Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
No passo de implementação anterior, ativou Microsoft Sentinel, monitorização do estado de funcionamento e as soluções necessárias. Neste artigo, vai aprender a configurar os diferentes tipos de conteúdo de segurança Microsoft Sentinel, que lhe permitem detetar, monitorizar e responder a ameaças de segurança em todos os seus sistemas. Este artigo faz parte do Guia de implementação para Microsoft Sentinel.
Configurar o conteúdo de segurança
| Passo | Descrição |
|---|---|
| Configurar conectores de dados | Com base nas origens de dados que selecionou quando planeou a implementação e depois de ativar as soluções relevantes, pode agora instalar ou configurar os seus conectores de dados. - Se estiver a utilizar um conector existente, localize o conector a partir desta lista completa de conectores de dados. - Se estiver a criar um conector personalizado, utilize estes recursos. - Se estiver a configurar um conector para ingerir registos CEF ou Syslog, veja estas opções. |
| Configurar regras de análise | Depois de configurar Microsoft Sentinel para recolher dados de toda a organização, pode começar a utilizar regras de análise para detetar ameaças. Selecione os passos necessários para configurar as regras de análise: - Criar regras agendadas a partir de modelos ou do zero: crie regras de análise para ajudar a detetar ameaças e comportamentos anómalos no seu ambiente. - Mapear campos de dados a entidades: adicionar ou alterar mapeamentos de entidades numa regra de análise. - Detalhes personalizados do Surface em alertas: adicione ou altere detalhes personalizados numa regra de análise. - Personalizar detalhes do alerta: substitua as propriedades predefinidas dos alertas com conteúdo dos resultados da consulta subjacente. - Exportar e importar regras de análise: exporte as regras de análise para Azure Resource Manager ficheiros de modelo (ARM) e importe regras destes ficheiros. A ação de exportação cria um ficheiro JSON na localização de transferências do browser, que, em seguida, pode mudar o nome, mover e processar como qualquer outro ficheiro. - Criar regras de análise de deteção quase em tempo real (NRT): crie regras de análise quase em tempo real para deteção de ameaças de última hora. Este tipo de regra foi concebido para ser altamente reativo ao executar a consulta em intervalos de apenas um minuto de diferença. - Trabalhar com regras de análise de deteção de anomalias: trabalhe com modelos de anomalias incorporados que utilizam milhares de origens de dados e milhões de eventos ou altere limiares e parâmetros para as anomalias na interface de utilizador. - Gerir versões de modelos para as suas regras de análise agendadas: controle as versões dos seus modelos de regras de análise e reverta as regras ativas para versões de modelo existentes ou atualize-as para novas. - Lidar com o atraso de ingestão nas regras de análise agendada: saiba como o atraso na ingestão pode afetar as regras de análise agendada e como pode corrigi-las para cobrir estas lacunas. |
| Configurar regras de automatização | Criar regras de automatização. Defina os acionadores e condições que determinam quando a regra de automatização é executada, as várias ações que pode executar a regra e as funcionalidades restantes. |
| Configurar manuais de procedimentos | Um manual de procedimentos é uma coleção de ações de remediação que executa a partir de Microsoft Sentinel como uma rotina, para ajudar a automatizar e orquestrar a sua resposta a ameaças. Para configurar manuais de procedimentos: - Rever manuais de procedimentos recomendados - Criar manuais de procedimentos a partir de modelos: um modelo de manual de procedimentos é um fluxo de trabalho pré-criado, testado e pronto a utilizar que pode ser personalizado para satisfazer as suas necessidades. Os modelos também podem servir de referência para as melhores práticas ao desenvolver manuais de procedimentos de raiz ou como inspiração para novos cenários de automatização. - Reveja estes passos para criar um manual de procedimentos |
| Configurar livros |
Os livros fornecem uma tela flexível para análise de dados e criação de relatórios visuais avançados no Microsoft Sentinel. Os modelos de livros permitem-lhe obter rapidamente informações sobre os seus dados assim que ligar uma origem de dados. Para configurar livros: - Rever livros de Microsoft Sentinel utilizados frequentemente - Utilizar modelos de livros existentes disponíveis com soluções em pacote - Criar livros personalizados nos seus dados |
| Configurar listas de observação |
As listas de observação permitem-lhe correlacionar dados de uma origem de dados que fornece com os eventos no seu ambiente de Microsoft Sentinel. Para configurar listas de observação: - Criar listas de observação - Criar consultas ou regras de deteção com listas de observação: consulte dados em qualquer tabela relativamente a dados de uma lista de observação ao tratar a lista de observação como uma tabela para associações e pesquisas. Quando cria uma lista de observação, define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que espera utilizar como uma associação a outros dados ou como um objeto frequente de pesquisas. |
Passos seguintes
Neste artigo, aprendeu a configurar os diferentes tipos de conteúdo de segurança Microsoft Sentinel.