Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Sentinel é uma solução escalável e nativa da nuvem de gerenciamento de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). Ele fornece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Este documento descreve os requisitos e as práticas recomendadas a serem considerados ao criar soluções para o Microsoft Sentinel. Algumas das recomendações, como o uso do Codeless Connector Framework (CCF) para criar conectores de dados, é um requisito que os parceiros devem atender para ter seu código certificado no GitHub pela equipe do Microsoft Sentinel. Estes requisitos são classificados como obrigatórios neste documento. Este documento também fornece as melhores práticas que, embora não sejam obrigatórias, são altamente recomendadas para ajudar os clientes a maximizar os benefícios de suas soluções e incentivar o uso de seus produtos e serviços.
Uma solução Microsoft Sentinel consiste em vários itens de conteúdo, cada um servindo a uma finalidade específica. Juntos, eles permitem que os clientes configurem a solução rapidamente e comecem a monitorar sua infraestrutura de segurança em poucos minutos. A seguir estão listados os principais componentes que compõem as soluções Microsoft Sentinel:
- Conectores de dados Uma boa solução Microsoft Sentinel começa com recursos de integração robustos que permitem a ingestão contínua de dados de várias fontes, incluindo serviços em nuvem, sistemas locais e soluções de terceiros. É essencial garantir que todos os logs e dados de telemetria relevantes sejam coletados para fornecer visibilidade abrangente sobre ameaças potenciais. Certifique-se de que os dados estão organizados em tabelas cujo esquema é intuitivo e fácil de entender.
- As regras de análise são essenciais para identificar atividades suspeitas e ameaças potenciais. As regras analíticas, que são escritas em Kusto Query Language (KQL), são executadas nos dados extraídos pelos conectores de dados para identificar anomalias e possíveis problemas. Os alertas criados são agregados para criar incidentes no Microsoft Sentinel. Como proprietário de um produto, como ninguém conhece seus dados mais do que você, é importante garantir que você crie um bom conjunto de regras analíticas que identifiquem as principais ameaças. As regras analíticas predefinidas que você envia como parte de sua solução inspiram os clientes a criar suas próprias.
- Os playbooks automatizam as ações de resposta às ameaças identificadas (através de regras analíticas), garantindo uma remediação rápida e consistente. Os manuais são fundamentais para garantir que os analistas SOC não sejam sobrecarregados por itens táticos e possam se concentrar na causa raiz mais estratégica e profunda das vulnerabilidades. Ao projetar sua solução, pense nas ações automatizadas que podem ser tomadas para resolver incidentes criados pelas regras analíticas definidas em sua solução.
- Consultas de pesquisa ativa permitem que os analistas SOC procurem proativamente novas anomalias que não são detetadas pelas regras de análise atualmente agendadas. As consultas de prospeção guiam os analistas SOC a fazerem as perguntas certas para detetar problemas a partir dos dados que já estão disponíveis no Microsoft Sentinel e ajudam-nos a identificar cenários de ameaças potenciais. Como proprietário de um produto, a criação de consultas de caça permite que os analistas SOC entendam melhor o esquema subjacente e os inspirem a pensar em novos cenários.
- Os analisadores são funções KQL que transformam dados personalizados de produtos de terceiros em um esquema ASIM normalizado. A normalização garante que os analistas SOC não precisem aprender detalhes sobre novos esquemas e, em vez disso, criar regras analíticas e procurar consultas no esquema normalizado com o qual já estão familiarizados. Analise os esquemas ASIM disponíveis fornecidos pelo Microsoft Sentinel para identificar esquemas ASIM relevantes (um ou mais) para seus dados, a fim de garantir uma integração mais fácil para analistas SOC e garantir que o conteúdo de segurança existente escrito para o esquema ASIM seja aplicável imediatamente aos dados do produto. Para obter mais informações sobre os esquemas ASIM disponíveis, consulte Esquemas ASIM (Advanced Security Information Model) | Microsoft Learn
- As pastas de trabalho fornecem relatórios e painéis interativos que ajudam os usuários a visualizar dados de segurança e identificar padrões nos dados. A necessidade de pastas de trabalho é subjetiva e depende do caso de uso específico em questão. Ao projetar sua solução, pense em cenários que podem ser melhor explicados visualmente, especialmente para cenários para acompanhar o desempenho post hoc.
Conectores de dados
Os parceiros são obrigados a usar o Codeless Connector Framework (CCF) para criar conectores de dados. O Codeless Connector Framework (CCF) fornece a parceiros, usuários avançados e desenvolvedores a capacidade de criar conectores personalizados para ingerir dados para o Microsoft Sentinel. Os conectores criados usando o CCF não exigem instalações de serviço e toda a infraestrutura para sondagem e extração de dados é gerenciada nos bastidores pelo Microsoft Sentinel. O CCF vem com monitoramento de integridade integrado, suporte total do Microsoft Sentinel e dimensionamento automático para suportar tamanhos de ingestão variados. Com a plataforma CCF, os clientes têm uma interface de usuário simples por meio da qual podem configurar a ingestão, sem precisar implantar recursos no Azure. Os clientes não são cobrados pela capacidade de computação necessária para pesquisar e ingerir dados no Microsoft Sentinel e são cobrados apenas pelos dados ingeridos no Microsoft Sentinel.
Atenção
Os parceiros são obrigados a usar o Codeless Connector Framework (CCF), em vez das funções do Azure, para todos os novos conectores de dados. Se você encontrar algum bloqueador durante o desenvolvimento do seu conector de dados devido a limitações na estrutura do CCF, registre um problema com o título "Limitações do CCF" em https://github.com/Azure/Azure-Sentinel/issues. A equipe do Microsoft Sentinel trabalhará com você para resolver o problema ou fornecer uma solução alternativa. Se o problema for um bloqueador, a equipe do Microsoft Sentinel trabalhará com você para criar uma exceção para seu conector de dados.
Regras de análise
Os parceiros devem criar pelo menos uma regra analítica como parte de sua solução Sentinel As regras analíticas estão no centro do valor que uma solução Microsoft Sentinel pode oferecer aos clientes. Obter os dados no Microsoft Sentinel é apenas o primeiro passo. No entanto, é importante que os clientes monitorem sua infraestrutura de segurança e sejam notificados sobre quaisquer problemas. Introduzir dados no Microsoft Sentinel sem que haja quaisquer deteções registadas nesses dados não agregaria valor aos clientes. Para garantir que os clientes possam implantar uma solução Microsoft Sentinel e começar a monitorar sua infraestrutura de segurança, é importante ter regras analíticas pré-criadas como parte da solução. Isso garante que os clientes obtenham valor imediato assim que instalam e configuram a solução Microsoft Sentinel, sem qualquer esforço extra de desenvolvimento por parte dos clientes.
As regras analíticas devem ter mapeamentos MITRE apropriados para garantir que os clientes possam monitorar e visualizar sua cobertura de ameaças em toda a infraestrutura de segurança. Para obter mais informações, consulte Exibir a cobertura do MITRE para sua organização no Microsoft Sentinel | Microsoft Learn. As regras analíticas sem mapeamento MITRE serão rejeitadas durante a certificação.
Ao criar regras analíticas, é importante garantir que as regras tenham escopo para cobrir todas as colunas de dados principais que estão sendo puxadas pelo conector de dados. À medida que os clientes pagam pelos dados que ingerem, é importante garantir que as regras analíticas tenham escopo para cobrir todos os dados que estão sendo extraídos pelo conector de dados. Isso garante que os clientes não sejam cobrados por dados que não estão sendo usados.
Ao criar regras analíticas, quando aplicável, certifique-se de que as entidades sejam mapeadas para a saída da regra. O mapeamento da saída da regra para entidades padronizadas garante que a saída da regra possa ser correlacionada com outros dados no Microsoft Sentinel para fornecer uma narrativa de ameaça mais abrangente aos analistas de SOC. Alguns exemplos comuns de entidades são contas de usuário, hosts, caixas de correio, endereços IP, arquivos, aplicativos em nuvem, processos e URLs. Para saber mais sobre entidades no Microsoft Sentinel, consulte Entidades no Microsoft Sentinel | Microsoft Learn [en]
Atenção
As soluções devem ter pelo menos uma regra analítica. Se você tiver um motivo válido para não incluir regras analíticas em sua solução, forneça seu raciocínio na seção de comentários da solicitação pull. A equipa do Microsoft Sentinel analisará o seu PR e fornecerá comentários em conformidade.
Guias
Os playbooks são criados usando os Aplicativos Lógicos do Azure, que permitem uma fácil integração com vários serviços e aplicativos. Essa flexibilidade permite que as organizações criem fluxos de trabalho personalizados que se alinham com seus processos específicos de resposta a incidentes. Ao usar playbooks, as equipas de segurança podem automatizar tarefas repetitivas, como enviar notificações, criar tíquetes ou realizar ações de remediação, reduzindo o esforço manual necessário para responder a incidentes.
Os playbooks podem ser acionados por alertas ou incidentes específicos, permitindo uma resposta personalizada para cada situação. Por exemplo, se um alerta de alta gravidade for detetado, um manual pode iniciar automaticamente uma série de ações, como notificar a equipe de segurança, isolar os sistemas afetados e coletar logs relevantes para análise posterior. Essa automação não só acelera o tempo de resposta, mas também garante que ações críticas sejam tomadas de forma consistente e sem demora.
Observação
Embora não exijamos a disponibilidade de playbooks como parte da solução, recomendamos vivamente que inclua playbooks como parte da sua solução. Os manuais são fundamentais para garantir que os analistas SOC não sejam sobrecarregados por itens táticos e possam se concentrar na causa raiz mais estratégica e profunda das vulnerabilidades. Ao projetar sua solução, pense nas ações automatizadas que podem ser tomadas para resolver incidentes criados pelas regras analíticas definidas em sua solução.
Consultas de pesquisa
As consultas de caça são consultas KQL usadas para buscar ativamente potenciais ameaças e anomalias nos dados ingeridos no Microsoft Sentinel. Essas consultas permitem que os analistas de segurança explorem os dados e identifiquem padrões ou comportamentos que possam indicar atividades maliciosas. Ao usar consultas de caça, as organizações podem ficar à frente das ameaças emergentes e melhorar sua postura geral de segurança.
Ao criar consultas de Hunting, considere as seguintes práticas recomendadas:
- Use a estrutura MITRE para identificar ameaças potenciais: A estrutura MITRE fornece um conjunto abrangente de táticas, técnicas e procedimentos (TTPs) que podem ser usados para identificar ameaças potenciais em seus dados. Usando a estrutura MITRE, você pode garantir que suas consultas de caça estejam alinhadas com as práticas recomendadas do setor e podem ajudá-lo a identificar ameaças potenciais de forma mais eficaz.
- Crie consultas que abranjam todas as colunas de dados importantes que estão sendo puxadas pelo conector de dados. Isso garante que suas consultas de caça sejam abrangentes e também forneça orientação sobre se novos pontos de dados devem ser adicionados ao conector de dados ou se algum dos pontos de dados existentes precisa ser removido.
- A incorporação de inteligência de ameaças (TI) pode fornecer um contexto valioso para suas consultas de caça. A incorporação de informações sobre ameaças disponíveis no Microsoft Sentinel em suas consultas de caça garante que os analistas SOC tenham um contexto valioso para identificar ameaças potenciais. Para obter mais informações sobre inteligência de ameaças no Microsoft Sentinel, consulte Inteligência de ameaças no Microsoft Sentinel | Microsoft Learn.
Observação
Embora não exijamos a disponibilidade de consultas de caça como parte da solução, recomendamos vivamente que inclua consultas de caça como parte da sua solução. A criação de consultas de caça permite que os analistas SOC entendam melhor o esquema subjacente e os inspirem a pensar em novos cenários.
Analisadores
Os analisadores são funções KQL que transformam dados personalizados de produtos de terceiros em um esquema ASIM normalizado. A normalização garante que os analistas SOC não precisem aprender detalhes sobre novos esquemas e, em vez disso, criar regras analíticas e procurar consultas no esquema normalizado com o qual já estão familiarizados. Analise os esquemas ASIM disponíveis fornecidos pelo Microsoft Sentinel para identificar esquemas ASIM relevantes (um ou mais) para seus dados, a fim de garantir uma integração mais fácil para analistas SOC e garantir que o conteúdo de segurança existente escrito para o esquema ASIM seja aplicável imediatamente aos dados do produto. Para obter mais informações sobre os esquemas ASIM disponíveis, consulte Esquemas ASIM (Advanced Security Information Model) | Microsoft Learn.
O Microsoft Sentinel fornece vários analisadores internos específicos da fonte para muitas das fontes de dados. Você pode querer modificar ou desenvolver novos analisadores nas seguintes situações:
- Quando o seu dispositivo fornece eventos que se ajustam a um esquema ASIM, mas um analisador específico da fonte para o seu dispositivo e para o esquema relevante não está disponível no Microsoft Sentinel.
- Quando analisadores específicos de origem ASIM estão disponíveis para seu dispositivo, mas seu dispositivo envia eventos em um método ou um formato diferente do esperado pelos analisadores ASIM. Por exemplo:
- Seu dispositivo de origem pode ser configurado para enviar eventos de forma não padrão.
- Seu dispositivo pode ter uma versão diferente da suportada pelo analisador ASIM.
- Os eventos podem ser coletados, modificados e encaminhados por um sistema intermediário.
- entender como os analisadores se encaixam na arquitetura ASIM, consulte o diagrama de arquitetura ASIM.
Observação
Não exigimos a disponibilidade de analisadores em sua solução. No entanto, se nossa equipe de certificação identificar que seus dados são mapeados de perto para um esquema ASIM existente, nossa equipe pode exigir a criação de analisadores para aproveitar os benefícios da normalização.
Cadernos de exercícios
As pastas de trabalho fornecem uma maneira para os usuários visualizarem dados sobre segurança de forma visual e são eficazes na identificação de tendências e anomalias, que podem ser usadas para medir a postura de segurança, bem como para identificar possíveis problemas. As pastas de trabalho podem ser usadas para criar painéis que fornecem uma visão geral de alto nível dos dados de segurança, permitindo que os usuários identifiquem rapidamente as áreas de preocupação. Eles também podem ser usados para detalhar pontos de dados específicos, fornecendo uma visão mais detalhada de eventos e incidentes de segurança. As pastas de trabalho podem ser personalizadas para atender às necessidades específicas de uma organização, permitindo que os usuários criem exibições personalizadas de dados de segurança que são relevantes para suas funções e responsabilidades. Essa personalização pode incluir a filtragem de dados por critérios específicos, como intervalo de tempo, nível de gravidade ou fonte de dados. Ao fornecer uma maneira flexível e personalizável de visualizar dados de segurança, as pastas de trabalho podem ajudar as organizações a melhorar sua postura de segurança e responder de forma mais eficaz a ameaças potenciais.
Ao criar pastas de trabalho, considere as seguintes práticas recomendadas:
- Use títulos e descrições claros e concisos: certifique-se de que os títulos e descrições de suas pastas de trabalho sejam claros e concisos, facilitando para os usuários entenderem a finalidade de cada pasta de trabalho.
- Use visualizações apropriadas: escolha o tipo certo de visualização para os dados que estão sendo apresentados. Por exemplo, use gráficos de linhas para tendências ao longo do tempo, gráficos de barras para comparações e tabelas para dados detalhados.
- Usar filtros e parâmetros: incorpore filtros e parâmetros para permitir que os usuários personalizem os dados exibidos na pasta de trabalho. Isso pode ajudar os usuários a se concentrarem em intervalos de tempo específicos, fontes de dados ou outros critérios relevantes para suas necessidades.
- Otimize o desempenho: se suas pastas de trabalho lidarem com grandes quantidades de dados, isso poderá afetar negativamente o desempenho. Nesses casos, é aconselhável agregar os dados usando regras de resumo e garantir que as pastas de trabalho operem nos dados resumidos em vez dos dados brutos subjacentes.
- Fornecer documentação: inclua documentação ou dicas de ferramentas na pasta de trabalho para ajudar os usuários a entender como usá-la de forma eficaz. Isso pode incluir explicações sobre as fontes de dados, visualizações e quaisquer filtros ou parâmetros disponíveis.
Observação
Não exigimos a disponibilidade de pastas de trabalho em sua solução, pois elas dependem de casos de uso. No entanto, se você criar pastas de trabalho, assegure-se de que elas sejam relevantes para os dados a serem ingeridos e acrescentem valor aos clientes.
Manutenção de soluções
Depois que a solução for publicada, é importante garantir que ela seja mantida e atualizada regularmente. Isso inclui: Manutenção da solução
- Conta para recursos preteridos: Se um recurso usado por uma solução for preterido, a Microsoft recomenda que a solução seja atualizada para levar em conta a descontinuação seis meses antes do fim da vida útil ou do evento de fim do serviço.
- Verifique se a página Descrição da Solução está precisa e funcionando conforme o esperado: A página de descrição da solução deve ser atualizada conforme necessário para garantir que seja precisa e totalmente funcional. Quaisquer links que se tornem quebrados devem ser corrigidos.
- Aborde os alertas do GitHub CodeQL: Se o editor da solução identificar alertas do GitHub CodeQL, eles deverão ser abordados em tempo hábil.