Recursos úteis para trabalhar com o Microsoft Sentinel

Nota

Azure Sentinel chama-se Microsoft Sentinel e vamos atualizar estas páginas nas próximas semanas. Saiba mais sobre as recentes melhorias de segurança da Microsoft.

Este artigo lista recursos que podem ajudá-lo a obter mais informações sobre como trabalhar com o Microsoft Sentinel.

Saiba mais sobre a criação de consultas

O Microsoft Sentinel utiliza o Linguagem de Pesquisa Kusto (KQL) do Azure Monitor Para construir consultas. Para obter mais informações, consulte:

Modelos do Microsoft Sentinel para os dados a monitorizar

O Guia de Operações de Segurança Azure Ative Directory inclui orientação e conhecimento específico sobre dados que são importantes para monitorizar para fins de segurança, para várias áreas operacionais.

Em cada artigo, verifique se as secções chamadas Coisas para monitorizar listas de eventos que recomendamos alertar e investigar, bem como modelos de regras de análise para implementar diretamente no Microsoft Sentinel.

Saiba mais sobre a criação de automação

Crie automatização no Microsoft Sentinel utilizando Azure Logic Apps, com uma galeria crescente de playbooks incorporados.

Para mais informações, consulte Azure Logic Apps conectores.

Compare livros, livros e cadernos

A tabela seguinte descreve as diferenças entre livros, livros e cadernos no Microsoft Sentinel:

Categoria Manuais de procedimentos Livros Notebooks
Pessoas fictícias
  • Engenheiros SOC
  • Analistas de todos os níveis
  • Engenheiros SOC
  • Analistas de todos os níveis
  • Caçadores de ameaças e analistas de nível 2/tier-3
  • Investigadores de incidentes
  • Cientistas de dados
  • Investigadores de segurança
Utiliza Automatização de tarefas simples e repetíveis:
  • Ingerir dados externos
  • Enriquecimento de dados com TI, pesquisas de GeoIP, e muito mais
  • Investigação
  • Remediação
  • Visualização
  • Consulta dos dados do Microsoft Sentinel e dados externos
  • Enriquecimento de dados com ti, pesquisas de GeoIP e pesquisas de WhoIs, e muito mais
  • Investigação
  • Visualização
  • Investigação
  • Machine learning e big data analytics
Vantagens
  • O melhor para tarefas individuais e repetíveis
  • Não são necessários conhecimentos de codificação
  • O melhor para uma visão de alto nível dos dados do Microsoft Sentinel
  • Não são necessários conhecimentos de codificação
  • O melhor para cadeias complexas de tarefas repetíveis
  • Ad-hoc, mais controlo processual
  • Mais fácil de pivô com funcionalidade interativa
  • Bibliotecas ricas em Python para manipulação e visualização de dados
  • Aprendizagem automática e análise personalizada
  • Fácil de documentar e partilhar provas de análise
Desafios
  • Não é adequado para cadeias de tarefas ad-hoc e complexas
  • Não é ideal para documentar e partilhar provas
  • Não é possível integrar-se com dados externos
  • Curva de alta aprendizagem e requer conhecimento de codificação
Mais informações Automatizar resposta de ameaça com playbooks no Microsoft Sentinel Visualizar dados recolhidos Use cadernos Jupyter para caçar ameaças à segurança

Comentar nos nossos blogs e fóruns

Adoramos ouvir os nossos utilizadores.

No espaço TechCommunity para o Microsoft Sentinel:

Também pode enviar sugestões de melhorias através do nosso programa Voz do Utilizador .

Junte-se à comunidade de GitHub microsoft Sentinel

O repositório microsoft Sentinel GitHub é um recurso poderoso para deteção e automação de ameaças.

Os nossos analistas de segurança da Microsoft criam e adicionam constantemente novos livros de trabalho, playbooks, consultas de caça e muito mais, publicando-os na comunidade para que possa utilizar no seu ambiente.

Descarregue o conteúdo da amostra da comunidade privada GitHub repositório para criar livros de trabalho personalizados, consultas de caça, cadernos e livros de reprodução para o Microsoft Sentinel.

Passos seguintes