Controlar a migração do Microsoft Sentinel com um livro

À medida que o Centro de Operações de Segurança (SOC) da sua organização processa quantidades crescentes de dados, é essencial planear e monitorizar o seu estado de implementação. Embora possa controlar o seu processo de migração com ferramentas genéricas como o Microsoft Project, Microsoft Excel, Teams ou Azure DevOps, estas ferramentas não são específicas do controlo de migração siEM. Para o ajudar no controlo, fornecemos um livro dedicado no Microsoft Sentinel com o nome Implementação e Migração do Microsoft Sentinel.

O livro ajuda-o a:

• Visualizar o progresso da migração
• Implementar e controlar origens de dados
• Implementar e monitorizar regras e incidentes de análise
• Implementar e utilizar livros
• Implementar e efetuar automatização
• Implementar e personalizar a análise comportamental de utilizadores e entidades (U E B A)

Este artigo descreve como controlar a sua migração com o livro Implementação e Migração do Microsoft Sentinel , como personalizar e gerir o livro e como utilizar os separadores do livro para implementar e monitorizar conectores de dados, análise, incidentes, manuais de procedimentos, regras de automatização, U E B A e gestão de dados. Saiba mais sobre como utilizar livros do Azure Monitor no Microsoft Sentinel.

Implementar o conteúdo do livro e ver o livro

1. Na portal do Azure, selecione Microsoft Sentinel e, em seguida, selecione Livros.
2. Na barra de pesquisa, procure migration.
3. Nos resultados da pesquisa, selecione o livro Implementação e Migração do Microsoft Sentinel e selecione Guardar. O Microsoft Sentinel implementa o livro e guarda o livro no seu ambiente.
4. Para ver o livro, selecione Abrir livro guardado.

Implementar a lista de observação

1. No repositório do GitHub do Microsoft Sentinel, selecione a pasta DeploymentandMigration e selecione Deploy to Azure (Implementar no Azure ) para iniciar a implementação do modelo no Azure.
2. Indique o grupo de recursos e o nome da área de trabalho do Microsoft Sentinel.
3. Selecione Rever e criar.
4. Depois de validar as informações, selecione Criar.

Atualizar a lista de observação com ações de implementação e migração

Este passo é crucial para o processo de configuração de controlo. Se ignorar este passo, o livro não refletirá os itens para controlo.

Para atualizar a lista de observação com ações de implementação e migração:

1. Na portal do Azure, selecione Microsoft Sentinel e, em seguida, selecione Lista de observação.
2. Localize a lista de observação com o alias implementação .
3. Selecione a lista de observação e, em seguida, selecione Atualizar lista de observação > editar itens da lista de observação no canto inferior direito.
4. Forneça as informações para as ações necessárias para a implementação e migração e selecione Guardar.

Agora pode ver a lista de observação no livro do controlador de migração. Saiba como gerir listas de observação.

Além disso, a sua equipa pode atualizar ou concluir tarefas durante o processo de implementação. Para resolver estas alterações, pode atualizar as ações existentes ou adicionar novas ações à medida que identifica novos casos de utilização ou define novos requisitos. Para atualizar ou adicionar ações, edite a Lista de observação de implementação que implementou anteriormente. Para simplificar o processo, selecione Editar Lista de Observação de Implementação na parte inferior esquerda para abrir a lista de observação diretamente a partir do livro.

Ver o estado da implementação

Para ver rapidamente o progresso da implementação, no livro Implementação e Migração do Microsoft Sentinel , selecione Implementação e desloque-se para baixo para localizar o Resumo do progresso. Esta área apresenta o estado da implementação, incluindo as seguintes informações:

• Dados de relatórios de tabelas
• Número de tabelas a reportar dados
• Número de registos comunicados e que tabelas comunicam os dados de registo
• Número de regras ativadas vs. regras não publicadas
• Livros recomendados implementados
• Número total de livros implementados
• Número total de manuais de procedimentos implementados

Implementar e monitorizar conectores de dados

Para monitorizar os recursos implementados e implementar novos conectores, no livro Implementação e Migração do Microsoft Sentinel , selecione Monitor de Conectores > de Dados. A Vista de monitorização lista:

• Tendências de ingestão atuais
• Tabelas a ingerir dados
• Quantidade de dados que cada tabela está a reportar
• Relatórios de pontos finais com o Microsoft Monitoring Agent (MMA)
• Relatórios de pontos finais com o Agente de Monitorização do Azure (AMA)
• Relatórios de pontos finais com os agentes MMA e AMA
• Regras de recolha de dados no grupo de recursos e os dispositivos ligados às regras
• Estado de funcionamento do conector de dados (alterações e falhas)
• Registos de estado de funcionamento dentro do intervalo de tempo especificado

Para configurar um conector de dados:

1. Selecione a vista Configurar .
2. Selecione o botão com o nome do conector que pretende configurar.
3. Configure o conector no ecrã de estado do conector que é aberto. Se não conseguir encontrar um conector de que precisa, selecione o nome do conector para abrir a galeria de conectores ou a galeria de soluções.

Implementar e monitorizar análises e incidentes

Assim que os dados forem comunicados na área de trabalho, pode agora configurar e monitorizar as regras de análise. No livro Implementação e Migração do Microsoft Sentinel , selecione Análise para ver todos os modelos e listas de regras implementadas. Esta vista indica que regras estão atualmente a ser utilizadas e com que frequência as regras geram incidentes.

Se precisar de mais cobertura, selecione Rever cobertura MITRE abaixo da tabela à esquerda. Utilize esta opção para definir que áreas recebem mais cobertura e que regras são implementadas, em qualquer fase do projeto de migração.

Assim que as regras de análise pretendidas forem implementadas e o conector de produtos do Defender estiver configurado para enviar os alertas, pode monitorizar a criação de incidentes e a frequência em Resumo da Implementação > do progresso. Esta área apresenta métricas relativas à geração de alertas por produto, título e classificação, para indicar o estado de funcionamento do SOC e quais os alertas que requerem mais atenção. Se os alertas estiverem a gerar demasiado volume, regresse ao separador Análise para modificar a lógica.

Implementar e utilizar livros

Para visualizar informações sobre a ingestão de dados e as deteções que o Microsoft Sentinel executa, no livro Implementação e Migração do Microsoft Sentinel , selecione Livros. Semelhante ao separador Conectores de Dados , pode utilizar as vistas Monitorizar e Configurar para ver informações de monitorização e configuração.

Seguem-se algumas tarefas úteis que pode realizar no separador Livros :

• Para ver uma lista de todos os livros no ambiente e quantos livros estão implementados, selecione Monitorizar.

• Para ver um livro específico no livro Implementação e Migração do Microsoft Sentinel , selecione um livro e, em seguida, selecione Abrir Livro Selecionado.

  

• Se ainda não tiver implementado livros, selecione Configurar para ver uma lista de livros frequentemente utilizados e recomendados. Se um livro não estiver listado, selecione Ir para a Galeria de Livros ou Aceda ao Hub de Conteúdos para implementar o livro relevante.

  

Implementar e monitorizar manuais de procedimentos e regras de automatização

Depois de configurar a ingestão de dados, as deteções e as visualizações, pode agora analisar a automatização. No livro Implementação e Migração do Microsoft Sentinel , selecione Automatização para ver os manuais de procedimentos implementados e para ver que manuais de procedimentos estão atualmente ligados a uma regra de automatização. Se existirem regras de automatização, o livro realça as seguintes informações sobre cada regra:

• Name
• Estado
• Ação ou ações da regra
• A última data em que a regra foi modificada e o utilizador que modificou a regra
• A data em que a regra foi criada

Para ver, implementar e testar a automatização na secção atual do livro, selecione Implementar recursos de automatização no canto inferior esquerdo.

Saiba mais sobre as capacidades soar do Microsoft Sentinel para manuais de procedimentos e para regras de automatização.

Implementar e monitorizar o U E B A

Uma vez que os relatórios de dados e as deteções ocorrem ao nível da entidade, é essencial monitorizar o comportamento e as tendências das entidades. Para ativar a funcionalidade U E B A no Microsoft Sentinel, no livro Implementação e Migração do Microsoft Sentinel , selecione UEBA. Aqui, pode personalizar as linhas cronológicas de entidades para páginas de entidades e ver que tabelas relacionadas com entidades são preenchidas com dados.

Para ativar o U E B A:

1. Selecione Ativar UEBA acima da lista de tabelas.
2. Para ativar o U E B A, selecione Ativado.
3. Selecione as origens de dados que pretende utilizar para gerar informações.
4. Selecione Aplicar.

Depois de ativar o U E B A, pode monitorizar e garantir que o Microsoft Sentinel está a gerar dados do U E B A.

Para personalizar a linha cronológica:

1. Selecione Personalizar Linha Cronológica da Entidade acima da lista de tabelas.
2. Crie um item personalizado ou selecione um dos modelos de configuração inicial.
3. Para implementar o modelo e concluir o assistente, selecione Criar.

Saiba mais sobre o U E B A ou saiba como personalizar a linha cronológica.

Configurar e gerir o ciclo de vida dos dados

Quando implementa ou migra para o Microsoft Sentinel, é essencial gerir a utilização e o ciclo de vida dos registos recebidos. Para o ajudar, no livro Implementação e Migração do Microsoft Sentinel, selecione Gestão de Dados para ver e configurar a retenção e o arquivo da tabela.

Pode ver informações sobre:

• Tabelas configuradas para ingestão de registos básica
• Tabelas configuradas para ingestão de camadas de análise
• Tabelas configuradas para serem arquivadas
• Tabelas na retenção predefinida da área de trabalho

Para modificar a política de retenção existente para tabelas:

1. Selecione a vista Tabelas de Retenção Predefinidas .
2. Selecione a tabela que pretende modificar e selecione Atualizar Retenção. Pode editar as seguintes informações:
   • Retenção atual na área de trabalho
   • Retenção atual no arquivo
   • Número total de dias em que os dados irão viver no ambiente
3. Edite o valor TotalRetention para definir um novo número total de dias em que os dados devem existir no ambiente.

O valor ArchiveRetention é calculado ao subtrair o valor TotalRetention do valor InteractiveRetention . Se precisar de ajustar a retenção da área de trabalho, a alteração não afeta as tabelas que incluem arquivos configurados e os dados não são perdidos. Se editar o valor InteractiveRetention e o valor TotalRetention não for alterado, o Azure Log Analytics ajusta a retenção de arquivo para compensar a alteração.

Se preferir fazer alterações na IU, selecione Atualizar Retenção na IU para abrir o painel relevante.

Saiba mais sobre a gestão do ciclo de vida dos dados.

Ativar sugestões e instruções de migração

Para ajudar no processo de implementação e migração, o livro inclui sugestões que explicam como utilizar os diferentes separadores e ligações para recursos relevantes. As sugestões baseiam-se na documentação de migração do Microsoft Sentinel e são relevantes para o seu SIEM atual. Para ativar sugestões e instruções, no livro Implementação e Migração do Microsoft Sentinel , no canto superior direito, defina Descrições e Instrução como Sim.

Passos seguintes

Neste artigo, aprendeu a controlar a sua migração com o livro Implementação e Migração do Microsoft Sentinel .

• Migrar regras de deteção do ArcSight
• Migrar regras de deteção do Splunk
• Migrar regras de deteção do QRadar