Treinamento de habilidades do Microsoft Sentinel
Este artigo orienta você através de um treinamento de nível 400 para ajudá-lo a aprimorar suas habilidades no Microsoft Sentinel. O treinamento é composto por 21 módulos individualizados que apresentam documentação relevante do produto, postagens de blog e outros recursos.
Os módulos listados aqui são divididos em cinco partes seguindo o ciclo de vida de um Centro de Operações de Segurança (SOC):
- Módulo 0: Outras opções de aprendizagem e apoio
- Módulo 1: Introdução ao Microsoft Sentinel
- Módulo 2: Como se utiliza o Microsoft Sentinel?
Parte 2: Arquitetura e implantação
- Módulo 3: Arquitetura de espaço de trabalho e locatário
- Módulo 4: Recolha de dados
- Módulo 5: Gestão de registos
- Módulo 6: Enriquecimento: Informações sobre ameaças, listas de observação e muito mais
- Módulo 7: Transformação de logs
- Módulo 8: Migração
- Módulo 9: Modelo avançado de informação SIEM e normalização
- Módulo 10: Linguagem de consulta Kusto
- Módulo 11: Análise
- Módulo 12: Implementação do SOAR
- Módulo 13: Pastas de trabalho, relatórios e visualização
- Módulo 14: Computadores portáteis
- Módulo 15: Casos de uso e soluções
- Módulo 16: Um dia na vida de um analista SOC, gestão de incidentes e investigação
- Módulo 17: Caça
- Módulo 18: Análise do Comportamento de Utilizadores e Entidades (UEBA)
- Módulo 19: Monitorando a integridade do Microsoft Sentinel
- Módulo 20: Estendendo e integrando usando as APIs do Microsoft Sentinel
- Módulo 21: Crie o seu próprio aprendizado de máquina
Parte 1: Visão geral
Módulo 0: Outras opções de aprendizagem e apoio
Este treinamento de aprimoramento de habilidades é um treinamento de nível 400 baseado no treinamento Microsoft Sentinel Ninja. Se você não quiser ir tão fundo ou tiver um problema específico para resolver, outros recursos podem ser mais adequados:
- Embora o treinamento de habilidades seja extenso, ele naturalmente tem que seguir um roteiro e não pode expandir todos os tópicos. Consulte a documentação referenciada para obter informações sobre cada artigo.
- Agora você pode se tornar certificado com a nova certificação SC-200: Microsoft Security Operations Analyst, que abrange o Microsoft Sentinel. Para obter uma visão mais ampla e de nível mais alto do pacote de segurança da Microsoft, você também pode considerar SC-900: Microsoft Security, Compliance, and Identity Fundamentals ou AZ-500: Microsoft Azure Security Technologies.
- Se você já é especializado no Microsoft Sentinel, acompanhe as novidades ou participe do programa Microsoft Cloud Security Private Community para ter uma visão anterior das próximas versões.
- Tem alguma ideia de funcionalidade para partilhar connosco? Informe-nos na página de voz do usuário do Microsoft Sentinel.
- Você é um cliente premier? Você pode querer o Workshop de Fundamentos do Microsoft Sentinel de quatro dias no local ou remoto. Entre em contato com seu Gerente de Conta de Sucesso do Cliente para obter mais detalhes.
- Tem algum problema específico? Pergunte (ou responda a outras pessoas) na Comunidade Microsoft Sentinel Tech. Ou você pode enviar sua pergunta ou problema por e-mail para nós em MicrosoftSentinel@microsoft.com.
Módulo 1: Introdução ao Microsoft Sentinel
O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel fornece análises de segurança e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças. Para obter mais informações, consulte O que é o Microsoft Sentinel?.
Se você quiser obter uma visão geral inicial dos recursos técnicos do Microsoft Sentinel, a apresentação mais recente do Ignite é um bom ponto de partida. Você também pode achar útil o Guia de Início Rápido do Microsoft Sentinel (é necessário registrar o site).
Você encontrará uma visão geral mais detalhada neste webinar do Microsoft Sentinel: YouTube, MP4 ou apresentação.
Finalmente, você quer experimentá-lo você mesmo? O Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 ou apresentação) oferece uma maneira fácil de começar. Para saber como começar, consulte a documentação de integração ou veja o vídeo de instalação e configuração do Microsoft Sentinel do Insight.
Aprenda com outros utilizadores
Milhares de organizações e provedores de serviços estão usando o Microsoft Sentinel. Como é habitual com os produtos de segurança, a maioria das organizações não publica o assunto. Ainda assim, aqui estão alguns que têm:
- Encontre casos de uso públicos de clientes.
- Stuart Gregg, Gerente de Operações de Segurança da ASOS, postou uma postagem de blog muito mais detalhada da experiência do Microsoft Sentinel, com foco na caça.
Aprenda com analistas
- Azure Sentinel alcança uma colocação de Líder no Forrester Wave, com classificação máxima em Estratégia
- Microsoft nomeada Visionária no Quadrante Mágico da Gartner de 2021 para SIEM para Microsoft Sentinel
Módulo 2: Como se utiliza o Microsoft Sentinel?
Muitas organizações usam o Microsoft Sentinel como SIEM principal. A maioria dos módulos deste curso abrange este caso de uso. Neste módulo, apresentamos algumas maneiras extras de usar o Microsoft Sentinel.
Como parte da pilha de Segurança da Microsoft
Use o Microsoft Sentinel, o Microsoft Defender for Cloud e o Microsoft Defender XDR juntos para proteger suas cargas de trabalho da Microsoft, incluindo Windows, Azure e Office:
- Leia mais sobre a nossa solução SIEM+XDR abrangente que combina o Microsoft Sentinel e o Microsoft Defender XDR.
- Leia A bússola de Segurança do Azure (agora Práticas Recomendadas de Segurança da Microsoft) para entender o plano da Microsoft para suas operações de segurança.
- Leia e veja como essa configuração ajuda a detetar e responder a um ataque WebShell: blog ou demonstração em vídeo.
- Veja o webinar Better Together "Deteção, investigação e resposta a ataques OT e IOT".
Para monitorar suas cargas de trabalho multicloud
A nuvem é (ainda) nova e muitas vezes não é monitorada tão extensivamente quanto as cargas de trabalho locais. Leia esta apresentação para saber como o Microsoft Sentinel pode ajudá-lo a fechar a lacuna de monitoramento de nuvem em suas nuvens.
Lado a lado com o seu SIEM existente
Por um período de transição ou um prazo mais longo, se você estiver usando o Microsoft Sentinel para suas cargas de trabalho na nuvem, poderá estar usando o Microsoft Sentinel junto com o SIEM existente. Você também pode estar usando ambos com um sistema de tíquetes, como o Service Now.
Para obter mais informações sobre como migrar de outro SIEM para o Microsoft Sentinel, assista ao webinar sobre migração: YouTube, MP4 ou apresentação.
Há três cenários comuns para implantação lado a lado:
Se você tiver um sistema de tíquetes em seu SOC, uma prática recomendada é enviar alertas ou incidentes de ambos os sistemas SIEM para um sistema de tíquetes, como o Service Now. Os exemplos incluem o uso da sincronização bidirecional de incidentes do Microsoft Sentinel com o ServiceNow ou o envio de alertas enriquecidos com eventos de suporte do Microsoft Sentinel para SIEMs de terceiros.
Pelo menos inicialmente, muitos usuários enviam alertas do Microsoft Sentinel para seu SIEM local. Para saber como, consulte Enviar alertas enriquecidos com eventos de suporte do Microsoft Sentinel para SIEMs de terceiros.
Com o tempo, como o Microsoft Sentinel cobre mais cargas de trabalho, você normalmente inverteria a direção e enviaria alertas do SIEM local para o Microsoft Sentinel. Para tal:
- Para o Splunk, consulte Enviar dados e eventos notáveis do Splunk para o Microsoft Sentinel.
- Para QRadar, consulte Enviar ofensas do QRadar para o Microsoft Sentinel.
- Para ArcSight, consulte Encaminhamento CEF (Common Event Format).
Você também pode enviar os alertas do Microsoft Sentinel para seu SIEM de terceiros ou sistema de tíquetes usando a API de Segurança do Graph. Essa abordagem é mais simples, mas não permite o envio de outros dados.
Para MSSPs
Como elimina o custo de configuração e é independente da localização, o Microsoft Sentinel é uma escolha popular para fornecer SIEM como um serviço. Você encontrará uma lista de provedores de serviços de segurança gerenciados por membros (MSSPs) MISA (Microsoft Intelligent Security Association) que usam o Microsoft Sentinel. Muitos outros MSSPs, especialmente os regionais e menores, usam o Microsoft Sentinel, mas não são membros do MISA.
Para começar sua jornada como um MSSP, leia os Microsoft Sentinel Technical Playbooks for MSSPs. Mais informações sobre o suporte MSSP estão incluídas no próximo módulo, que abrange a arquitetura de nuvem e o suporte multilocatário.
Parte 2: Arquitetura e implantação
Embora a "Parte 1: Visão geral" ofereça maneiras de começar a usar o Microsoft Sentinel em questão de minutos, antes de iniciar uma implantação de produção, é importante criar um plano.
Esta seção orienta você pelas áreas a serem consideradas ao arquitetar sua solução e fornece diretrizes sobre como implementar seu design:
- Espaço de trabalho e arquitetura de locatário
- Recolha de dados
- Gestão de registos
- Aquisição de informações sobre ameaças
Módulo 3: Arquitetura de espaço de trabalho e locatário
Uma instância do Microsoft Sentinel é chamada de espaço de trabalho. O espaço de trabalho é o mesmo que um espaço de trabalho do Log Analytics e suporta qualquer recurso do Log Analytics. Você pode pensar no Microsoft Sentinel como uma solução que adiciona recursos SIEM a um espaço de trabalho do Log Analytics.
Vários espaços de trabalho geralmente são necessários e podem atuar juntos como um único sistema Microsoft Sentinel. Um caso de uso especial é fornecer um serviço usando o Microsoft Sentinel (por exemplo, por um MSSP (Managed Security Service Provider) ou por um SOC Global em uma grande organização).
Para saber mais sobre como usar vários espaços de trabalho como um sistema Microsoft Sentinel, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários ou assista ao webinar: YouTube, MP4 ou apresentação.
Ao usar vários espaços de trabalho, considere o seguinte:
- Um driver importante para usar vários espaços de trabalho é a residência de dados. Para obter mais informações, consulte Residência de dados do Microsoft Sentinel.
- Para implantar o Microsoft Sentinel e gerenciar conteúdo de forma eficiente em vários espaços de trabalho, você pode gerenciar o Microsoft Sentinel como código usando a tecnologia de integração contínua/entrega contínua (CI/CD). Uma prática recomendada para o Microsoft Sentinel é habilitar a implantação contínua. Para obter mais informações, consulte Habilitar a implantação contínua nativamente com repositórios do Microsoft Sentinel.
- Ao gerenciar vários espaços de trabalho como um MSSP, convém proteger a propriedade intelectual do MSSP no Microsoft Sentinel.
O Microsoft Sentinel Technical Playbook for MSSPs fornece diretrizes detalhadas para muitos desses tópicos e é útil para grandes organizações, não apenas para MSSPs.
Módulo 4: Recolha de dados
A base de um SIEM é coletar telemetria: eventos, alertas e informações de enriquecimento contextual, como inteligência de ameaças, dados de vulnerabilidade e informações de ativos. Aqui está uma lista de fontes para se referir:
- Leia Conectores de dados do Microsoft Sentinel.
- Vá para Localizar o conector de dados do Microsoft Sentinel para ver todos os conectores de dados suportados e prontos para uso. Você encontrará links para procedimentos de implantação genéricos e etapas adicionais necessárias para conectores específicos.
- Cenários de coleta de dados: Saiba mais sobre métodos de coleta, como Logstash/CEF/WEF. Outros cenários comuns são restrição de permissões para tabelas, filtragem de logs, coleta de logs da Amazon Web Services (AWS) ou Google Cloud Platform (GCP), logs brutos do Microsoft 365 e assim por diante. Todos podem ser encontrados no webinar "Cenários de coleta de dados": YouTube, MP4 ou apresentação.
A primeira informação que você verá para cada conector é seu método de ingestão de dados. O método que aparece lá é um link para um dos seguintes procedimentos de implantação genéricos, que contêm a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:
| Método de ingestão de dados | Artigo associado |
|---|---|
| Integração serviço-a-serviço do Azure | Conectar-se aos serviços do Azure, Windows, Microsoft e Amazon |
| Formato de evento comum (CEF) sobre Syslog | Obtenha logs formatados em CEF do seu dispositivo ou dispositivo para o Microsoft Sentinel |
| API do coletor de dados Microsoft Sentinel | Conecte sua fonte de dados à API do Microsoft Sentinel Data Collector para ingerir dados |
| Azure Functions e a API REST | Usar o Azure Functions para conectar o Microsoft Sentinel à sua fonte de dados |
| Syslog | Coletar dados de fontes baseadas em Linux usando o Syslog |
| Registos personalizados | Coletar dados em formatos de log personalizados para o Microsoft Sentinel com o agente do Log Analytics |
Se sua fonte não estiver disponível, você poderá criar um conector personalizado. Os conectores personalizados usam a API de ingestão e, portanto, são semelhantes a fontes diretas. Na maioria das vezes, você implementa conectores personalizados usando os Aplicativos Lógicos do Azure, que oferece uma opção sem código, ou o Azure Functions.
Módulo 5: Gestão de registos
A primeira decisão de arquitetura a ser considerada ao configurar o Microsoft Sentinel é quantos espaços de trabalho e quais usar. Outras decisões importantes de arquitetura de gerenciamento de logs a serem consideradas incluem:
- Onde e por quanto tempo reter os dados.
- Como gerir melhor o acesso aos dados e protegê-los.
Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel
Para começar, assista ao webinar "Gerencie seu ciclo de vida de log com novos métodos de ingestão, arquivamento, pesquisa e restauração".
Este conjunto de recursos contém:
- Nível de ingestão básica: uma nova camada de preço para os Logs do Azure Monitor que permite ingerir logs a um custo mais baixo. Esses dados são retidos no espaço de trabalho por apenas oito dias.
- Camada de arquivamento: o Azure Monitor Logs expandiu sua capacidade de retenção de dois para sete anos. Com esse novo nível, você pode reter dados por até sete anos em um estado arquivado de baixo custo.
- Pesquisar vagas: tarefas de pesquisa que executam KQL limitado para localizar e retornar todos os logs relevantes. Esses trabalhos pesquisam dados na camada de análise, na camada básica e nos dados arquivados.
- Restauração de dados: um novo recurso que permite escolher uma tabela de dados e um intervalo de tempo para que você possa restaurar dados para o espaço de trabalho por meio de uma tabela de restauração.
Para obter mais informações sobre esses novos recursos, consulte Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel.
Opções alternativas de retenção fora da plataforma Microsoft Sentinel
Se você quiser reter dados por mais de dois anos ou reduzir o custo de retenção, considere usar o Azure Data Explorer para retenção de longo prazo de logs do Microsoft Sentinel. Veja os slides do webinar, a gravação do webinar ou o blog.
Quer informações mais detalhadas? Veja o webinar "Melhorar a amplitude e a cobertura da caça a ameaças com suporte ADX, mais tipos de entidades e integração MITRE atualizada".
Se preferir outra solução de retenção de longo prazo, consulte Exportar do espaço de trabalho Microsoft Sentinel/Log Analytics para o Armazenamento do Azure e Hubs de Eventos ou Mover logs para armazenamento de longo prazo usando os Aplicativos Lógicos do Azure. A vantagem de usar aplicativos lógicos é que ele pode exportar dados históricos.
Finalmente, você pode definir períodos de retenção refinados usando configurações de retenção no nível da tabela. Para obter mais informações, consulte Configurar políticas de retenção e arquivamento de dados em Logs do Azure Monitor (Visualização).
Segurança do registo
Use o RBAC (controle de acesso baseado em função) de recursos ou o RBAC no nível da tabela para permitir que várias equipes usem um único espaço de trabalho.
Se necessário, exclua o conteúdo do cliente de seus espaços de trabalho.
Saiba como auditar consultas de espaço de trabalho e o uso do Microsoft Sentinel usando alertas, pastas de trabalho e consultas.
Use links privados para garantir que os logs nunca saiam da sua rede privada.
Cluster dedicado
Use um cluster de espaço de trabalho dedicado se a ingestão de dados projetada for de cerca de 500 GB por dia. Com um cluster dedicado, você pode proteger recursos para seus dados do Microsoft Sentinel, o que permite um melhor desempenho de consulta para grandes conjuntos de dados.
Módulo 6: Enriquecimento: Informações sobre ameaças, listas de observação e muito mais
Uma das funções importantes de um SIEM é aplicar informações contextuais ao vapor de eventos, o que permite deteção, priorização de alertas e investigação de incidentes. As informações contextuais incluem, por exemplo, inteligência de ameaças, inteligência de IP, informações de host e usuário e listas de observação.
O Microsoft Sentinel fornece ferramentas abrangentes para importar, gerenciar e usar informações sobre ameaças. Para outros tipos de informações contextuais, o Microsoft Sentinel fornece listas de observação e outras soluções alternativas.
Informações sobre ameaças
A informação sobre ameaças é um elemento importante de um SIEM. Veja o webinar "Explore o poder da inteligência de ameaças no Microsoft Sentinel".
No Microsoft Sentinel, você pode integrar informações sobre ameaças usando os conectores internos dos servidores TAXII (Trusted Automated eXchange of Indicator Information) ou por meio da API de Segurança do Microsoft Graph. Para obter mais informações, consulte Integração de inteligência de ameaças no Microsoft Sentinel. Para obter mais informações sobre como importar informações sobre ameaças, consulte as seções Módulo 4: Coleta de dados.
Depois de importada, a inteligência contra ameaças é usada extensivamente em todo o Microsoft Sentinel. Os seguintes recursos se concentram no uso de informações sobre ameaças:
Visualize e gerencie a inteligência de ameaças importada em Logs na nova área de Inteligência de Ameaças do Microsoft Sentinel.
Use os modelos de regras de análise de inteligência de ameaças integrados para gerar alertas e incidentes de segurança usando sua inteligência de ameaças importada.
Visualize as principais informações sobre suas informações sobre ameaças no Microsoft Sentinel usando a pasta de trabalho de inteligência de ameaças.
Veja o webinar "Automatize seus esforços de triagem do Microsoft Sentinel com o RiskIQ Threat Intelligence": YouTube ou apresentação.
Pouco tempo? Veja a sessão do Ignite (28 minutos).
Quer informações mais detalhadas? Veja o webinar "Aprofundamento na inteligência de ameaças": YouTube, MP4 ou apresentação.
Listas de observação e outros mecanismos de pesquisa
Para importar e gerenciar qualquer tipo de informação contextual, o Microsoft Sentinel fornece listas de observação. Usando listas de observação, você pode carregar tabelas de dados em formato CSV e usá-las em suas consultas KQL. Para obter mais informações, consulte Usar listas de observação no Microsoft Sentinel ou exibir o webinar "Usar listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.
Use listas de observação para ajudá-lo com os seguintes cenários:
Investigue ameaças e responda a incidentes rapidamente: importe rapidamente endereços IP, hashes de arquivos e outros dados de arquivos CSV. Depois de importar os dados, use pares nome-valor da lista de observação para associações e filtros em regras de alerta, caça a ameaças, pastas de trabalho, blocos de anotações e consultas gerais.
Importar dados corporativos como uma lista de observação: por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou funcionários demitidos. Em seguida, use a lista de observação para criar listas de permissões e listas de bloqueio para detetar ou impedir que esses usuários façam login na rede.
Reduzir a fadiga do alerta: crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparariam o alerta. Evitar que eventos benignos se tornem alertas.
Enriquecer dados de eventos: use listas de observação para enriquecer os dados do evento com combinações nome-valor derivadas de fontes de dados externas.
Além das listas de observação, você pode usar o operador de dados externos do KQL, logs personalizados e funções do KQL para gerenciar e consultar informações de contexto. Cada um dos quatro métodos tem seus prós e contras, e você pode ler mais sobre as comparações entre eles na postagem do blog "Implementando pesquisas no Microsoft Sentinel". Embora cada método seja diferente, o uso das informações resultantes em suas consultas é semelhante e permite alternar facilmente entre eles.
Para obter ideias sobre como usar listas de observação fora das regras analíticas, consulte Utilizar listas de observação para aumentar a eficiência durante as investigações do Microsoft Sentinel.
Veja o webinar "Use listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.
Módulo 7: Transformação de logs
O Microsoft Sentinel suporta dois novos recursos para ingestão e transformação de dados. Esses recursos, fornecidos pelo Log Analytics, atuam sobre seus dados antes mesmo de serem armazenados em seu espaço de trabalho. As características são:
API de ingestão de logs: use-a para enviar logs de formato personalizado de qualquer fonte de dados para seu espaço de trabalho do Log Analytics e, em seguida, armazene esses logs em determinadas tabelas padrão específicas ou em tabelas personalizadas que você criar. Você pode executar a ingestão real desses logs usando chamadas diretas de API. Você pode usar as regras de coleta de dados do Azure Monitor para definir e configurar esses fluxos de trabalho.
Transformações de dados do espaço de trabalho para logs padrão: ele usa regras de coleta de dados para filtrar dados irrelevantes, enriquecer ou marcar seus dados ou ocultar informações confidenciais ou pessoais. Você pode configurar a transformação de dados no momento da ingestão para os seguintes tipos de conectores de dados internos:
- Conectores de dados baseados no agente do Azure Monitor (AMA) (com base no novo agente do Azure Monitor)
- Conectores de dados baseados no Microsoft Monitoring agent (MMA) (com base no Azure Monitor Logs Agent herdado)
- Conectores de dados que usam configurações de diagnóstico
- Conectores de dados de serviço a serviço
Para obter mais informações, consulte:
- Transformar ou personalizar dados no momento da ingestão no Microsoft Sentinel
- Encontrar o seu conector de dados do Microsoft Sentinel
Módulo 8: Migração
Em muitos (se não na maioria) dos casos, você já tem um SIEM e precisa migrar para o Microsoft Sentinel. Embora possa ser um bom momento para começar de novo e repensar sua implementação SIEM, faz sentido utilizar alguns dos ativos que você já construiu em sua implementação atual. Veja o webinar "Práticas recomendadas para converter regras de deteção" (do Splunk, QRadar e ArcSight para o Azure Microsoft Sentinel): YouTube, MP4, apresentação ou blog.
Você também pode estar interessado nos seguintes recursos:
- Mapeamentos SPL (Splunk Search Processing Language) para KQL
- Exemplos de mapeamento de regras do ArcSight e QRadar
Módulo 9: Modelo avançado de informação SIEM e normalização
Trabalhar com vários tipos de dados e tabelas em conjunto pode representar um desafio. Você deve se familiarizar com esses tipos de dados e esquemas à medida que escreve e usa um conjunto exclusivo de regras de análise, pastas de trabalho e consultas de caça. A correlação entre os tipos de dados necessários para investigação e caça também pode ser complicada.
O modelo avançado de informações SIEM (ASIM) fornece uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas. O ASIM alinha-se com o modelo de informação comum OSSEM (Open-Source Security Events Metadata), promovendo uma normalização independente do fornecedor em todo o setor. Veja o webinar "Advanced SIEM information model (ASIM): Now built into Microsoft Sentinel": YouTube ou apresentação.
A implementação atual é baseada na normalização do tempo de consulta, que usa funções KQL:
Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que são fáceis de trabalhar e criar recursos unificados. O esquema define quais campos devem representar um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo.
- Veja o webinar "Compreender a normalização no Microsoft Sentinel": YouTube ou apresentação.
- Veja o webinar "Deep Dive into Microsoft Sentinel normalizing parsers and normalized content": YouTube, MP3 ou apresentação.
Os analisadores mapeiam os dados existentes para os esquemas normalizados. Você implementa analisadores usando funções KQL. Veja o webinar "Estender e gerenciar ASIM: Desenvolver, testar e implantar analisadores": YouTube ou apresentação.
O conteúdo de cada esquema normalizado inclui regras de análise, pastas de trabalho e consultas de busca. Esse conteúdo funciona em qualquer dado normalizado sem a necessidade de criar conteúdo específico da fonte.
O uso do ASIM oferece os seguintes benefícios:
Deteção entre fontes: as regras analíticas normalizadas funcionam entre fontes locais e na nuvem. As regras detetam ataques, como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.
Permite conteúdo agnóstico de origem: Cobrir conteúdo interno e personalizado usando ASIM se expande automaticamente para qualquer fonte que suporte ASIM, mesmo que a fonte tenha sido adicionada depois que o conteúdo foi criado. Por exemplo, a análise de eventos de processo oferece suporte a qualquer fonte que um cliente possa usar para trazer os dados, incluindo o Microsoft Defender for Endpoint, Eventos do Windows e Sysmon. Estamos prontos para adicionar o Sysmon para Linux e WEF quando ele for lançado.
Suporte para suas fontes personalizadas em análises integradas
Facilidade de uso: Os analistas que aprendem ASIM acham muito mais simples escrever consultas porque os nomes dos campos são sempre os mesmos.
Saiba mais sobre a ASIM
Tire partido destes recursos:
Veja o webinar de descrição geral "Compreender a normalização no Azure Sentinel": YouTube ou apresentação.
Veja o webinar "Aprofundamento nos analisadores de normalização e conteúdo normalizado do Microsoft Sentinel": YouTube, MP3 ou apresentação.
Veja o webinar "Turbocharge ASIM: Certifique-se de que a normalização ajuda o desempenho em vez de o afetar": YouTube, MP4 ou apresentação.
Leia a documentação do ASIM.
Implantar ASIM
Implante os analisadores a partir das pastas, começando com "ASIM*" na pasta de analisadores no GitHub.
Ative regras analíticas que usam ASIM. Pesquise por normal na galeria de modelos para encontrar alguns deles. Para obter a lista completa, use esta pesquisa no GitHub.
Usar ASIM
Use as consultas de caça ASIM do GitHub.
Use consultas ASIM quando estiver usando o KQL na tela de log.
Escreva suas próprias regras de análise usando o ASIM ou converta regras existentes.
Escreva analisadores para suas fontes personalizadas para torná-las compatíveis com ASIM e participe de análises integradas.
Parte 3: Criação de conteúdo
O que é o conteúdo do Microsoft Sentinel?
O valor da segurança do Microsoft Sentinel é uma combinação de seus recursos internos e sua capacidade de criar recursos personalizados e personalizar os internos. Entre os recursos internos, há o User and Entity Behavior Analytics (UEBA), o aprendizado de máquina ou regras de análise prontas para uso. Os recursos personalizados são frequentemente chamados de "conteúdo" e incluem regras analíticas, consultas de caça, pastas de trabalho, playbooks e assim por diante.
Nesta seção, agrupamos os módulos que ajudam você a aprender como criar esse conteúdo ou modificar o conteúdo interno de acordo com suas necessidades. Começamos com o KQL, a língua franca do Azure Microsoft Sentinel. Os módulos a seguir discutem um dos blocos de construção de conteúdo, como regras, playbooks e pastas de trabalho. Eles terminam discutindo casos de uso, que englobam elementos de diferentes tipos que abordam objetivos de segurança específicos, como deteção de ameaças, caça ou governança.
Módulo 10: Linguagem de consulta Kusto
A maioria dos recursos do Microsoft Sentinel usa Kusto Query Language (KQL). Quando você pesquisa em seus logs, escreve regras, cria consultas de caça ou cria pastas de trabalho, você usa o KQL.
A próxima seção sobre como escrever regras explica como usar o KQL no contexto específico das regras SIEM.
A jornada recomendada para aprender o Microsoft Sentinel KQL
Curso Pluralsight KQL: Dá-lhe o básico
Must Learn KQL: uma série KQL de 20 partes que o orienta pelos conceitos básicos da criação da sua primeira regra de análise (inclui uma avaliação e um certificado)
O Microsoft Sentinel KQL Lab: Um laboratório interativo que ensina KQL com foco no que você precisa para o Microsoft Sentinel:
- Módulo de aprendizagem (SC-200 parte 4)
- URL da apresentação ou do laboratório
- Uma versão de blocos de anotações Jupyter que permite testar as consultas dentro do bloco de anotações
- Webinar de aprendizagem: YouTube ou MP4
- Webinar sobre revisão de soluções de laboratório: YouTube ou MP4
Webinar "Otimizando o desempenho das consultas do Microsoft Sentinel KQL do Azure": YouTube, MP4 ou apresentação
"Usando ASIM em suas consultas KQL": YouTube ou apresentação
Webinar "KQL framework for Microsoft Sentinel: Empowering you to become KQL-savvy": YouTube ou apresentação
À medida que você aprende KQL, você também pode achar as seguintes referências úteis:
Módulo 11: Análise
Escrevendo regras de análise agendada
Com o Microsoft Sentinel, você pode usar modelos de regras internos, personalizar os modelos para seu ambiente ou criar regras personalizadas. O núcleo das regras é uma consulta KQL; No entanto, há muito mais do que isso para configurar em uma regra.
Para aprender o procedimento de criação de regras, consulte Criar regras de análise personalizadas para detetar ameaças. Para saber como escrever regras (ou seja, o que deve entrar em uma regra, com foco no KQL para regras), assista ao webinar: YouTube, MP4 ou apresentação.
As regras de análise do SIEM têm padrões específicos. Saiba como implementar regras e escrever KQL para esses padrões:
Regras de correlação: Consulte Usando listas e o operador "in" ou usando o operador "join"
Agregação: Consulte Usando listas e o operador "in" ou um padrão mais avançado manipulando janelas deslizantes
Pesquisas: pesquisas regulares ou aproximadas, parciais e combinadas
Tratamento de falsos positivos
Eventos atrasados: um fato da vida em qualquer SIEM, e eles são difíceis de lidar. O Microsoft Sentinel pode ajudá-lo a reduzir atrasos nas suas regras.
Use funções KQL como blocos de construção: Enriqueça os Eventos de Segurança do Windows com funções parametrizadas.
A postagem do blog "Blob and File storage investigations" fornece um exemplo passo a passo de como escrever uma regra analítica útil.
Usando análises integradas
Antes de começar a escrever suas próprias regras, considere aproveitar os recursos de análise integrados. Eles não exigem muito de você, mas vale a pena aprender sobre eles:
Use os modelos de regras agendadas internos. Você pode ajustar esses modelos modificando-os da mesma maneira para editar qualquer regra agendada. Certifique-se de implantar os modelos para os conectores de dados conectados, que estão listados na guia Próximas etapas do conector de dados.
Saiba mais sobre os recursos de aprendizado de máquina do Microsoft Sentinel: YouTube, MP4 ou apresentação.
Obtenha a lista de deteções avançadas de ataques em vários estágios (Fusion) do Microsoft Sentinel, que estão habilitadas por padrão.
Veja o webinar "Deteções de aprendizagem automática do Fusion com regras de análise agendadas": YouTube, MP4 ou apresentação.
Saiba mais sobre as anomalias de aprendizado de máquina SOC integradas do Microsoft Sentinel.
Veja o webinar "Anomalias personalizadas de SOC-machine learning e como usá-las": YouTube, MP4 ou apresentação.
Assista ao webinar "Deteções de aprendizado de máquina do Fusion para ameaças emergentes e interface do usuário de configuração": YouTube ou apresentação.
Módulo 12: Implementação do SOAR
Em SIEMs modernos, como o Microsoft Sentinel, o SOAR compõe todo o processo desde o momento em que um incidente é acionado até ser resolvido. Este processo começa com uma investigação de incidente e continua com uma resposta automatizada. A postagem do blog "Como usar o Microsoft Sentinel para resposta a incidentes, orquestração e automação" fornece uma visão geral dos casos de uso comuns do SOAR.
As regras de automação são o ponto de partida para a automação do Microsoft Sentinel. Eles fornecem um método leve de tratamento centralizado e automatizado de incidentes, incluindo supressão, tratamento de falsos positivos e atribuição automática.
Para fornecer recursos robustos de automação baseados em fluxo de trabalho, as regras de automação usam playbooks do Logic Apps. Para saber mais:
Veja o webinar "Liberte os truques Jedi de automação e crie playbooks de Aplicativos Lógicos como um chefe": YouTube, MP4 ou apresentação.
Leia sobre os Aplicativos Lógicos, que é a principal tecnologia que impulsiona os manuais do Microsoft Sentinel.
Consulte O conector Microsoft Sentinel Logic Apps, a ligação entre as Aplicações Lógicas e o Microsoft Sentinel.
Você encontrará dezenas de playbooks úteis na pasta Playbooks no site Microsoft Sentinel GitHub ou lerá Um playbook usando uma lista de observação para informar o proprietário de uma assinatura sobre um alerta para um passo a passo do playbook.
Módulo 13: Pastas de trabalho, relatórios e visualização
Livros
Como o centro nervoso do seu SOC, o Microsoft Sentinel é necessário para visualizar as informações que coleta e produz. Use pastas de trabalho para visualizar dados no Microsoft Sentinel.
Para saber como criar pastas de trabalho, leia a documentação das Pastas de Trabalho do Azure ou assista ao treinamento de Pastas de Trabalho de Billy York (e ao texto que as acompanha).
Os recursos mencionados não são específicos do Microsoft Sentinel. Eles se aplicam a pastas de trabalho em geral. Para saber mais sobre pastas de trabalho no Microsoft Sentinel, assista ao webinar: YouTube, MP4 ou apresentação. Leia a documentação.
As pastas de trabalho podem ser interativas e permitir muito mais do que apenas gráficos. Com pastas de trabalho, você pode criar aplicativos ou módulos de extensão para o Microsoft Sentinel para complementar sua funcionalidade interna. Você também pode usar pastas de trabalho para estender os recursos do Microsoft Sentinel. Aqui estão alguns exemplos de tais aplicações:
A pasta de trabalho do Investigation Insights fornece uma abordagem alternativa para investigar incidentes.
A visualização em gráfico de colaborações externas do Teams permite a busca por uso arriscado do Teams.
A pasta de trabalho de mapa de viagem dos usuários permite que você investigue alertas de geolocalização.
O guia de implementação da pasta de trabalho de protocolos inseguros do Microsoft Sentinel, aprimoramentos recentes e vídeo de visão geral) ajuda você a identificar o uso de protocolos inseguros em sua rede.
Finalmente, aprenda a integrar informações de qualquer fonte usando chamadas de API em uma pasta de trabalho.
Você encontrará dezenas de pastas de trabalho na pasta Pastas de trabalho no Microsoft Sentinel GitHub. Alguns deles também estão disponíveis na galeria de pastas de trabalho do Microsoft Sentinel.
Relatórios e outras opções de visualização
As pastas de trabalho podem servir para relatórios. Para recursos de relatórios mais avançados, como agendamento e distribuição de relatórios ou tabelas dinâmicas, convém usar:
Power BI, que se integra nativamente com os Logs do Azure Monitor e o Microsoft Sentinel.
Excel, que pode usar os Logs do Azure Monitor e o Microsoft Sentinel como fonte de dados, e exibir o vídeo "Integrar Logs do Azure Monitor e Excel com o Azure Monitor".
Os cadernos Jupyter, um tópico que é abordado mais adiante no módulo de caça, também são uma ótima ferramenta de visualização.
Módulo 14: Computadores portáteis
Os notebooks Jupyter são totalmente integrados ao Microsoft Sentinel. Embora considerado uma ferramenta importante no baú de ferramentas do caçador e discutido os webinars na seção de caça abaixo, seu valor é muito mais amplo. Os notebooks podem servir para visualização avançada, como um guia de investigação e para automação sofisticada.
Para compreender melhor os blocos de notas, veja o vídeo Introdução aos blocos de notas. Comece a usar o webinar de blocos de anotações (YouTube, MP4 ou apresentação) ou leia a documentação. A série Microsoft Sentinel Notebooks Ninja é uma série de treinamento contínuo para aprimorá-lo em notebooks.
Uma parte importante da integração é implementada pelo MSTICPy, que é uma biblioteca Python desenvolvida pela nossa equipe de pesquisa para ser usada com notebooks Jupyter. Adiciona interfaces Microsoft Sentinel e capacidades de segurança sofisticadas aos seus blocos de notas.
Módulo 15: Casos de uso e soluções
Com conectores, regras, playbooks e pastas de trabalho, você pode implementar casos de uso, que é o termo SIEM para um pacote de conteúdo destinado a detetar e responder a uma ameaça. Você pode implantar casos de uso internos do Microsoft Sentinel ativando as regras sugeridas ao conectar cada conector. Uma solução é um grupo de casos de uso que abordam um domínio de ameaça específico.
O webinar "Tackling Identity" (YouTube, MP4 ou apresentação) explica o que é um caso de uso e como abordar seu design, e apresenta vários casos de uso que abordam coletivamente as ameaças de identidade.
Outra área de solução relevante é a proteção do trabalho remoto. Veja a nossa sessão do Ignite sobre a proteção do trabalho remoto e leia mais sobre os seguintes casos de uso específicos:
Casos de uso de busca do Microsoft Teams e visualização em gráfico de colaborações externas do Microsoft Teams
Monitoramento do Zoom com o Microsoft Sentinel: conectores personalizados, regras analíticas e consultas de caça.
Monitorando a Área de Trabalho Virtual do Azure com o Microsoft Sentinel: use os Eventos de Segurança do Windows, os logs de entrada do Microsoft Entra, o Microsoft Defender XDR for Endpoints e os logs de diagnóstico da Área de Trabalho Virtual do Azure para detetar e procurar ameaças da Área de Trabalho Virtual do Azure.
Monitore o Microsoft Intune usando consultas e pastas de trabalho.
E, finalmente, com foco em ataques recentes, aprenda a monitorar a cadeia de suprimentos de software com o Microsoft Sentinel.
As soluções Microsoft Sentinel fornecem capacidade de descoberta no produto, implantação em uma única etapa e habilitação de cenários completos de produto, domínio e/ou vertical no Microsoft Sentinel. Para obter mais informações, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel e veja o webinar "Crie suas próprias soluções do Microsoft Sentinel": YouTube ou apresentação.
Parte 4: Funcionamento
Módulo 16: Tratamento de incidentes
Depois de criar seu SOC, você precisa começar a usá-lo. O webinar "day in a SOC analyst's life" (YouTube, MP4 ou apresentação) orienta você sobre o uso do Microsoft Sentinel no SOC para triar, investigar e responder a incidentes.
Para ajudar a permitir que suas equipes colaborem perfeitamente em toda a organização e com partes interessadas externas, consulte Integração com o Microsoft Teams diretamente do Microsoft Sentinel. E veja o webinar "Diminua o MTTR (Mean Time to Respond) do seu SOC integrando o Microsoft Sentinel com o Microsoft Teams".
Você também pode querer ler o artigo de documentação sobre investigação de incidentes. Como parte da investigação, você também usará as páginas da entidade para obter mais informações sobre entidades relacionadas ao seu incidente ou identificadas como parte da sua investigação.
A investigação de incidentes no Microsoft Sentinel vai além da funcionalidade principal de investigação de incidentes. Você pode criar ferramentas de investigação adicionais usando pastas de trabalho e blocos de anotações, os blocos de anotações são discutidos na próxima seção, Módulo 17: Caça. Você também pode criar mais ferramentas de investigação ou modificar as existentes de acordo com suas necessidades específicas. Exemplos incluem:
A pasta de trabalho do Investigation Insights fornece uma abordagem alternativa para investigar incidentes.
Os cadernos melhoram a experiência de investigação. Leia Por que usar o Jupyter para investigações de segurança?, e saiba como investigar usando os notebooks Microsoft Sentinel e Jupyter:
Módulo 17: Caça
Embora a maior parte da discussão até agora tenha se concentrado na deteção e gerenciamento de incidentes, a caça é outro caso de uso importante para o Microsoft Sentinel. A caça é uma busca proativa por ameaças em vez de uma resposta reativa a alertas.
O painel de caça é atualizado constantemente. Ele mostra todas as consultas que foram escritas pela equipe de analistas de segurança da Microsoft e quaisquer consultas extras que você criou ou modificou. Cada consulta fornece uma descrição do que está procurando e em que tipo de dados é executada. Esses modelos são agrupados por suas várias táticas. Os ícones à direita categorizam o tipo de ameaça, como acesso inicial, persistência e exfiltração. Para obter mais informações, consulte Procurar ameaças com o Microsoft Sentinel.
Para entender mais sobre o que é caça e como o Microsoft Sentinel a suporta, veja o webinar introdutório "Caça a ameaças": YouTube, MP4 ou apresentação. O webinar começa com uma atualização sobre novos recursos. Para aprender sobre a caça, comece no slide 12. O vídeo do YouTube já está programado para começar por aí.
Embora o webinar introdutório se concentre em ferramentas, a caça tem tudo a ver com segurança. Nosso webinar da equipe de pesquisa de segurança (YouTube, MP4 ou apresentação) se concentra em como realmente caçar.
O webinar de acompanhamento, "AWS threat hunting by using Microsoft Sentinel" (YouTube, MP4 ou apresentação) impulsiona o ponto ao mostrar um cenário de caça de ponta a ponta em um ambiente de destino de alto valor.
Finalmente, você pode aprender a fazer a caça pós-compromisso da SolarWinds com o Microsoft Sentinel e a caça ao WebShell, motivada pelas mais recentes vulnerabilidades recentes em servidores Microsoft Exchange locais.
Módulo 18: Análise do Comportamento de Utilizadores e Entidades (UEBA)
O recém-introduzido módulo Microsoft Sentinel User and Entity Behavior Analytics (UEBA) permite identificar e investigar ameaças dentro da sua organização e seu impacto potencial, sejam elas provenientes de uma entidade comprometida ou de um insider mal-intencionado.
À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte de grupos de pares. Por meio de várias técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Não só isso, mas também pode descobrir a sensibilidade relativa de ativos específicos, identificar grupos pares de ativos e avaliar o impacto potencial de qualquer ativo comprometido (seu "raio de explosão"). Armado com essas informações, você pode efetivamente priorizar sua investigação e tratamento de incidentes.
Saiba mais sobre a UEBA assistindo ao webinar (YouTube, MP4 ou apresentação) e leia sobre como usar a UEBA para investigações em seu SOC.
Para saber mais sobre as atualizações mais recentes, consulte o webinar "Future of Users Entity Behavioral Analytics in Microsoft Sentinel".
Módulo 19: Monitorando a integridade do Microsoft Sentinel
Parte da operação de um SIEM é garantir que ele funcione sem problemas e seja uma área em evolução no Azure Microsoft Sentinel. Use o seguinte para monitorar a integridade do Microsoft Sentinel:
A tabela de dados do Microsoft Sentinel Health fornece informações sobre desvios de integridade, como eventos de falha mais recentes por conector ou conectores com alterações de estados de êxito para falha, que você pode usar para criar alertas e outras ações automatizadas. Para obter mais informações, consulte Monitorar a integridade dos conectores de dados. Veja o vídeo "Pasta de trabalho de monitoramento de integridade dos conectores de dados". E receba notificações sobre anomalias.
Monitore os agentes usando a solução de integridade dos agentes (somente Windows) e a tabela Heartbeat (Linux e Windows).
Monitore seu espaço de trabalho do Log Analytics: YouTube, MP4 ou apresentação, incluindo execução de consultas e integridade da ingestão.
A gestão de custos também é um procedimento operacional importante no SOC. Use o Manual de Alerta de Custo de Ingestão para garantir que você esteja sempre ciente de qualquer aumento de custo.
Parte 5: Avançado
Módulo 20: Estendendo e integrando usando as APIs do Microsoft Sentinel
Como um SIEM nativo da nuvem, o Microsoft Sentinel é um sistema API-first. Cada recurso pode ser configurado e usado por meio de uma API, permitindo uma fácil integração com outros sistemas e estendendo o Microsoft Sentinel com seu próprio código. Se a API soar intimidante para você, não se preocupe. Tudo o que está disponível usando a API também está disponível usando o PowerShell.
Para saber mais sobre as APIs do Microsoft Sentinel, veja o pequeno vídeo introdutório e leia a postagem do blog. Para um mergulho mais profundo, veja o webinar "Estendendo e integrando o Sentinel (APIs)" (YouTube, MP4 ou apresentação) e leia a postagem do blog Estendendo o Microsoft Sentinel: APIs, integração e automação de gerenciamento.
Módulo 21: Crie o seu próprio aprendizado de máquina
O Microsoft Sentinel fornece uma excelente plataforma para implementar os seus próprios algoritmos de aprendizagem automática. Chamamos isso de modelo de aprendizado de máquina Build-your-own, ou BYO ML. BYO ML destina-se a usuários avançados. Se você estiver procurando por análises comportamentais integradas, use nossas regras de análise de aprendizado de máquina ou módulo UEBA, ou escreva suas próprias regras de análise de análise baseada em KQL.
Para começar a trazer seu próprio aprendizado de máquina para o Microsoft Sentinel, veja o vídeo "Crie seu próprio modelo de aprendizado de máquina" e leia as deteções de modelo de aprendizado de máquina Compile seu próprio modelo de aprendizado de máquina na postagem do blog Azure Sentinel SIEM imerso em IA. Você também pode querer consultar a documentação do BYO ML.
Próximos passos
- As atividades de pré-implementação são um pré-requisito para a implementação do Microsoft Sentinel
- Início Rápido: Integrar o Microsoft Sentinel
- O que há de novo no Microsoft Sentinel