Passo 3. Ingerir fontes de dados e configurar a deteção de incidentes no Microsoft Sentinel
Depois de concluir a criação e a implementação do(s) seu(s) espaço(s) de trabalho do Microsoft Sentinel, você pode continuar a ingerir fontes de dados e configurar a deteção de incidentes.
Os conectores de dados são configurados para permitir a ingestão de dados no espaço de trabalho. Depois de permitir que pontos-chave de dados sejam ingeridos no Sentinel, a Análise de Comportamento de Usuários e Entidades (UEBA) e as Regras Analíticas também devem ser habilitadas para capturar atividades anômalas e maliciosas. As Regras Analíticas ditam como os Alertas e Incidentes são gerados na sua instância do Sentinel. Adaptar as regras analíticas ao seu ambiente e às necessidades organizacionais por meio do mapeamento de entidades permite que você produza incidentes de alta fidelidade e reduza a fadiga de alerta.
Antes de começar
Confirme o método de instalação, as funções necessárias e as licenças necessárias para ativar os conectores de dados. Para obter mais informações, veja Localizar o conector de dados do Microsoft Sentinel.
A tabela a seguir é um resumo dos pré-requisitos necessários para ingerir conectores de chave do Azure e de dados:
| Tipo de Recurso | Método de Instalação | Função/Permissões/Licença Necessária |
|---|---|---|
| Microsoft Entra ID | Conector de dados nativos | Administrador de Segurança Os logs de entrada exigem a licença do Microsoft Entra ID P1 ou P2 Outros logs não exigem P1 ou P2 |
| Proteção do Microsoft Entra ID | Conector de dados nativo | Administrador de Segurança Licença: Microsoft Entra ID P2 |
| Atividade do Azure | Azure Policy | Função de proprietário necessária em assinaturas |
| Microsoft Defender XDR | Conector de dados nativo | Administrador de Segurança Licença: Microsoft 365 E5, Microsoft 365 A5 ou qualquer outra licença elegível para Microsoft Defender XDR |
| Microsoft Defender para a Cloud | Conector de dados nativo | Leitor de Segurança Para habilitar a sincronização bidirecional, a função de Colaborador/Administrador de Segurança é necessária na assinatura. |
| Microsoft Defender para Identidade | Conector de dados nativo | Administrador de Segurança Licença: Microsoft Defender for Identity |
| Microsoft Defender para Office 365 | Conector de dados nativo | Administrador de Segurança Licença: Microsoft Defender for Office 365 Plano 2 |
| Office 365 | Conector de dados nativo | Administrador de Segurança |
| Microsoft Defender para a IoT | Colaborador de assinatura com hubs IoT | |
| Microsoft Defender for Cloud Apps | Conector de dados nativo | Administrador de Segurança Licença: Microsoft Defender for Cloud Apps |
| Microsoft Defender para Ponto Final | Conector de dados nativo | Administrador de Segurança Licença: Microsoft Defender for Endpoint |
| Eventos de Segurança do Windows através do Azure Monitor Agent (AMA) | Conector de dados nativo com agente | Leitura/gravação no espaço de trabalho do Log Analytics |
| Syslog | Conector de dados nativo com agente | Espaço de trabalho de análise de log de leitura/gravação |
Etapa 1: Ativar conectores de dados
Use as seguintes recomendações para começar a configurar conectores de dados:
Concentre-se na configuração de fontes de dados gratuitas para ingerir:
Logs de Atividade do Azure: Ingerir Logs de Atividade do Azure é fundamental para permitir que o Sentinel forneça um painel único de exibição de vidro em todo o ambiente.
Logs de Auditoria do Office 365, incluindo todas as atividades do SharePoint, atividades de administração do Exchange e Teams.
Alertas de segurança, incluindo alertas do Microsoft Defender for Cloud, Microsoft Defender XDR, Microsoft Defender for Office 365, Microsoft Defender for Identity e Microsoft Defender for Endpoint:
A ingestão de alertas de segurança no Sentinel permite que ele seja o "painel central do gerenciamento de incidentes" em todo o ambiente.
A investigação de incidentes começa no Sentinel e deve continuar no portal Microsoft Defender ou no Defender for Cloud, se for necessária uma análise mais profunda.
Nota
Se você tiver ativado o conector Microsoft Defender XDR, uma sincronização bidirecional entre 365 Incidentes do Defender e o Sentinel será estabelecida automaticamente. Para evitar a criação de incidentes duplicados para os mesmos alertas, recomendamos que o cliente desative todas as regras de criação de incidentes da Microsoft para produtos integrados ao Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps e Microsoft Entra ID Protection). Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft.
Alertas do Microsoft Defender for Cloud Apps.
Para obter mais informações, consulte Fontes de dados gratuitas.
A tabela a seguir lista as fontes de dados gratuitas que você pode habilitar no Microsoft Sentinel:
Gorjeta
Para obter mais informações sobre os preços mais atualizados do Sentinel, consulte Preços do Microsoft Sentinel.
Conector de dados Microsoft Sentinel Tipo de dados livre Registos de Atividade do Azure AzureActivity Proteção do Microsoft Entra ID Alerta de Segurança (IPC) Office 365 OfficeActivity (SharePoint)
OfficeActivity (Exchange)
OfficeActivity (Equipas)Microsoft Defender para a Cloud SecurityAlert (Defender for Cloud) Microsoft Defender para a IoT SecurityAlert (Defender para IoT) Microsoft Defender XDR Incidente de Segurança
Alerta de SegurançaMicrosoft Defender para Ponto Final SecurityAlert (Proteção Avançada contra Ameaças do Microsoft Defender (MDATP)) Microsoft Defender para Identidade SecurityAlert (Proteção Avançada contra Ameaças do Azure (AATP)) Microsoft Defender for Cloud Apps SecurityAlert (Defender para aplicativos na nuvem) Para fornecer uma cobertura mais ampla de monitoramento e alerta, concentre-se nos seguintes conectores de dados:
Nota
Há uma taxa para a ingestão de dados das fontes listadas na seção
Microsoft Entra ID
Conector XDR do Microsoft Defender
Envie logs XDR do Microsoft Defender para o Sentinel, se alguma das seguintes opções for necessária:
Aproveite os alertas do Fusion com o Sentinel.
- O Fusion correlaciona fontes de dados de vários produtos para detetar ataques em vários estágios em todo o ambiente.
Retenção mais longa do que a oferecida no Microsoft Defender XDR.
Automação não coberta pelas correções internas oferecidas pelo Microsoft Defender for Endpoint. Para obter mais informações, consulte Ações de correção no Microsoft Defender XDR.
Se implantado no Azure, use os seguintes conectores para enviar os Logs de Diagnóstico desses recursos para o Sentinel:
- Azure Firewall
- Gateway de Aplicação do Azure
- Keyvault
- Azure Kubernetes Service
- SQL do Azure
- Grupos de Segurança de Rede
- Servidores Azure-Arc
O método recomendado é configurar a Política do Azure para exigir que seus logs sejam encaminhados para o espaço de trabalho subjacente do Log Analytics. Para obter mais informações, consulte Criar configurações de diagnóstico em escala usando a Política do Azure.
Para máquinas virtuais hospedadas no local ou em outras nuvens que exigem seus logs coletados, use:
- Eventos de segurança do Windows usando AMA
- Eventos de segurança usando o agente herdado
- Eventos via Defender for Endpoint (para servidor)
- Conector Syslog
Para Dispositivos Virtuais de Rede ou outras fontes locais que geram logs CEF (Common Event Format) ou SYSLOG, use o seguinte conector:
- Formato comum de evento (CEF) via AMA
- Formato de evento comum (CEF) via agente herdado
Para obter mais informações, consulte Implantar um encaminhador de log para ingerir logs Syslog e CEF no Microsoft Sentinel.
Considere migrar do agente herdado para a nova orientação unificada do Azure Monitor Agent. Para obter mais informações, consulte MIgrat de agentes herdados para o Azure Monitor Agent.
Pesquise no hub de conteúdo por outros dispositivos, aplicativos SaaS (Software as a Service) que exigem o envio de logs para o Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel .
Etapa 2: Habilitar a Análise de Comportamento de Entidade de Usuário
Depois de configurar conectores de dados no Sentinel, certifique-se de habilitar a Análise de Comportamento de Entidade do Usuário para identificar comportamentos suspeitos que possam levar a explorações de phishing e, eventualmente, ataques como ransomware. Muitas vezes, a deteção de anomalias através da UEBA é o melhor método para detetar explorações de dia zero logo no início.
Fontes de dados necessárias:
- Active Directory logs (Microsoft Defender for Identity)
- Microsoft Entra ID
- Registos de Auditoria
- Atividade do Azure
- Eventos de Segurança
- Iniciar sessão em Registos
O uso da UEBA permite que o Microsoft Sentinel crie perfis comportamentais das entidades da sua organização ao longo do tempo e do grupo de pares para identificar atividades anômalas. Essa utilidade adicional ajuda em uma expedição para determinar se um ativo foi comprometido. Uma vez que identifica a associação de grupos de pares, isso também pode ajudar a determinar o raio de explosão do referido comprometimento.
Etapa 3: Habilitar regras analíticas
Os cérebros de Sentinel vêm das Regras Analíticas. Estas são regras que define para dizer ao Sentinel para o alertar para eventos com um conjunto de condições que considera importantes. As decisões prontas para uso do Sentinel são baseadas no User Entity Behavioral Analytics (UEBA) e em correlações de dados entre várias fontes de dados.
Nota
Se você tiver ativado o conector Microsoft Defender XDR, uma sincronização bidirecional entre 365 Incidentes do Defender e o Sentinel será estabelecida automaticamente. Para evitar a criação de incidentes duplicados para os mesmos alertas, recomendamos que o cliente desative todas as regras de criação de incidentes da Microsoft para produtos integrados ao Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps e Microsoft Entra ID Protection). Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft.
O Microsoft Sentinel habilita a regra analítica de deteção de ataques multiestágio do Fusion Advanced por padrão para identificar automaticamente ataques de vários estágios. Aproveitando o comportamento anômalo e os eventos de atividade suspeita observados em toda a cadeia de destruição cibernética, o Microsoft Sentinel gera incidentes que permitem que você veja os incidentes de comprometimento com duas ou mais atividades de alerta com um alto grau de confiança.
A tecnologia de alerta Fusion correlaciona pontos amplos de sinais de dados com a análise estendida de aprendizado de máquina (ML) para ajudar a determinar ameaças conhecidas, desconhecidas e emergentes. Por exemplo, a deteção do Fusion pode pegar os modelos de Regra de Anomalia e as consultas agendadas criadas para o cenário de Ransomware e emparelhá-los com alertas dos produtos Microsoft Security Suite:
- Proteção do Microsoft Entra ID
- Microsoft Defender para a Cloud
- Microsoft Defender para a IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto Final
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
Outro conjunto de regras prontas para uso habilitadas por padrão são as Regras de Anomalia no Sentinel. Eles são baseados em modelos de Machine Learning e UEBA que treinam os dados em seu espaço de trabalho para sinalizar o comportamento anômalo entre usuários, hosts e outros. Muitas vezes, um ataque de phishing leva a uma etapa de execução, como manipulação/controle de conta local ou na nuvem ou execução de script mal-intencionado. As Regras de Anomalia procuram exatamente esses tipos de atividades:
- Remoção de acesso anômalo à conta
- Criação de Conta Anômala
- Exclusão anômala de conta
- Manipulação anômala de contas
- Execução Anômala de Código (UEBA)
- Destruição anômala de dados
- Modificação anômala do mecanismo defensivo
- Falha de entrada anômala
- Redefinição anômala de senha
- Privilégio anômalo concedido
- Login anômalo
Analise as Regras de Anomalia e o Limiar de Pontuação de Anomalia para cada uma delas. Se você estiver observando falsos positivos, por exemplo, considere duplicar a regra e modificar o limite seguindo as etapas descritas em Ajustar regras de anomalia.
Depois de revisar e modificar as regras do Fusion e do Anomaly, habilite a Regra de Análise de Inteligência de Ameaças da Microsoft pronta para uso. Verifique se esta regra corresponde aos seus dados de registo com informações sobre ameaças geradas pela Microsoft. A Microsoft tem um vasto repositório de dados de inteligência de ameaças, e esta Regra Analítica usa um subconjunto dele para gerar alertas e incidentes de alta fidelidade para as equipes SOC (centros de operações de segurança) triarem.
Com as Regras Analíticas de Fusão, Anomalia e Inteligência de Ameaças habilitadas, você deve conduzir uma faixa de pedestres MITRE Att&ck para ajudá-lo a decidir quais Regras Analíticas restantes habilitar e concluir a implementação de um processo XDR (deteção e resposta estendida) maduro. Isso permitirá que você detete e responda durante todo o ciclo de vida de um ataque.
O departamento de pesquisa MITRE Att&ck criou o método MITRE, e ele é fornecido como parte do Microsoft Sentinel para facilitar sua implementação. Você deve garantir que tenha regras analíticas que estendam o comprimento e a amplitude da abordagem de vetores de ataque. Comece por rever as técnicas MITRE que são abrangidas pelas suas Regras Analíticas 'Ativas' existentes e, em seguida, selecione 'Modelos de regras analíticas' e 'Regras de anomalia' no menu pendente Simulado . Agora, ele mostrará onde você tem a tática e/ou técnica adversária coberta e onde há Regras Analíticas disponíveis que você deve considerar habilitar para melhorar sua cobertura. Por exemplo, para detetar possíveis ataques de phishing, revise os modelos de regras analíticas para a técnica de phishing e priorize a habilitação das regras que consultam especificamente as fontes de dados que você integrou ao Sentinel.
Em geral, há cinco fases para um ataque de Ransomware operado por humanos, e o Phishing se enquadra no Acesso Inicial, como pode ser visto na captura de tela abaixo. Continue pelas etapas restantes para cobrir toda a cadeia de abate com as Regras Analíticas apropriadas:
- Acesso inicial
- Roubo de credenciais
- Movimento lateral
- Persistência
- Evasão à defesa
- Exfiltração (é aqui que o próprio ransomware é detetado)
Em resumo, ao ativar as regras analíticas para o Sentinel, priorize a habilitação por fontes de dados conectadas, o risco organizacional e a tática MITRE.
Formação recomendada
Conectar dados ao Microsoft Sentinel usando conectores de dados
| Formação | Conectar dados ao Microsoft Sentinel usando conectores de dados |
|---|---|
|
A principal abordagem para conectar dados de log é usar os conectores de dados fornecidos pelo Microsoft Sentinel. Este módulo fornece uma visão geral dos conectores de dados disponíveis. |
Conectar logs ao Microsoft Sentinel
| Formação | Conectar logs ao Microsoft Sentinel |
|---|---|
|
Conecte dados em escala de nuvem em todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em várias nuvens ao Microsoft Sentinel. |
Identifique ameaças com a Análise Comportamental
| Formação | Identifique ameaças com a Análise Comportamental |
|---|---|
|
A principal abordagem para conectar dados de log é usar os conectores de dados fornecidos pelo Microsoft Sentinel. Este módulo fornece uma visão geral dos conectores de dados disponíveis. |
Próximos passos
Continue para a Etapa 4 para responder a um incidente.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários