Auditoria e monitoramento de integridade no Microsoft Sentinel
O Microsoft Sentinel é um serviço essencial para avançar e proteger a segurança dos ativos tecnológicos e de informação da sua organização, por isso quer ter a certeza de que está sempre a funcionar sem problemas e sem interferências.
Você deseja verificar se as muitas partes móveis do serviço estão sempre funcionando como pretendido e não estão sendo manipuladas por ações não autorizadas, seja por usuários internos ou de outra forma. Você também pode configurar notificações de desvios de integridade ou ações não autorizadas a serem enviadas às partes interessadas relevantes que podem responder ou aprovar uma resposta. Por exemplo, você pode definir condições para acionar o envio de e-mails ou mensagens do Microsoft Teams para equipes de operações, gerentes ou oficiais, lançar novos tíquetes em seu sistema de tíquetes e assim por diante.
Este artigo descreve como os recursos de monitoramento e auditoria de integridade do Microsoft Sentinel permitem monitorar a atividade de alguns dos principais recursos do serviço e inspecionar logs de ações do usuário dentro do serviço.
Armazenamento de dados de integridade e auditoria
Os dados de integridade e auditoria são coletados em duas tabelas no espaço de trabalho do Log Analytics: SentinelHealth e SentinelAudit
Os dados de auditoria são recolhidos no quadro SentinelAudit .
Os dados de integridade são coletados na tabela SentinelHealth , que captura eventos que registram cada vez que uma regra de automação é executada e os resultados finais dessas execuções. A tabela SentinelHealth inclui:
- Se as ações lançadas na regra têm sucesso ou falham, e os manuais chamados pela regra.
- Eventos que registram o acionamento sob demanda (manual ou baseado em API) de playbooks, incluindo as identidades que os acionaram e os resultados finais dessas execuções
A tabela SentinelHealth não inclui um registro da execução do conteúdo de um playbook, apenas se o playbook foi lançado com sucesso. Um log das ações executadas em um playbook, que são fluxos de trabalho de Aplicativos Lógicos, são listados na tabela AzureDiagnostics . O AzureDiagnostics fornece uma visão completa da integridade da automação quando usado em conjunto com os dados do SentinelHealth .
A maneira mais comum de usar esses dados é consultando essas tabelas. Para obter melhores resultados, crie suas consultas nas funções pré-criadas nessas tabelas, _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações sendo feitas no esquema das próprias tabelas.
A tabela SentinelHealth não é faturável e não incorre em encargos pela ingestão de dados de saúde. A tabela SentinelAudit é faturável e, como em outras áreas do Microsoft Sentinel, os custos incorridos dependem do volume de log, que pode ser afetado pelo número de atividades e alterações feitas nas regras relacionadas. Para obter mais informações, consulte Planejar custos e entender preços e cobrança do Microsoft Sentinel.
Importante
As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Perguntas para verificar a integridade do serviço e auditar dados
Use as seguintes perguntas para orientar seu monitoramento dos dados de integridade e auditoria do Microsoft Sentinel:
O conector de dados está funcionando corretamente?
O conector de dados está recebendo dados? Por exemplo, se você instruiu o Microsoft Sentinel a executar uma consulta a cada 5 minutos, deseja verificar se essa consulta está sendo executada, como está sendo executada e se há riscos ou vulnerabilidades relacionados à consulta.
Uma regra de automação foi executada conforme o esperado?
Sua regra de automação foi executada quando deveria, ou seja, quando suas condições foram atendidas? Todas as ações na regra de automação foram executadas com êxito?
Uma regra de análise foi executada conforme o esperado?
Sua regra de análise foi executada quando deveria e gerou resultados? Se você espera ver incidentes específicos em sua fila, mas não tem, quer saber se a regra foi executada, mas não encontrou nada (ou coisas suficientes), ou se não foi executada de todo.
Foram feitas alterações não autorizadas a uma regra de análise?
Algo mudou na regra? Você não obteve os resultados esperados da sua regra de análise e ela não teve nenhum problema de saúde. Você quer ver se alguma mudança não planejada foi feita na regra e, em caso afirmativo, quais mudanças foram feitas, por quem, de onde e quando.
Fluxo de monitoramento de integridade e auditoria
Para começar a coletar dados de integridade e auditoria, você precisa habilitar o monitoramento de integridade e auditoria nas configurações do Microsoft Sentinel. Em seguida, você pode mergulhar nos dados de integridade e auditoria que o Microsoft Sentinel coleta:
| Atividade | Mais informações |
|---|---|
| Execute consultas nas tabelas de dados SentinelHealth e SentinelAudit na página Logs do Microsoft Sentinel. | |
| Use as pastas de trabalho de auditoria e monitoramento de integridade fornecidas no Microsoft Sentinel. | |
| Use as ferramentas de gerenciamento de execução do Microsoft Sentinel para monitorar e otimizar a execução de regras de análise agendada | |
| Exporte os dados para vários destinos, como seu espaço de trabalho do Log Analytics, arquivamento em uma conta de armazenamento e muito mais. |
Conteúdos relacionados
- Ativar a auditoria e o monitoramento de integridade no Microsoft Sentinel
- Monitore a integridade de suas regras de automação e playbooks
- Monitore a integridade de seus conectores de dados
- Monitore a integridade e a integridade de suas regras de análise
- Monitorar a integridade do sistema SAP
- Os esquemas da tabela SentinelHealth e SentinelAudit.