O que é o Microsoft Sentinel?

O Microsoft Sentinel é uma solução escalável e nativa da nuvem que fornece:

• Informações de segurança e gestão de eventos (SIEM)
• Orquestração, automação e resposta de segurança (SOAR)

O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Com o Microsoft Sentinel, você obtém uma única solução para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.

O Microsoft Sentinel é a sua visão panorâmica em toda a empresa, aliviando o stress de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos prazos de resolução.

Nota

O Microsoft Sentinel herda as práticas de inviolabilidade e imutabilidade do Azure Monitor. Embora o Azure Monitor seja uma plataforma de dados somente acréscimo, ele inclui disposições para excluir dados para fins de conformidade.

• Colete dados em escala de nuvem em todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em várias nuvens.

• Detete ameaças não detetadas anteriormente e minimize falsos positivos usando a análise da Microsoft e inteligência de ameaças incomparável.

• Investigue ameaças com inteligência artificial e procure atividades suspeitas em escala, aproveitando anos de trabalho de segurança cibernética na Microsoft.

• Responda rapidamente a incidentes com orquestração e automatização de tarefas comuns incorporadas.

O Microsoft Sentinel incorpora nativamente serviços comprovados do Azure, como Log Analytics e Aplicativos Lógicos. O Microsoft Sentinel enriquece a sua investigação e deteção com IA. Ele fornece o fluxo de inteligência de ameaças da Microsoft e permite que você traga sua própria inteligência de ameaças.

Nota

Este serviço dá suporte ao Azure Lighthouse, que permite que os provedores de serviços entrem em seu próprio locatário para gerenciar assinaturas e grupos de recursos que os clientes delegaram.

Coletar dados usando conectores de dados

Para integrar o Microsoft Sentinel, primeiro você precisa se conectar às suas fontes de dados.

O Microsoft Sentinel vem com muitos conectores para soluções Microsoft que estão disponíveis imediatamente e fornecem integração em tempo real. Alguns desses conectores incluem:

• Fontes da Microsoft como Microsoft Defender XDR, Microsoft Defender for Cloud, Office 365, Microsoft Defender for IoT e muito mais.

• Fontes de serviço do Azure como Microsoft Entra ID, Azure Activity, Azure Storage, Azure Key Vault, serviço Azure Kubernetes e muito mais.

O Microsoft Sentinel tem conectores integrados aos ecossistemas mais amplos de segurança e aplicativos para soluções que não são da Microsoft. Você também pode usar o formato de evento comum, Syslog ou REST-API para conectar suas fontes de dados ao Microsoft Sentinel.

Para obter mais informações, consulte os seguintes artigos que podem estar em inglês:

• Conectores de dados do Microsoft Sentinel
• Encontre o conector de dados

Criar relatórios interativos usando pastas de trabalho

Depois de integrar ao Microsoft Sentinel, monitore seus dados usando a integração com pastas de trabalho do Azure Monitor.

As pastas de trabalho são exibidas de forma diferente no Microsoft Sentinel do que no Azure Monitor. Mas pode ser útil para você ver como criar uma pasta de trabalho no Azure Monitor. O Microsoft Sentinel permite que você crie pastas de trabalho personalizadas em seus dados. O Microsoft Sentinel também vem com modelos de pasta de trabalho internos para permitir que você obtenha informações rapidamente sobre seus dados assim que conectar uma fonte de dados.

As pastas de trabalho destinam-se a engenheiros e analistas SOC de todos os níveis para visualizar dados.

As pastas de trabalho são melhor usadas para exibições de alto nível de dados do Microsoft Sentinel e não exigem conhecimento de codificação. Mas não é possível integrar pastas de trabalho com dados externos.

Correlacione alertas em incidentes usando regras de análise

Para ajudá-lo a reduzir o ruído e minimizar o número de alertas que você precisa revisar e investigar, o Microsoft Sentinel usa análises para correlacionar alertas em incidentes. Incidentes são grupos de alertas relacionados que, juntos, indicam uma possível ameaça acionável que você pode investigar e resolver. Use as regras de correlação internas no estado em que se encontram ou use-as como ponto de partida para criar as suas. O Microsoft Sentinel também fornece regras de aprendizado de máquina para mapear seu comportamento de rede e, em seguida, procurar anomalias em seus recursos. Essas análises conectam os pontos, combinando alertas de baixa fidelidade sobre diferentes entidades em possíveis incidentes de segurança de alta fidelidade.

Automatize e orquestre tarefas comuns usando playbooks

Automatize as suas tarefas comuns e simplifique a orquestração da segurança com manuais que se integram com os serviços do Azure e as suas ferramentas existentes.

A solução de automação e orquestração do Microsoft Sentinel fornece uma arquitetura altamente extensível que permite automação escalável à medida que novas tecnologias e ameaças surgem. Para criar playbooks com os Aplicativos Lógicos do Azure, você pode escolher entre uma galeria em constante expansão com muitas centenas de conectores para vários serviços e sistemas. Esses conectores permitem que você aplique qualquer lógica personalizada em seu fluxo de trabalho, por exemplo:

• ServiceNow
• Jira
• Zendesk
• Pedidos HTTP
• Microsoft Stream
• Slack
• Microsoft Entra ID
• Microsoft Defender para Ponto Final
• Microsoft Defender for Cloud Apps

Por exemplo, se você usar o sistema de tíquetes ServiceNow, use os Aplicativos Lógicos do Azure para automatizar seus fluxos de trabalho e abrir um tíquete no ServiceNow sempre que um alerta ou incidente específico for gerado.

Os playbooks destinam-se a engenheiros e analistas SOC de todos os níveis, para automatizar e simplificar tarefas, incluindo ingestão, enriquecimento, investigação e correção de dados.

Os playbooks funcionam melhor com tarefas únicas e repetíveis e não exigem conhecimento de codificação. Os playbooks não são adequados para cadeias de tarefas ad hoc ou complexas, nem para documentar e partilhar provas.

Investigar o escopo e a causa raiz das ameaças à segurança

As ferramentas de investigação profunda do Microsoft Sentinel ajudam-no a compreender o âmbito e a encontrar a causa raiz de uma potencial ameaça à segurança. Você pode escolher uma entidade no gráfico interativo para fazer perguntas interessantes para uma entidade específica e detalhar essa entidade e suas conexões para chegar à causa raiz da ameaça.

Procure ameaças à segurança usando consultas internas

Use as poderosas ferramentas de busca e consulta do Microsoft Sentinel, baseadas na estrutura MITRE, que permitem que você procure proativamente ameaças à segurança nas fontes de dados da sua organização, antes que um alerta seja acionado. Crie regras de deteção personalizadas com base na sua consulta de caça. Em seguida, apresente essas informações como alertas para seus socorristas de incidentes de segurança.

Enquanto caça, crie marcadores para voltar a eventos interessantes mais tarde. Use um marcador para compartilhar um evento com outras pessoas. Ou agrupe eventos com outros eventos correlacionados para criar um incidente atraente para investigação.

Melhore a sua caça às ameaças com blocos de notas

O Microsoft Sentinel dá suporte a blocos de anotações Jupyter em espaços de trabalho do Azure Machine Learning, incluindo bibliotecas completas para aprendizado de máquina, visualização e análise de dados.

Use blocos de anotações no Microsoft Sentinel para ampliar o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo:

• Execute análises que não estão incorporadas ao Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python.
• Crie visualizações de dados que não estão incorporadas ao Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processo.
• Integre fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.

Os notebooks destinam-se a caçadores de ameaças ou analistas de Nível 2-3, investigadores de incidentes, cientistas de dados e pesquisadores de segurança. Exigem uma curva de aprendizagem mais elevada e conhecimentos de codificação. Eles têm suporte de automação limitado.

Os blocos de anotações no Microsoft Sentinel fornecem:

• Consultas ao Microsoft Sentinel e a dados externos
• Recursos para enriquecimento de dados, investigação, visualização, caça, aprendizado de máquina e análise de big data

Os computadores portáteis são melhores para:

• Cadeias mais complexas de tarefas repetíveis
• Controlos processuais ad hoc
• Aprendizagem automática e análise personalizada

Os blocos de anotações suportam bibliotecas Python avançadas para manipulação e visualização de dados. Eles são úteis para documentar e compartilhar evidências de análise.

Transferir conteúdo de segurança da comunidade

A comunidade Microsoft Sentinel é um recurso poderoso para deteção e automação de ameaças. Nossos analistas de segurança da Microsoft criam e adicionam novas pastas de trabalho, playbooks, consultas de busca e muito mais. Eles publicam esses itens de conteúdo na comunidade para você usar em seu ambiente. Baixe conteúdo de exemplo do repositório GitHub da comunidade privada para criar pastas de trabalho personalizadas, consultas de caça, blocos de anotações e playbooks para o Microsoft Sentinel.

Próximos passos

• Para começar a usar o Microsoft Sentinel, você precisa de uma assinatura do Microsoft Azure. Se não tiver uma subscrição, pode inscrever-se para uma avaliação gratuita.
• Saiba como integrar os seus dados no Microsoft Sentinel e obter visibilidade dos seus dados e potenciais ameaças.