Controlar a migração do Microsoft Sentinel com um livro
À medida que o Centro de Operações de Segurança (SOC) da sua organização processa quantidades crescentes de dados, é essencial planear e monitorizar o seu estado de implementação. Embora possa controlar o seu processo de migração com ferramentas genéricas como o Microsoft Project, Microsoft Excel, Teams ou Azure DevOps, estas ferramentas não são específicas do controlo de migração siEM. Para o ajudar no controlo, fornecemos um livro dedicado no Microsoft Sentinel com o nome Implementação e Migração do Microsoft Sentinel.
O livro ajuda-o a:
- Visualizar o progresso da migração
- Implementar e controlar origens de dados
- Implementar e monitorizar regras e incidentes de análise
- Implementar e utilizar livros
- Implementar e efetuar automatização
- Implementar e personalizar a análise comportamental de utilizadores e entidades (U E B A)
Este artigo descreve como controlar a sua migração com o livro Implementação e Migração do Microsoft Sentinel , como personalizar e gerir o livro e como utilizar os separadores do livro para implementar e monitorizar conectores de dados, análise, incidentes, manuais de procedimentos, regras de automatização, U E B A e gestão de dados. Saiba mais sobre como utilizar livros do Azure Monitor no Microsoft Sentinel.
Implementar o conteúdo do livro e ver o livro
- Na portal do Azure, selecione Microsoft Sentinel e, em seguida, selecione Livros.
- Na barra de pesquisa, procure
migration
. - Nos resultados da pesquisa, selecione o livro Implementação e Migração do Microsoft Sentinel e selecione Guardar. O Microsoft Sentinel implementa o livro e guarda o livro no seu ambiente.
- Para ver o livro, selecione Abrir livro guardado.
Implementar a lista de observação
- No repositório do GitHub do Microsoft Sentinel, selecione a pasta DeploymentandMigration e selecione Deploy to Azure (Implementar no Azure ) para iniciar a implementação do modelo no Azure.
- Indique o grupo de recursos e o nome da área de trabalho do Microsoft Sentinel.
- Selecione Rever e criar.
- Depois de validar as informações, selecione Criar.
Atualizar a lista de observação com ações de implementação e migração
Este passo é crucial para o processo de configuração de controlo. Se ignorar este passo, o livro não refletirá os itens para controlo.
Para atualizar a lista de observação com ações de implementação e migração:
- Na portal do Azure, selecione Microsoft Sentinel e, em seguida, selecione Lista de observação.
- Localize a lista de observação com o alias implementação .
- Selecione a lista de observação e, em seguida, selecione Atualizar lista de observação > editar itens da lista de observação no canto inferior direito.
- Forneça as informações para as ações necessárias para a implementação e migração e selecione Guardar.
Agora pode ver a lista de observação no livro do controlador de migração. Saiba como gerir listas de observação.
Além disso, a sua equipa pode atualizar ou concluir tarefas durante o processo de implementação. Para resolver estas alterações, pode atualizar as ações existentes ou adicionar novas ações à medida que identifica novos casos de utilização ou define novos requisitos. Para atualizar ou adicionar ações, edite a Lista de observação de implementação que implementou anteriormente. Para simplificar o processo, selecione Editar Lista de Observação de Implementação na parte inferior esquerda para abrir a lista de observação diretamente a partir do livro.
Ver o estado da implementação
Para ver rapidamente o progresso da implementação, no livro Implementação e Migração do Microsoft Sentinel , selecione Implementação e desloque-se para baixo para localizar o Resumo do progresso. Esta área apresenta o estado da implementação, incluindo as seguintes informações:
- Dados de relatórios de tabelas
- Número de tabelas a reportar dados
- Número de registos comunicados e que tabelas comunicam os dados de registo
- Número de regras ativadas vs. regras não publicadas
- Livros recomendados implementados
- Número total de livros implementados
- Número total de manuais de procedimentos implementados
Implementar e monitorizar conectores de dados
Para monitorizar os recursos implementados e implementar novos conectores, no livro Implementação e Migração do Microsoft Sentinel , selecione Monitor de Conectores > de Dados. A Vista de monitorização lista:
- Tendências de ingestão atuais
- Tabelas a ingerir dados
- Quantidade de dados que cada tabela está a reportar
- Relatórios de pontos finais com o Microsoft Monitoring Agent (MMA)
- Relatórios de pontos finais com o Agente de Monitorização do Azure (AMA)
- Relatórios de pontos finais com os agentes MMA e AMA
- Regras de recolha de dados no grupo de recursos e os dispositivos ligados às regras
- Estado de funcionamento do conector de dados (alterações e falhas)
- Registos de estado de funcionamento dentro do intervalo de tempo especificado
Para configurar um conector de dados:
- Selecione a vista Configurar .
- Selecione o botão com o nome do conector que pretende configurar.
- Configure o conector no ecrã de estado do conector que é aberto. Se não conseguir encontrar um conector de que precisa, selecione o nome do conector para abrir a galeria de conectores ou a galeria de soluções.
Implementar e monitorizar análises e incidentes
Assim que os dados forem comunicados na área de trabalho, pode agora configurar e monitorizar as regras de análise. No livro Implementação e Migração do Microsoft Sentinel , selecione Análise para ver todos os modelos e listas de regras implementadas. Esta vista indica que regras estão atualmente a ser utilizadas e com que frequência as regras geram incidentes.
Se precisar de mais cobertura, selecione Rever cobertura MITRE abaixo da tabela à esquerda. Utilize esta opção para definir que áreas recebem mais cobertura e que regras são implementadas, em qualquer fase do projeto de migração.
Assim que as regras de análise pretendidas forem implementadas e o conector de produtos do Defender estiver configurado para enviar os alertas, pode monitorizar a criação de incidentes e a frequência em Resumo da Implementação > do progresso. Esta área apresenta métricas relativas à geração de alertas por produto, título e classificação, para indicar o estado de funcionamento do SOC e quais os alertas que requerem mais atenção. Se os alertas estiverem a gerar demasiado volume, regresse ao separador Análise para modificar a lógica.
Implementar e utilizar livros
Para visualizar informações sobre a ingestão de dados e as deteções que o Microsoft Sentinel executa, no livro Implementação e Migração do Microsoft Sentinel , selecione Livros. Semelhante ao separador Conectores de Dados , pode utilizar as vistas Monitorizar e Configurar para ver informações de monitorização e configuração.
Seguem-se algumas tarefas úteis que pode realizar no separador Livros :
Para ver uma lista de todos os livros no ambiente e quantos livros estão implementados, selecione Monitorizar.
Para ver um livro específico no livro Implementação e Migração do Microsoft Sentinel , selecione um livro e, em seguida, selecione Abrir Livro Selecionado.
Se ainda não tiver implementado livros, selecione Configurar para ver uma lista de livros frequentemente utilizados e recomendados. Se um livro não estiver listado, selecione Ir para a Galeria de Livros ou Aceda ao Hub de Conteúdos para implementar o livro relevante.
Implementar e monitorizar manuais de procedimentos e regras de automatização
Depois de configurar a ingestão de dados, as deteções e as visualizações, pode agora analisar a automatização. No livro Implementação e Migração do Microsoft Sentinel , selecione Automatização para ver os manuais de procedimentos implementados e para ver que manuais de procedimentos estão atualmente ligados a uma regra de automatização. Se existirem regras de automatização, o livro realça as seguintes informações sobre cada regra:
- Name
- Estado
- Ação ou ações da regra
- A última data em que a regra foi modificada e o utilizador que modificou a regra
- A data em que a regra foi criada
Para ver, implementar e testar a automatização na secção atual do livro, selecione Implementar recursos de automatização no canto inferior esquerdo.
Saiba mais sobre as capacidades soar do Microsoft Sentinel para manuais de procedimentos e para regras de automatização.
Implementar e monitorizar o U E B A
Uma vez que os relatórios de dados e as deteções ocorrem ao nível da entidade, é essencial monitorizar o comportamento e as tendências das entidades. Para ativar a funcionalidade U E B A no Microsoft Sentinel, no livro Implementação e Migração do Microsoft Sentinel , selecione UEBA. Aqui, pode personalizar as linhas cronológicas de entidades para páginas de entidades e ver que tabelas relacionadas com entidades são preenchidas com dados.
Para ativar o U E B A:
- Selecione Ativar UEBA acima da lista de tabelas.
- Para ativar o U E B A, selecione Ativado.
- Selecione as origens de dados que pretende utilizar para gerar informações.
- Selecione Aplicar.
Depois de ativar o U E B A, pode monitorizar e garantir que o Microsoft Sentinel está a gerar dados do U E B A.
Para personalizar a linha cronológica:
- Selecione Personalizar Linha Cronológica da Entidade acima da lista de tabelas.
- Crie um item personalizado ou selecione um dos modelos de configuração inicial.
- Para implementar o modelo e concluir o assistente, selecione Criar.
Saiba mais sobre o U E B A ou saiba como personalizar a linha cronológica.
Configurar e gerir o ciclo de vida dos dados
Quando implementa ou migra para o Microsoft Sentinel, é essencial gerir a utilização e o ciclo de vida dos registos recebidos. Para o ajudar, no livro Implementação e Migração do Microsoft Sentinel, selecione Gestão de Dados para ver e configurar a retenção e o arquivo da tabela.
Pode ver informações sobre:
- Tabelas configuradas para ingestão de registos básica
- Tabelas configuradas para ingestão de camadas de análise
- Tabelas configuradas para serem arquivadas
- Tabelas na retenção predefinida da área de trabalho
Para modificar a política de retenção existente para tabelas:
- Selecione a vista Tabelas de Retenção Predefinidas .
- Selecione a tabela que pretende modificar e selecione Atualizar Retenção. Pode editar as seguintes informações:
- Retenção atual na área de trabalho
- Retenção atual no arquivo
- Número total de dias em que os dados irão viver no ambiente
- Edite o valor TotalRetention para definir um novo número total de dias em que os dados devem existir no ambiente.
O valor ArchiveRetention é calculado ao subtrair o valor TotalRetention do valor InteractiveRetention . Se precisar de ajustar a retenção da área de trabalho, a alteração não afeta as tabelas que incluem arquivos configurados e os dados não são perdidos. Se editar o valor InteractiveRetention e o valor TotalRetention não for alterado, o Azure Log Analytics ajusta a retenção de arquivo para compensar a alteração.
Se preferir fazer alterações na IU, selecione Atualizar Retenção na IU para abrir o painel relevante.
Saiba mais sobre a gestão do ciclo de vida dos dados.
Ativar sugestões e instruções de migração
Para ajudar no processo de implementação e migração, o livro inclui sugestões que explicam como utilizar os diferentes separadores e ligações para recursos relevantes. As sugestões baseiam-se na documentação de migração do Microsoft Sentinel e são relevantes para o seu SIEM atual. Para ativar sugestões e instruções, no livro Implementação e Migração do Microsoft Sentinel , no canto superior direito, defina Descrições e Instrução como Sim.
Passos seguintes
Neste artigo, aprendeu a controlar a sua migração com o livro Implementação e Migração do Microsoft Sentinel .