Visualize os dados coletados

  • Artigo

Neste artigo, você aprenderá como visualizar e monitorar rapidamente o que está acontecendo em seu ambiente usando o Microsoft Sentinel. Depois de conectar suas fontes de dados ao Microsoft Sentinel, você obtém visualização instantânea e análise de dados para saber o que está acontecendo em todas as fontes de dados conectadas. O Microsoft Sentinel oferece pastas de trabalho que fornecem todo o poder das ferramentas já disponíveis no Azure, bem como tabelas e gráficos internos para fornecer análises para seus logs e consultas. Você pode usar modelos de pasta de trabalho ou criar uma nova pasta de trabalho facilmente, do zero ou com base em uma pasta de trabalho existente.

Obter visualização

Para visualizar e obter uma análise do que está acontecendo em seu ambiente, primeiro, dê uma olhada no painel de visão geral para ter uma ideia da postura de segurança da sua organização. Para ajudá-lo a reduzir o ruído e minimizar o número de alertas que você precisa revisar e investigar, o Microsoft Sentinel usa uma técnica de fusão para correlacionar alertas em incidentes. Incidentes são grupos de alertas relacionados que, juntos, criam um incidente acionável que você pode investigar e resolver.

No portal do Azure, selecione Microsoft Sentinel e, em seguida, selecione o espaço de trabalho que deseja monitorar.

Screenshot of the Microsoft Sentinel overview page.

Se quiser atualizar os dados de todas as seções do painel, selecione Atualizar na parte superior do painel. Para melhorar o desempenho, os dados de cada seção do painel são pré-calculados e você pode ver o tempo de atualização na parte superior de cada seção.

Ver dados de incidentes

Você vê diferentes tipos de dados de incidentes em Incidentes.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • No canto superior esquerdo, você vê o número de incidentes novos, ativos e fechados nas últimas 24 horas.
  • No canto superior direito, você vê incidentes organizados por gravidade e incidentes fechados por classificação de fechamento.
  • No canto inferior esquerdo, um gráfico divide o status do incidente por tempo de criação, em intervalos de quatro horas.
  • No canto inferior direito, você pode ver o tempo médio para reconhecer um incidente e o tempo médio para fechar, com um link para a pasta de trabalho de eficiência SOC.

Exibir dados de automação

Você vê diferentes tipos de dados de automação em Automação.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • Na parte superior, você vê um resumo da atividade das regras de automação: Incidentes fechados pela automação, o tempo economizado pela automação e a integridade dos manuais relacionados.
  • Abaixo do resumo, um gráfico resume os números de ações realizadas pela automação, por tipo de ação.
  • Na parte inferior, você pode encontrar uma contagem das regras de automação ativas com um link para a folha de automação.

Exibir o status de registros de dados, coletores de dados e inteligência de ameaças

Você vê diferentes tipos de dados em registros de dados, coletores de dados e inteligência de ameaças em Dados.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • À esquerda, um gráfico mostra o número de registros que o Microsoft Sentinel coletou nas últimas 24 horas, em comparação com as 24 horas anteriores, e as anomalias detetadas nesse período de tempo.
  • No canto superior direito, você verá um resumo do status do conector de dados, dividido por conectores ativos e não íntegros. Conectores não íntegros indicam quantos conectores têm erros. Conectores ativos são conectores com streaming de dados para o Microsoft Sentinel, conforme medido por uma consulta incluída no conector.
  • No canto inferior direito, você pode ver registros de inteligência de ameaças no Microsoft Sentinel, por indicador de comprometimento.

Ver dados de análise

Você vê dados para regras de análise em Analytics.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Você vê o número de regras de análise no Microsoft Sentinel, por status habilitado, desabilitado ou desabilitado automaticamente.

Usar modelos de pastas de trabalho

Os modelos de pasta de trabalho fornecem dados integrados de suas fontes de dados conectadas para permitir que você se aprofunde nos eventos gerados nesses serviços. Os modelos de pasta de trabalho incluem ID do Microsoft Entra, eventos de atividade do Azure e locais, que podem ser dados de Eventos do Windows de servidores, de alertas primários, de terceiros, incluindo logs de tráfego de firewall, Office 365 e protocolos inseguros baseados em eventos do Windows. As pastas de trabalho são baseadas nas Pastas de Trabalho do Azure Monitor para fornecer personalização e flexibilidade aprimoradas na criação de sua própria pasta de trabalho. Para obter mais informações, consulte Pastas de trabalho.

  1. Em Configurações, selecione Pastas de trabalho. Em Minhas pastas de trabalho, você pode ver todas as pastas de trabalho salvas. Em Modelos, você pode ver os modelos de pastas de trabalho instalados. Para encontrar mais modelos de pasta de trabalho, vá para o hub Conteúdo no Microsoft Sentinel para instalar soluções de produto ou conteúdo autônomo.
  2. Procure uma pasta de trabalho específica para ver toda a lista e descrição do que cada uma oferece.
  3. Supondo que você use o Microsoft Entra ID para começar a trabalhar com o Microsoft Sentinel, recomendamos que você instale a solução Microsoft Entra para o Microsoft Sentinel e use as seguintes pastas de trabalho:

    • ID do Microsoft Entra: use uma das seguintes opções ou ambas:

      • O Microsoft Entra inicia sessão analisa os inícios de sessão ao longo do tempo para ver se existem anomalias. Essas pastas de trabalho fornecem entradas com falha por aplicativos, dispositivos e locais para que você possa notar, rapidamente, se algo incomum acontecer. Preste atenção a várias entradas com falha.
      • Os logs de auditoria do Microsoft Entra analisam atividades administrativas, como alterações nos usuários (adicionar, remover, etc.), criação de grupos e modificações.

    • Instale a solução apropriada para adicionar uma pasta de trabalho para seu firewall. Por exemplo, instale a solução de firewall Palo Alto para Microsoft Sentinel para adicionar as pastas de trabalho Palo Alto. As pastas de trabalho analisam o tráfego do firewall, fornecendo correlações entre os dados do firewall e os eventos de ameaça, e destacam eventos suspeitos entre entidades. As pastas de trabalho fornecem informações sobre tendências em seu tráfego e permitem detalhar e filtrar resultados.

      Palo Alto dashboard

Você pode personalizar as pastas de trabalho editando a consulta query edit buttonprincipal . Você pode clicar no botão Log Analytics button para ir para o Log Analytics para editar a consulta lá, e você pode selecionar as reticências (...) e selecionar Personalizar dados de bloco, que permite editar o filtro de tempo principal, ou remover os blocos específicos da pasta de trabalho.

Para obter mais informações sobre como trabalhar com consultas, consulte Tutorial: Dados visuais no Log Analytics

Adicionar um novo mosaico

Se quiser adicionar um novo bloco, você pode adicioná-lo a uma pasta de trabalho existente, seja uma que você criar ou uma pasta de trabalho interna do Microsoft Sentinel.

  1. No Log Analytics, crie um bloco usando as instruções encontradas em Dados visuais no Log Analytics.
  2. Depois que o bloco for criado, em Fixar, selecione a pasta de trabalho na qual você deseja que o bloco apareça.

Criar novas pastas de trabalho

Você pode criar uma nova pasta de trabalho do zero ou usar um modelo de pasta de trabalho como base para sua nova pasta de trabalho.

  1. Para criar uma nova pasta de trabalho do zero, selecione Pastas de trabalho e, em seguida , +Nova pasta de trabalho.
  2. Selecione a assinatura na qual a pasta de trabalho foi criada e atribua-lhe um nome descritivo. Cada pasta de trabalho é um recurso do Azure como qualquer outro, e você pode atribuí-la funções (Azure RBAC) para definir e limitar quem pode acessar.
  3. Para permitir que ele apareça em suas pastas de trabalho para fixar visualizações, você precisa compartilhá-lo. Clique em Partilhar e, em seguida, em Gerir utilizadores.
  4. Use as atribuições de Verificar acesso e Função como faria para qualquer outro recurso do Azure. Para obter mais informações, consulte Compartilhar pastas de trabalho do Azure usando o Azure RBAC.

Novos exemplos de livros

A consulta de exemplo a seguir permite comparar tendências de tráfego ao longo das semanas. Você pode alternar facilmente em qual fornecedor de dispositivo e fonte de dados você executa a consulta. Este exemplo usa SecurityEvent do Windows, você pode alterná-lo para ser executado no AzureActivity ou CommonSecurityLog em qualquer outro firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Talvez você queira criar uma consulta que incorpore dados de várias fontes. Você pode criar uma consulta que examina os logs de auditoria do Microsoft Entra para novos usuários que acabaram de ser criados e, em seguida, verifica seus logs do Azure para ver se o usuário começou a fazer alterações de atribuição de função dentro de 24 horas após a criação. Essa atividade suspeita apareceria neste painel:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Você pode criar diferentes pastas de trabalho com base na função da pessoa que está olhando para os dados e o que ela está procurando. Por exemplo, você pode criar uma pasta de trabalho para o administrador da rede que inclua os dados do firewall. Você também pode criar pastas de trabalho com base na frequência com que deseja vê-las, se há coisas que deseja revisar diariamente e outros itens que deseja verificar uma vez por hora, por exemplo, você pode querer olhar para suas entradas do Microsoft Entra a cada hora para procurar anomalias.

Criar novas deteções

Gere deteções nas fontes de dados conectadas ao Microsoft Sentinel para investigar ameaças em sua organização.

Ao criar uma nova deteção, aproveite as deteções criadas pelos pesquisadores de segurança da Microsoft que são adaptadas às fontes de dados conectadas.

Para visualizar as deteções prontas para uso instaladas, vá para Analytics e, em seguida, para Modelos de regras. Esta guia contém todos os modelos de regras do Microsoft Sentinel instalados. Para encontrar mais modelos de regras, vá para o hub Conteúdo no Microsoft Sentinel para instalar soluções de produto ou conteúdo autônomo.

Use built-in detections to find threats with Microsoft Sentinel

Para obter mais informações sobre como obter deteções prontas para uso, consulte Obter análises integradas.

Próximos passos

Detete ameaças prontas para uso e crie regras personalizadas de deteção de ameaças para automatizar suas respostas a ameaças.