Acompanhe a sua migração microsoft Sentinel com um livro

À medida que o Centro de Operações de Segurança (SOC) da sua organização lida com quantidades crescentes de dados, é essencial planear e monitorizar o seu estado de implantação. Embora possa acompanhar o seu processo de migração utilizando ferramentas genéricas como o Microsoft Project, Microsoft Excel, Teams ou Azure DevOps, estas ferramentas não são específicas para o rastreio da migração do SIEM. Para ajudá-lo no rastreio, fornecemos um livro dedicado no Microsoft Sentinel chamado Microsoft Sentinel Deployment and Migration.

O livro ajuda-o a:

  • Visualizar o progresso da migração
  • Implementar e rastrear fontes de dados
  • Implementar e monitorizar regras e incidentes de análise
  • Implementar e utilizar livros de trabalho
  • Implementar e executar a automatização
  • Implementar e personalizar análise comportamental do utilizador e da entidade (U E B A)

Este artigo descreve como acompanhar a sua migração com o livro de implementação e migração do Microsoft Sentinel , como personalizar e gerir o livro, e como usar os separadores do livro para implementar e monitorizar conectores de dados, análises, incidentes, playbooks, regras de automação, U E B A e gestão de dados. Saiba mais sobre como usar os livros do Azure Monitor no Microsoft Sentinel.

Implemente o conteúdo do livro e veja o livro

  1. No portal do Azure, selecione o Microsoft Sentinel e, em seguida, selecione Workbooks.
  2. Do bar de pesquisa, procure.migration
  3. A partir dos resultados da pesquisa, selecione o livro de implementação e migração do Microsoft Sentinel e selecione Save. O Microsoft Sentinel implementa o livro e guarda o livro no seu ambiente.
  4. Para ver o livro, selecione Open save workbook.

Implementar a lista de observação

  1. No repositório Do Microsoft Sentinel GitHub, selecione a pasta DeploymentandMigration e selecione Implementar para Azure para iniciar a implementação do modelo em Azure.
  2. Forneça o grupo de recursos Microsoft Sentinel e o nome do espaço de trabalho. Screenshot de implantar a lista de observação para Azure.
  3. Selecione 'Rever' e criar.
  4. Depois de validar a informação, selecione Criar.

Atualizar a lista de observação com ações de implantação e migração

Este passo é crucial para o processo de configuração de rastreio. Se saltar este passo, o livro não refletirá os itens para rastreio.

Para atualizar a lista de observação com ações de implantação e migração:

  1. Na portal do Azure, selecione o Microsoft Sentinel e, em seguida, selecione Watchlist.
  2. Localize a lista de vigilância com o pseudónimo de Implantação .
  3. Selecione a lista de observação e, em seguida, selecione itens da lista de observação 'Update' > no canto inferior direito. Screenshot de atualizar itens da lista de observação com ações de implementação e migração.
  4. Forneça as informações sobre as ações necessárias para a implantação e migração e selecione Save.

Agora pode ver a lista de observação dentro do manual de migração. Aprenda a gerir listas de observação.

Além disso, a sua equipa poderá atualizar ou completar tarefas durante o processo de implementação. Para resolver estas alterações, pode atualizar as ações existentes ou adicionar novas ações à medida que identifica novos casos de utilização ou define novos requisitos. Para atualizar ou adicionar ações, edite a lista de observação de Implementação que implementou anteriormente. Para simplificar o processo, selecione Editar a Lista de Observação de Implementação na parte inferior esquerda para abrir a lista de observação diretamente a partir do livro.

Ver estado de implantação

Para visualizar rapidamente o progresso da implementação, no livro de trabalho de implementação e migração do Microsoft Sentinel , selecione Deployment e desloque-se para localizar o Resumo do progresso. Esta área apresenta o estado de implantação, incluindo as seguintes informações:

  • Tabelas reportando dados
  • Número de tabelas que reportam dados
  • Número de registos reportados e quais as tabelas que reportam os dados de registo
  • Número de regras ativadas vs. regras não desempreadas
  • Livros recomendados implantados
  • Número total de livros implantados
  • Número total de playbooks implantados

Implementar e monitorizar os conectores de dados

Para monitorizar os recursos implantados e implementar novos conectores, no livro de implementação e migração do Microsoft Sentinel , selecione Data Connectors > Monitor. As listas de visualização do Monitor :

  • Tendências atuais de ingestão
  • Tabelas ingerindo dados
  • Quantos dados cada tabela está a reportar
  • Relatórios de pontos finais com o Agente de Monitorização da Microsoft (MMA)
  • Pontos finais reportando com o Agente de Monitorização Azure (AMA)
  • Pontos finais reportando com os agentes do MMA e da AMA
  • Regras de recolha de dados no grupo de recursos e nos dispositivos ligados às regras
  • Saúde do conector de dados (alterações e falhas)
  • Registos de saúde dentro do intervalo de tempo especificado

Screenshot da visualização do separador monitor do separador data connectors do livro.

Para configurar um conector de dados:

  1. Selecione a vista Configurar .
  2. Selecione o botão com o nome do conector que pretende configurar.
  3. Configure o conector no ecrã de estado do conector que se abre. Se não encontrar um conector de que necessita, selecione o nome do conector para abrir a galeria do conector ou a galeria de soluções. Screenshot da vista de configuração do livro.

Implementar e monitorizar análises e incidentes

Uma vez que os dados são reportados no espaço de trabalho, pode agora configurar e monitorizar as regras de análise. No livro de implementação e migração do Microsoft Sentinel , selecione Analytics para ver todos os modelos e listas de regras implementadas. Este ponto de vista indica quais as regras atualmente em uso e com que frequência as regras geram incidentes.

Screenshot do separador Analytics do livro.

Se precisar de mais cobertura, selecione a cobertura do MITRE abaixo da tabela à esquerda. Utilize esta opção para definir quais as áreas que recebem mais cobertura e quais as regras que são implementadas, em qualquer fase do projeto de migração.

Screenshot da vista de cobertura MITRE do livro.

Uma vez implementadas as regras de análise desejadas e o conector do produto Defender está configurado para enviar os alertas, pode monitorizar a criação e frequência de incidentes sob o Resumo do Progresso da Implementação>. Esta área apresenta métricas relativas à geração de alerta por produto, título e classificação, para indicar a saúde do SOC e que os alertas requerem mais atenção. Se os alertas estiverem a gerar demasiado volume, volte ao separador Analytics para modificar a lógica.

Screenshot do resumo do progresso no separador Analytics do livro.

Implementar e utilizar livros de trabalho

Para visualizar informações sobre a ingestão de dados e deteções que o Microsoft Sentinel executa, no livro de implementação e migração do Microsoft Sentinel , selecione Workbooks. Semelhante ao separador Data Connectors , pode utilizar as vistas Monitor e Configure para visualizar informações de monitorização e configuração.

Aqui estão algumas tarefas úteis que pode executar no separador Livros de Trabalho:

  • Para ver uma lista de todos os livros de trabalho no ambiente e quantos livros estão implantados, selecione Monitor.

  • Para ver um livro específico dentro do livro de implementação e migração do Microsoft Sentinel , selecione um livro de trabalho e, em seguida, selecione Open Selected Workbook.

    Screenshot de selecionar um livro no separador Livro.

  • Se ainda não implementou livros, selecione Configure para ver uma lista de livros comumente usados e recomendados. Se um livro não estiver listado, selecione Ir à Galeria do Livro ou Ir ao Content Hub para implementar o livro relevante.

    Screenshot de visualização de um livro a partir do separador Livro.

Implementar e monitorizar os playbooks e as regras de automação

Uma vez configurada a ingestão de dados, deteções e visualizações, pode agora olhar para a automação. No livro de trabalhos de implementação e migração do Microsoft Sentinel , selecione Automação para ver os playbooks implantados e para ver quais os playbooks que estão atualmente ligados a uma regra de automação. Se existirem regras de automação, o livro realça as seguintes informações relativas a cada regra:

  • Name
  • Estado
  • Ação ou ações da regra
  • A última data em que a regra foi alterada e o utilizador que modificou a regra
  • A data em que a regra foi criada

Para visualizar, implementar e testar a automatização dentro da secção atual do livro, selecione Implementar recursos de automação na parte inferior esquerda.

Saiba mais sobre as capacidades do Microsoft Sentinel SOAR para playbooks e para regras de automação.

Screenshot do separador automação do livro.

Implementar e monitorizar U E B A

Como o relato e deteção de dados acontecem ao nível da entidade, é essencial monitorizar o comportamento e tendências da entidade. Para ativar a funcionalidade U E B A dentro do Microsoft Sentinel, no livro de implementação e migração do Microsoft Sentinel , selecione UEBA. Aqui pode personalizar os prazos da entidade para páginas de entidades e ver quais as tabelas relacionadas com a entidade que são preenchidas com dados.

Screenshot do separador U E B A do livro.

Para permitir u E B A:

  1. Selecione Enable UEBA acima da lista de tabelas.
  2. Para ativar U E B A, selecione On.
  3. Selecione as fontes de dados que pretende utilizar para gerar insights.
  4. Selecione Aplicar.

Depois de ativar u E B A, pode monitorizar e garantir que o Microsoft Sentinel está a gerar dados U E B A.

Para personalizar a linha do tempo:

  1. Selecione Personalizar a Linha do Tempo de Oportunidade da Entidade acima da lista de tabelas.
  2. Crie um item personalizado ou selecione um dos modelos fora da caixa.
  3. Para implementar o modelo e completar o assistente, selecione Criar.

Saiba mais sobre U E B A ou aprenda a personalizar a linha do tempo.

Configurar e gerir o ciclo de vida dos dados

Quando implementa ou migra para o Microsoft Sentinel, é essencial gerir o uso e o ciclo de vida dos registos de entrada. Para ajudar com isto, no livro de implementação e migração do Microsoft Sentinel, selecione Gestão de Dados para visualizar e configurar a retenção de mesa e arquivo.

Screenshot do separador Gestão de Dados do livro.

Pode ver informações sobre:

  • Tabelas configuradas para ingestão básica de log
  • Tabelas configuradas para ingestão de nível de análise
  • Tabelas configuradas para serem arquivadas
  • Tabelas na retenção padrão do espaço de trabalho

Para modificar a política de retenção existente para tabelas:

  1. Selecione a vista das tabelas de retenção predefinidos .
  2. Selecione a tabela que pretende modificar e selecione Retenção de Atualização. Pode editar as seguintes informações:
    • Retenção atual no espaço de trabalho
    • Retenção atual no arquivo
    • Número total de dias os dados viverão no ambiente
  3. Editar o valor TotalRetention para definir um novo número total de dias que os dados devem existir dentro do ambiente.

O valor ArchiveRetention é calculado subtraindo o valor TotalRetention do valor InteractiveRetention . Se precisar de ajustar a retenção do espaço de trabalho, a alteração não afeta tabelas que incluam arquivos configurados e os dados não são perdidos. Se editar o valor InteractiveRetention e o valor TotalRetention não mudar, o Azure Log Analytics ajusta a retenção de arquivo para compensar a alteração.

Se preferir fazer alterações no UI, selecione Update Retention in UI para abrir a lâmina relevante.

Saiba mais sobre a gestão do ciclo de vida dos dados.

Ativar dicas e instruções de migração

Para ajudar no processo de implantação e migração, o livro inclui dicas que explicam como usar os diferentes separadores e ligações a recursos relevantes. As dicas baseiam-se na documentação de migração do Microsoft Sentinel e são relevantes para o seu SIEM atual. Para ativar dicas e instruções, no livro de implementação e migração do Microsoft Sentinel , no topo direito, desemocione as Dicas de Migração e instruções para Sim.

Screenshot das dicas e instruções de migração do livro.

Passos seguintes

Neste artigo, aprendeu a acompanhar a sua migração com o livro de implementação e migração do Microsoft Sentinel .