webinar "Aprofundamento em inteligência de ameaças": YouTube, MP4 ou apresentação.

Watchlists e outros mecanismos de pesquisa

Para importar e gerenciar qualquer tipo de informação contextual, o Microsoft Sentinel fornece listas de observação. Ao usar listas de observação, você pode fazer upload de tabelas de dados no formato CSV e usá-las em suas consultas KQL. Para obter mais informações, consulte Usar listas de observação no Microsoft Sentinel ou assista o webinar "Usar listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.

Use as watchlists como auxílio nos seguintes cenários:

  • Investigue ameaças e responda a incidentes rapidamente: importe rapidamente endereços IP, hashes de arquivos e outros dados de arquivos CSV. Depois de importar os dados, use os pares nome-valor da inspeção para junções e filtros em regras de alerta, busca de ameaças, pastas de trabalho, notebooks e consultas em geral.

  • Importe dados de negócios como uma lista de observação: por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou funcionários demitidos. Em seguida, use a watchlist para criar listas de permitidos e listas de bloqueados a fim de detectar ou impedir que esses usuários façam logon na rede.

  • Reduza a fadiga do alerta: crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparam o alerta. Impeça que eventos benignos se tornem alertas.

  • Enriqueça dados de eventos : use listas de observação para enriquecer seus dados de eventos com combinações de nome-valor derivadas de fontes de dados externas.

Além das listas de observação, você pode usar o operador de dados externos KQL, logs personalizados e funções KQL para gerenciar e consultar informações de contexto. Cada um dos quatro métodos tem seus prós e contras, e você pode ler mais sobre as comparações entre eles na postagem do blog "Implementação de pesquisas no Microsoft Sentinel". Embora cada método seja diferente, usar as informações resultantes em suas consultas é semelhante e permite alternar facilmente entre eles.

Para obter ideias sobre como usar listas de observação fora das regras analíticas, consulte Utilizar listas de observação para impulsionar a eficiência durante as investigações do Microsoft Sentinel.

Assista ao webinar "Usar listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.

Módulo 7: transformação de log

O Microsoft Sentinel dá suporte a dois novos recursos para ingestão e transformação de dados. Esses recursos, fornecidos pelo Log Analytics, atuam nos seus dados antes mesmo de serem armazenados no seu workspace. Os recursos são:

Para obter mais informações, consulte:

Módulo 8: migração

Em muitos casos (se não a maioria), você já tem um SIEM e precisa migrar para o Microsoft Sentinel. Embora possa ser um bom momento para recomeçar e repensar sua implementação de SIEM, faz sentido utilizar alguns dos ativos que você já construiu em sua implementação atual. Assista ao webinar "Melhores práticas para converter regras de detecção" (do Splunk, QRadar e ArcSight para o Azure Microsoft Sentinel): YouTube, MP4, apresentação ou blog.

Você também pode estar interessado nos seguintes recursos:

Módulo 9: normalização e modelo de informações SIEM avançado

Trabalhar com vários tipos de dados e tabelas juntos pode ser um desafio. Você deve se familiarizar com esses tipos de dados e esquemas enquanto escreve e usa um conjunto exclusivo de regras de análise, pastas de trabalho e consultas de busca. A correlação entre os tipos de dados necessários para investigação e busca também pode ser complicada.

O modelo de informações Advanced SIEM (ASIM) fornece uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas. O ASIM está alinhado com o modelo de informações comuns do OSSEM (Metadados de Eventos de Segurança de Código Aberto), promovendo a normalização independente de fornecedores em todo o setor. Assista ao webinar "Advanced SIEM information model (ASIM): Now built into Microsoft Sentinel": YouTube ou apresentação.

A implementação atual é baseada na normalização do tempo de consulta, que usa funções KQL:

  • Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que são fáceis de trabalhar e criam recursos unificados. O esquema define quais campos devem representar um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo.
    • Assista ao webinar "Entendendo a normalização no Microsoft Sentinel": YouTube ou apresentação.
    • Assista ao webinar "Insights sobre analisadores de normalização e conteúdo normalizado do Microsoft Sentinel": YouTube, MP3 ou apresentação.
  • Os analisadores mapeiam os dados existentes para os esquemas normalizados. Você implementa analisadores usando funções KQL. Assista ao webinar "Estender e gerenciar ASIM: desenvolvendo, testando e implantando analisadores": YouTube ou apresentação.

  • O conteúdo de cada esquema normalizado inclui regras de análise, pastas de trabalho e consultas de busca. Esse conteúdo funciona em todos os dados normalizados sem a necessidade de criar conteúdo específico da origem.

O uso da ASIM oferece os seguintes benefícios:

  • Detecção entre fontes: as regras analíticas normalizadas funcionam entre fontes locais e na nuvem. As regras detectam ataques, como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.

  • Permite conteúdo agnóstico de origem: a cobertura de conteúdo integrado e personalizado usando ASIM se expande automaticamente para qualquer fonte que suporte ASIM, mesmo que a fonte tenha sido adicionada após a criação do conteúdo. Por exemplo, a análise de eventos de processo dá suporte a qualquer fonte que um cliente possa usar para trazer os dados, incluindo o Microsoft Defender for Endpoint, Windows Events e Sysmon. Estamos prontos para adicionar o Sysmon para Linux e WEF quando ele for lançado.

  • Suporte para as fontes personalizadas na análise interna

  • Facilidade de uso: analistas que aprendem as ASIM acham muito mais simples escrever consultas porque os nomes de campo são sempre os mesmos.

Saiba mais sobre o ASIM

Aproveite esses recursos:

Implantar ASIM

  • Implante os analisadores das pastas começando com "ASIM*" na pasta analisadores no GitHub.

  • Ativar regras analíticas que usam ASIM. Procure normal na galeria de modelos para encontrar alguns deles. Para obter a lista completa, use esta pesquisa do GitHub.

Usar o ASIM

Parte 3: criando conteúdo

O que é conteúdo do Microsoft Sentinel?

O valor da segurança do Microsoft Sentinel é uma combinação de seus recursos internos e sua capacidade de criar recursos personalizados e personalizar os integrados. Entre os recursos integrados, há User and Entity Behavior Analytics (UEBA), machine learning ou regras de análise prontas para uso. Os recursos personalizados geralmente são chamados de "conteúdo" e incluem regras analíticas, consultas de busca, pastas de trabalho, manuais e assim por diante.

Nesta seção, agrupamos os módulos que ajudam você a aprender a criar esse conteúdo ou modificar o conteúdo interno de acordo com suas necessidades. Começamos com KQL, a língua franca do Azure Microsoft Sentinel. Os módulos a seguir discutem um dos alicerces do conteúdo, como regras, guias estratégicos e pastas de trabalho. Eles terminam discutindo casos de uso, que abrangem elementos de diferentes tipos que abordam objetivos de segurança específicos, como detecção de ameaças, pesquisa ou governança.

Módulo 10: linguagem de Consulta Kusto

A maioria dos recursos do Microsoft Sentinel usa a KQL ou Linguagem de Consulta Kusto. Ao pesquisar em seus logs, gravar regras, criar consultas de busca ou criar pastas de trabalho, você usa KQL.

A próxima seção sobre regras de gravação explica como usar KQL no contexto específico das regras SIEM.

À medida que aprende KQL, você também pode achar úteis as seguintes referências:

Módulo 11: análise

Gravando regras de análise agendada

Com o Microsoft Sentinel, você pode usar modelos de regras integrados, personalizar os modelos para seu ambiente ou criar regras personalizadas. O núcleo das regras é uma consulta KQL; no entanto, há muito mais do que isso para configurar em uma regra.

Para aprender o procedimento para criar regras, consulte Criar regras de análise personalizadas para detectar ameaças. Para saber como gravar regras (ou seja, o que deve entrar em uma regra, focando em KQL para regras), assista ao webinar: MP4, YouTube, Apresentação.

As regras de análise SIEM têm padrões específicos. Saiba como implementar regras e gravar KQL para esses padrões:

A postagem do blog "Investigações de armazenamento de blob e arquivo" fornece um exemplo passo a passo de como escrever uma regra analítica útil.

Usar análise interna

Antes de embarcar em sua própria redação de regras, considere aproveitar os recursos de análise integrados. Eles não exigem muito de você, mas vale a pena saber sobre eles:

Módulo 12: Implementação do SOAR

Em SIEMs modernos, como o Microsoft Sentinel, o SOAR compõe todo o processo desde o momento em que um incidente é acionado até sua resolução. Esse processo começa com uma investigação de incidente e continua com uma resposta automatizada. A postagem no blog "Como usar o Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automação" fornece uma visão geral dos casos de uso comuns para SOAR.

As regras de automação são o ponto de partida para a automação do Microsoft Sentinel. Eles fornecem um método leve de tratamento centralizado e automatizado de incidentes, incluindo supressão, tratamento de falsos positivos e atribuição automática.

Para fornecer recursos robustos de automação baseados em fluxo de trabalho, as regras de automação usam manuais de Aplicativos Lógicos do Azure. Para saber mais:

Encontre dezenas de guias estratégicos úteis na pasta Guias estratégicos no site do Microsoft Sentinel no GitHub ou leia Um guia estratégico usando uma watchlist para informar um proprietário de assinatura sobre um alerta para ver um passo a passo do guia estratégico.

Módulo 13: pastas de trabalho, relatórios e visualização

Pastas de trabalho

Como o centro nervoso de seu SOC, o Microsoft Sentinel é necessário para visualizar as informações que ele coleta e produz. Use as pastas de trabalho para visualizar dados no Microsoft Sentinel.

As pastas de trabalho podem ser interativas e habilitar muito mais do que apenas gráficos. Com pastas de trabalho, você pode criar aplicativos ou módulos de extensão para o Microsoft Sentinel para complementar sua funcionalidade integrada. Você também pode usar pastas de trabalho para estender os recursos do Microsoft Sentinel. Aqui estão alguns exemplos de tais aplicativos:

Você encontrará dezenas de livros de trabalho na pasta Workbooks no Microsoft Sentinel GitHub. Algumas delas também estão disponíveis na galeria de pastas de trabalho do Microsoft Sentinel.

Relatórios e outras opções de visualização

As pastas de trabalho podem servir para relatórios. Para recursos de relatórios mais avançados, como agendamento e distribuição de relatórios ou tabelas dinâmicas, você pode usar:

Módulo 14: notebooks

Os notebooks Jupyter são totalmente integrados ao Microsoft Sentinel. Embora seja considerada uma ferramenta importante no baú de ferramentas do caçador e discutido nos webinars na seção de busca, seu valor é muito mais amplo. Os notebooks podem servir para visualização avançada, como guia de investigação e para automação sofisticada.

Para entender melhor os notebooks, assista ao vídeo Introdução aos notebooks. Comece a usar o webinar de notebooks (YouTube, MP4 ou apresentação) ou leia a documentação. A série Microsoft Sentinel Notebooks Ninja é uma série de treinamento contínuo para aprimorar suas habilidades em notebooks.

Uma parte importante da integração é implementada pelo MSTICPy, que é uma biblioteca Python desenvolvida por nossa equipe de pesquisa para ser usada com notebooks Jupyter. Ela adiciona interfaces do Microsoft Sentinel e funcionalidades de segurança sofisticadas aos seus notebooks.

Módulo 15: casos de uso e soluções

Com conectores, regras, manuais e pastas de trabalho, você pode implementar casos de uso, que é o termo SIEM para um pacote de conteúdo destinado a detectar e responder a uma ameaça. Você pode implantar casos de uso integrados do Microsoft Sentinel ativando as regras sugeridas ao conectar cada conector. Uma solução é um grupo de casos de uso que abordam um domínio de ameaça específico.r.

O webinar "Tackling Identity" (YouTube, MP4 ou apresentação) explica o que é um caso de uso e como abordar seu design e apresenta vários casos de uso que abordam coletivamente ameaças de identidade.

Outra área de solução relevante é proteger o trabalho remoto. Veja nossa sessão do Ignite sobre como proteger o trabalho remoto e leia mais sobre os seguintes casos de uso específicos:

E, finalmente, com foco nos ataques recentes, aprenda a monitorar a cadeia de suprimentos de software com o Microsoft Sentinel.

As soluções do Microsoft Azure Sentinel fornecem descoberta no produto, implantação em etapa única e habilitação de produtos, domínios e/ou cenários verticais de ponta a ponta no Microsoft Azure Sentinel. Para obter mais informações, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel e assista ao webinar "Crie suas próprias soluções do Microsoft Sentinel": YouTube ou apresentação.

Parte 4: operando

Módulo 16: Tratamento de incidentes

Depois de construir seu SOC, você precisa começar a usá-lo. O webinar "o dia na vida de um analista de SOC" (YouTube, MP4 ou apresentação) mostra como usar o Microsoft Sentinel no SOC para fazer a triagem, investigar e responder a incidentes.

Para ajudar a permitir que suas equipes colaborem perfeitamente em toda a organização e com partes interessadas externas, consulte Integração com o Microsoft Teams diretamente do Microsoft Sentinel. E assista ao webinar "Diminua o MTTR (Mean Time to Respond) do seu SOC integrando o Microsoft Sentinel com o Microsoft Teams".

Talvez você também queira ler o artigo da documentação sobre a investigação de incidentes. Como parte da investigação, você também usará as páginas de entidade para obter mais informações sobre entidades relacionadas ao incidente ou identificadas como parte de sua investigação.

A investigação de incidentes no Microsoft Sentinel vai além da funcionalidade principal de investigação de incidentes. Você pode criar mais ferramentas de investigação usando pastas de trabalho e notebooks; os notebooks são discutidos na próxima seção, Módulo 17: Busca. Você também pode criar mais ferramentas de investigação ou modificar as existentes de acordo com suas necessidades específicas. Os exemplos incluem:

Módulo 17: busca

Embora a maior parte da discussão até agora tenha se concentrado na detecção e no gerenciamento de incidentes, a busca é outro caso de uso importante para o Microsoft Sentinel. A busca é uma busca proativa por ameaças em vez de uma resposta reativa aos alertas.

O painel de busca é atualizado constantemente. Ele mostra todas as consultas que foram escritas pela equipe de analistas de segurança da Microsoft e todas as consultas extras criadas ou modificadas por você. Cada consulta fornece uma descrição do que está procurando e em que tipo de dados é executado. Esses modelos são agrupados por suas várias táticas. Os ícones à direita categorizam o tipo de ameaça, como acesso inicial, persistência e exfiltração. Para saber mais, confira Buscar ameaças com o Microsoft Azure Sentinel.

Para entender mais sobre o que é a caça e como o Microsoft Sentinel a suporta, assista ao webinar introdutório "Caça a ameaças": YouTube, MP4 ou apresentação. O webinar começa com uma atualização sobre novos recursos. Para saber mais sobre a busca, comece no slide 12. O vídeo do YouTube já está definido para começar por aí.

Embora o webinar introdutório se concentre em ferramentas, a caça tem tudo a ver com segurança. Nosso webinar da equipe de pesquisa de segurança (YouTube, MP4 ou apresentação) se concentra em como realmente buscar.

O webinar de acompanhamento, "Caça a ameaças da AWS usando o Microsoft Sentinel" (YouTube, MP4 ou apresentação) orienta o ponto ao mostrar um cenário de busca de ponta a ponta em um ambiente de destino de alto valor.

Por fim, você pode aprender como fazer a busca pós-comprometimento do SolarWinds com o Microsoft Sentinel e a busca do WebShell, motivado pelas vulnerabilidades mais recentes nos servidores locais do Microsoft Exchange.

Módulo 18: UEBA (análise do comportamento de usuários e de entidades)

O recém-lançado módulo Microsoft Sentinel User and Entity Behavior Analytics (UEBA) permite que você identifique e investigue ameaças dentro de sua organização e seu impacto potencial, sejam eles provenientes de uma entidade comprometida ou de um insider mal-intencionado.

À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais básicos das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Por meio de várias técnicas e recursos de machine learning, o Microsoft Sentinel pode identificar atividades anômalas e ajudar você a determinar se um ativo está comprometido. Além disso, ele também pode descobrir a confidencialidade relativa de ativos específicos, identificar grupos de ativos de pares e avaliar o possível impacto dos ativos comprometidos (o "raio de transmissão" deles). Munido dessas informações, você pode priorizar efetivamente a investigação e o tratamento de incidentes.

Saiba mais sobre o UEBA assistindo ao webinar (YouTube, MP4 ou apresentação) e leia sobre o uso do UEBA para investigações em seu SOC.

Para saber mais sobre as atualizações mais recentes, assista ao webinar "Futuro da Análise Comportamental de Entidade de Usuários no Microsoft Sentinel".

Módulo 19: monitorando a integridade do Microsoft Sentinel

Parte da operação de um SIEM é garantir que ele funcione sem problemas e seja uma área em evolução no Azure Microsoft Sentinel. Use o seguinte para monitorar a integridade do Microsoft Sentinel:

Parte 5: avançado

Módulo 20: Estendendo e integrando usando as APIs do Microsoft Sentinel

Como um SIEM nativo da nuvem, o Microsoft Sentinel é um sistema que prioriza a API. Cada recurso pode ser configurado e usado por meio de uma API, permitindo fácil integração com outros sistemas e estendendo o Microsoft Sentinel com seu próprio código. Se a API parecer intimidadora para você, não se preocupe. O que estiver disponível usando a API também está disponível usando o PowerShell.

Para saber mais sobre as APIs do Microsoft Sentinel, assista ao pequeno vídeo introdutório e leia a postagem do blog. Para um mergulho mais profundo, assista ao webinar "Estendendo e integrando o Sentinel (APIs)" (YouTube, MP4 ou apresentação) e leia a postagem do blog Estendendo o Microsoft Sentinel: APIs, integração e automação de gerenciamento.

Módulo 21: Crie seu próprio aprendizado de máquina

O Microsoft Sentinel fornece uma ótima plataforma para implementar seus próprios algoritmos de aprendizado de máquina. Chamamos isso de modelo de aprendizado de máquina Faça você mesmo ou BYO ML. BYO ML é destinado a usuários avançados. Se você estiver procurando por análise comportamental integrada, use nossas regras de análise de aprendizado de máquina ou módulo UEBA ou escreva suas próprias regras de análise baseadas em KQL de análise comportamental.

Para começar a trazer seu próprio aprendizado de máquina para o Microsoft Sentinel, assista ao vídeo "Crie seu próprio modelo de aprendizado de máquina" e leia as detecções de modelo de aprendizado de máquina Crie suas próprias detecções de modelo de aprendizado de máquina no Azure Sentinel SIEM imerso em IA. Você também pode consultar a documentação do BYO ML.

Próximas etapas