Auditoria e monitorização do estado de funcionamento no Microsoft Sentinel

O Microsoft Sentinel é um serviço crítico para avançar e proteger a segurança dos recursos tecnológicos e de informação da sua organização, pelo que deverá ter a certeza de que está sempre a funcionar sem problemas e sem interferências. Vai querer ter a certeza de que as várias partes móveis do serviço estão sempre a funcionar conforme pretendido e que o serviço não está a ser manipulado por ações não autorizadas, quer por utilizadores internos, quer por outros. Também pode querer configurar notificações de desfasamentos de estado de funcionamento ou ações não autorizadas para serem enviadas aos intervenientes relevantes que possam responder ou aprovar uma resposta. Por exemplo, pode definir condições para acionar o envio de e-mails ou mensagens do Microsoft Teams para equipas de operações, gestores ou oficiais, iniciar novos pedidos de suporte no seu sistema de permissões, etc.

Este artigo descreve como as funcionalidades de auditoria e monitorização do estado de funcionamento do Microsoft Sentinel lhe permitem monitorizar a atividade de alguns dos principais recursos do serviço e inspecionar registos de ações de utilizador no serviço.

Descrição

Esta secção descreve a função e os casos de utilização dos componentes de monitorização e auditoria do estado de funcionamento.

Armazenamento de dados

Os dados de estado de funcionamento e auditoria são recolhidos em duas tabelas na área de trabalho do Log Analytics:

• Os dados de estado de funcionamento são recolhidos na tabela SentinelHealth .
• Os dados de auditoria são recolhidos na tabela SentinelAudit .

A forma mais comum de utilizar estes dados é ao consultar estas tabelas.

Para obter os melhores resultados, deve criar as suas consultas nas funções pré-criadas nestas tabelas , _SentinelHealth() e _SentinelAudit(), em vez de consultar diretamente as tabelas. Estas funções garantem a manutenção da retrocompatibilidade das consultas no caso de serem efetuadas alterações ao esquema das próprias tabelas.

Importante

• As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

• Ao monitorizar o estado de funcionamento dos manuais de procedimentos, também terá de capturar eventos de diagnóstico do Azure Logic Apps a partir dos seus manuais de procedimentos, para além dos dados sentinelHealth , para obter a imagem completa da sua atividade do manual de procedimentos. Os dados de diagnóstico do Azure Logic Apps são recolhidos na tabela AzureDiagnostics na sua área de trabalho.

Casos de utilização

Saúde

O conector de dados está a ser executado corretamente?

O conector de dados está a receber dados? Por exemplo, se deu instruções ao Microsoft Sentinel para executar uma consulta a cada 5 minutos, quer verificar se essa consulta está a ser executada, o desempenho e se existem riscos ou vulnerabilidades relacionados com a consulta.

Uma regra de automatização foi executada conforme esperado?

A regra de automatização foi executada quando devia, ou seja, quando as condições foram cumpridas? Todas as ações na regra de automatização foram executadas com êxito?

Uma regra de análise foi executada conforme esperado?

A regra de análise foi executada quando devia e gerou resultados? Se estiver à espera de ver incidentes específicos na sua fila, mas não o fizer, quer saber se a regra foi executada, mas não encontrou nada (ou coisas suficientes) ou se não foi executada.

Auditoria

Foram efetuadas alterações não autorizadas a uma regra de análise?

Algo mudou na regra? Não obteve os resultados esperados da regra de análise e não teve quaisquer problemas de estado de funcionamento. Quer ver se foram efetuadas alterações não planeadas à regra e, em caso afirmativo, que alterações foram efetuadas, por quem, de onde e quando.

Como o Microsoft Sentinel apresenta dados de estado de funcionamento e auditoria

Para começar a recolher dados de estado de funcionamento e auditoria, tem de ativar a monitorização do estado de funcionamento e da auditoria nas definições do Microsoft Sentinel. Em seguida, pode analisar os dados de estado de funcionamento e auditoria que o Microsoft Sentinel recolhe:

• Execute consultas nas tabelas de dados SentinelHealth e SentinelAudit no painel Registos do Microsoft Sentinel.

  • Conectores de dados
  • Regras de automatização e manuais de procedimentos (associar consulta com diagnósticos do Azure Logic Apps)
  • Regras de análise

• Utilize os livros de auditoria e monitorização do estado de funcionamento fornecidos no Microsoft Sentinel.

  • Conectores de dados
  • Regras de automatização e manuais de procedimentos
  • Regras de análise

• Utilize as ferramentas de gestão de execução do Microsoft Sentinel para monitorizar e otimizar a execução das regras de análise agendada.

• Exporte os dados para vários destinos, como a área de trabalho do Log Analytics, arquivar para uma conta de armazenamento e muito mais. Saiba mais sobre os destinos suportados para os seus registos.

Passos seguintes

• Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
• Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
• Monitorize o estado de funcionamento dos conectores de dados.
• Monitorize o estado de funcionamento e integridade das regras de análise.
• Veja mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit .

Veja também:

• Está a utilizar a Solução do Microsoft Sentinel para SAP? Monitorize também o seu estado de funcionamento .