Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo apresenta as atividades que o ajudam a planear, implementar e otimizar a sua implementação de Microsoft Sentinel.
Planear e preparar a descrição geral
Esta secção apresenta as atividades e os pré-requisitos que o ajudam a planear e preparar-se antes de implementar Microsoft Sentinel.
Normalmente, a fase de planeamento e preparação é realizada por um arquiteto do SOC ou funções relacionadas.
| Passo | Detalhes |
|---|---|
| 1. Planear e preparar a descrição geral e os pré-requisitos | Reveja os pré-requisitos do inquilino Azure. |
| 2. Planear a arquitetura da área de trabalho | Crie a área de trabalho do Log Analytics ativada para Microsoft Sentinel. Independentemente de estar a integrar no portal do Microsoft Defender, continuará a precisar de uma área de trabalho do Log Analytics. Considere parâmetros como: - Se irá utilizar um único inquilino ou vários inquilinos - Quaisquer requisitos de conformidade que tenha para recolha e armazenamento de dados - Como controlar o acesso a dados Microsoft Sentinel Reveja estes artigos: 1. Estruturar a arquitetura da área de trabalho 3. Rever os designs de áreas de trabalho de exemplo 4. Preparar várias áreas de trabalho |
| 3. Priorizar conectores de dados | Determine as origens de dados de que precisa e os requisitos de tamanho dos dados para o ajudar a projetar com precisão o orçamento e a linha cronológica da implementação. Pode determinar estas informações durante a revisão do caso de utilização empresarial ou ao avaliar um SIEM atual que já tenha implementado. Se já tiver um SIEM implementado, analise os seus dados para compreender quais as origens de dados que fornecem mais valor e devem ser ingeridas em Microsoft Sentinel. |
| 4. Planear funções e permissões | Utilize Azure controlo de acesso baseado em funções (RBAC) para criar e atribuir funções na sua equipa de operações de segurança para conceder acesso adequado a Microsoft Sentinel. As diferentes funções dão-lhe controlo detalhado sobre o que os utilizadores Microsoft Sentinel podem ver e fazer. Azure funções podem ser atribuídas diretamente na área de trabalho ou numa subscrição ou grupo de recursos a que pertence a área de trabalho, que Microsoft Sentinel herda. |
| 5. Planear os custos | Comece a planear o seu orçamento, tendo em conta as implicações de custos para cada cenário planeado. Certifique-se de que o orçamento abrange o custo da ingestão de dados para Microsoft Sentinel e Azure Log Analytics, quaisquer manuais de procedimentos que serão implementados, etc. |
Descrição geral da implementação
Normalmente, a fase de implementação é realizada por um analista do SOC ou funções relacionadas.
| Passo | Detalhes |
|---|---|
| 1. Ative Microsoft Sentinel, estado de funcionamento, auditoria e conteúdo | Ative Microsoft Sentinel, ative a funcionalidade de estado de funcionamento e auditoria e ative as soluções e os conteúdos que identificou de acordo com as necessidades da sua organização.
Para integrar no Microsoft Sentinel com a API, veja a versão suportada mais recente do Sentinel Estados de Inclusão. |
| 2. Configurar conteúdo | Configure os diferentes tipos de conteúdo de segurança Microsoft Sentinel, que lhe permitem detetar, monitorizar e responder a ameaças de segurança em todos os seus sistemas: Conectores de dados, regras de análise, regras de automatização, manuais de procedimentos, livros e listas de observação. |
| 3. Configurar uma arquitetura entre áreas de trabalho | Se o seu ambiente necessitar de várias áreas de trabalho, agora pode configurá-las como parte da sua implementação. Neste artigo, vai aprender a configurar Microsoft Sentinel para se expandir por várias áreas de trabalho e inquilinos. |
| 4. Ativar a Análise de Comportamento do Utilizador e da Entidade (UEBA) | Ative e utilize a funcionalidade UEBA para simplificar o processo de análise. |
| 5. Configurar Microsoft Sentinel data lake | Configure definições interativas e de retenção de dados para garantir que a sua organização retém dados críticos a longo prazo, tirando partido do Microsoft Sentinel data lake para armazenamento económico, visibilidade melhorada e integração totalmente integrada com ferramentas de análise avançadas. |
Ajustar e rever: Lista de verificação para pós-implementação
Reveja a lista de verificação pós-implementação para o ajudar a garantir que o processo de implementação está a funcionar conforme esperado e que o conteúdo de segurança que implementou está a funcionar e a proteger a sua organização de acordo com as suas necessidades e casos de utilização.
Normalmente, a fase de otimização e revisão é efetuada por um engenheiro do SOC ou funções relacionadas.
| Passo | Ações |
|---|---|
| ✅ Rever incidentes e processo de incidentes | - Verifique se os incidentes e o número de incidentes que está a ver refletem o que está realmente a acontecer no seu ambiente. - Verifique se o processo de incidente do SOC está a funcionar para processar incidentes de forma eficiente: atribuiu diferentes tipos de incidentes a diferentes camadas/camadas do SOC? Saiba mais sobre como navegar e investigar incidentes e como trabalhar com tarefas de incidentes. |
| ✅ Rever e ajustar as regras de análise | - Com base na análise de incidentes, verifique se as regras de análise são acionadas conforme esperado e se as regras refletem os tipos de incidentes em que está interessado. - Processe falsos positivos ao utilizar a automatização ou ao modificar as regras de análise agendada. - Microsoft Sentinel fornece capacidades de otimização incorporadas para o ajudar a analisar as suas regras de análise. Reveja estas informações incorporadas e implemente recomendações relevantes. |
| ✅ Rever regras de automatização e manuais de procedimentos | - À semelhança das regras de análise, verifique se as regras de automatização estão a funcionar conforme esperado e reflita os incidentes com os quais está preocupado e em que está interessado. - Verifique se os manuais de procedimentos estão a responder a alertas e incidentes conforme esperado. |
| ✅ Adicionar dados a listas de observação | Verifique se as suas listas de observação estão atualizadas. Se ocorrerem alterações no seu ambiente, como novos utilizadores ou casos de utilização, atualize as listas de observação em conformidade. |
| ✅ Rever escalões de alocação | Reveja os escalões de alocação que configurou inicialmente e verifique se estes escalões refletem a configuração atual. |
| ✅ Controlar os custos de ingestão | Para controlar os custos de ingestão, utilize um destes livros: - O livro Relatório de Utilização da Área de Trabalho fornece as estatísticas de consumo, custo e utilização de dados da área de trabalho. O livro fornece o estado de ingestão de dados da área de trabalho e a quantidade de dados gratuitos e faturáveis. Pode utilizar a lógica do livro para monitorizar a ingestão de dados e os custos e criar vistas personalizadas e alertas baseados em regras. - O livro custo do Microsoft Sentinel fornece uma vista mais focada dos custos de Microsoft Sentinel, incluindo dados de ingestão e retenção, dados de ingestão para origens de dados elegíveis, informações de faturação do Logic Apps e muito mais. |
| ✅ Ajustar as Regras de Recolha de Dados (DCRs) | - Verifique se os DCRs refletem as suas necessidades de ingestão de dados e casos de utilização. - Se necessário, implemente a transformação de tempo de ingestão para filtrar dados irrelevantes mesmo antes de serem armazenados pela primeira vez na área de trabalho. |
| ✅ Verificar as regras de análise em relação à arquitetura MITRE | Verifique a cobertura mitre na página Microsoft Sentinel MITRE: veja as deteções já ativas na área de trabalho e as que estão disponíveis para configurar, para compreender a cobertura de segurança da sua organização, com base nas táticas e técnicas da arquitetura MITRE ATT&CK®. |
| ✅ Investigar atividades suspeitas | Certifique-se de que o SOC tem um processo em curso para a investigação proativa de ameaças. A investigação é um processo em que os analistas de segurança procuram ameaças não detetadas e comportamentos maliciosos. Ao criar uma hipótese, procurar dados e validar essa hipótese, determina o que deve agir. As ações podem incluir a criação de novas deteções, novas informações sobre ameaças ou a criação de um novo incidente. |
Artigos relacionados
Neste artigo, analisou as atividades em cada uma das fases que o ajudam a implementar Microsoft Sentinel.
Consoante a fase em que se encontra, escolha os passos seguintes adequados:
- Planear e preparar - Pré-requisitos para implementar Azure Sentinel
- Implementar – Ativar Microsoft Sentinel e funcionalidades e conteúdos iniciais
- Otimizar e rever – Navegar e investigar incidentes no Microsoft Sentinel
Quando terminar a implementação do Microsoft Sentinel, continue a explorar Microsoft Sentinel capacidades ao rever tutoriais que abrangem tarefas comuns:
- O que é Microsoft Sentinel data lake?
- Reencaminhar dados do Syslog para uma área de trabalho do Log Analytics com Microsoft Sentinel através do Agente do Azure Monitor
- Configurar a retenção ao nível da tabela
- Detetar ameaças com regras de análise
- Verificar e registar automaticamente informações de reputação de endereços IP em incidentes
- Responder a ameaças com a automatização
- Extrair entidades de incidentes com ação não nativa
- Investigar com UEBA
- Criar e monitorizar Confiança Zero
Reveja o guia operacional Microsoft Sentinel para as atividades normais do SOC que recomendamos que realize diariamente, semanalmente e mensalmente.