Considerar as opções de implementação
Para implantar o ambiente de prova de conceito, a primeira etapa é entender os recursos e as considerações de implantação do Microsoft Sentinel.
Usar o Microsoft Sentinel para recuperar dados e monitorar incidentes
O Microsoft Sentinel deteta incidentes de dados de fontes conectadas e, em seguida, alerta você quando uma ação é necessária. Você pode usar visões gerais, painéis e consultas personalizadas do Microsoft Sentinel para obter informações sobre dados brutos e eventos potencialmente mal-intencionados.
Implante conectores do Microsoft Sentinel em serviços para recuperar dados de diferentes fontes de dados que o gerenciamento da organização deseja monitorar. Depois que o Microsoft Sentinel recupera os dados de log dos serviços, ele executa a correlação entre fontes de dados. Pode gerir esses dados através da área de trabalho do Log Analytics do Azure Monitor.
O Microsoft Sentinel usa aprendizado de máquina e IA para executar:
- Investigação de ameaças
- Deteção de alertas
- Respostas rápidas a um incidente
Microsoft Sentinel integrado
Para integrar o Microsoft Sentinel, você precisa habilitá-lo e, em seguida, conectar suas fontes de dados.
O Microsoft Sentinel vem com soluções e conteúdo autônomo que inclui conectores de dados prontos para uso para Microsoft e produtos. Existem conectores para:
- Microsoft Defender for Cloud
- Origens do Microsoft 365, incluindo o Office 365
- Microsoft Entra ID
- Microsoft Defender for Cloud Apps
- Soluções de parceiros
- Amazon Web Services
Além disso, existem conectores prontos para uso no ecossistema de segurança mais amplo para soluções que não sejam da Microsoft. Você também pode usar o Common Event Format (CEF), Syslog ou uma API REST para conectar suas fontes de dados ao Microsoft Sentinel. A seguinte imagem mostra esta capacidade de conectividade.
Principais fatores para a implantação do Microsoft Sentinel
O engenheiro de sistemas líder da organização realizou pesquisas e determinou estes pontos-chave:
- O Microsoft Sentinel precisa de acesso a um espaço de trabalho do Log Analytics. O processo é criar um espaço de trabalho do Log Analytics e habilitar o Microsoft Sentinel sobre esse espaço de trabalho.
- O Microsoft Sentinel é um serviço pago.
- A retenção de dados de uma área de trabalho personalizada baseia-se no escalão de preço da área de trabalho. Se o espaço de trabalho do Log Analytics for usado com o Microsoft Sentinel, os primeiros 90 dias de retenção serão gratuitos.
- Para ativar o Microsoft Sentinel, precisa de permissões de Contribuidor para a subscrição na qual a área de trabalho do Microsoft Sentinel reside.
- Para instalar e gerenciar soluções prontas para uso e conteúdo autônomo, como conectores de dados, regras de análise e muito mais, você precisa das permissões de Colaborador de Especificação de Modelo para o grupo de recursos ao qual o espaço de trabalho pertence.
- Para usar o Microsoft Sentinel, você precisa de permissões de Colaborador ou Leitor para o grupo de recursos ao qual o espaço de trabalho pertence.
O Microsoft Sentinel é executado em espaços de trabalho na maioria das regiões onde o Log Analytics está geralmente disponível. As regiões onde o Log Analytics está recentemente disponível podem levar algum tempo para integrar o serviço Microsoft Sentinel. Determinados dados gerados pelo Microsoft Sentinel podem conter dados de clientes provenientes desses espaços de trabalho. Por exemplo, incidentes, marcadores e regras de alerta. Estes dados são guardados na Europa (para áreas de trabalho europeias), na Austrália (para áreas de trabalho australianas) e nos E.U.A Leste (para as áreas de trabalho de qualquer outra região).
Como implantar o Microsoft Sentinel
Siga estas etapas para habilitar o Microsoft Sentinel:
Inicie sessão no portal do Azure.
Selecione a assinatura na qual o Microsoft Sentinel será criado. Esta conta deve ter:
Permissões de colaborador para a assinatura onde o espaço de trabalho do Microsoft Sentinel será criado.
Permissões de Colaborador ou Leitor no grupo de recursos ao qual o espaço de trabalho do Microsoft Sentinel pertencerá.
Procure e selecione Microsoft Sentinel e, em seguida, selecione Adicionar. A mensagem No Microsoft Sentinel workspace to display pane (Sem espaço de trabalho do Microsoft Sentinel para exibir painel) é exibida.
Selecione Criar Microsoft Sentinel. A página Adicionar o Microsoft Sentinel a um espaço de trabalho é exibida.
Selecione Criar uma nova área de trabalho. O painel de espaço de trabalho Criar Análise de Log é exibido.
Na guia Noções básicas, use as listas suspensas para selecionar os seguintes valores:
Definição valor Detalhes do Projeto Subscrição A subscrição que tem o Sentinel como serviço pago Grupo de recursos O grupo de recursos que tem permissões de Colaborador ou Leitor Detalhes da instância Nome Um nome exclusivo que você deseja usar para o espaço de trabalho do Log Analytics País/Região Na lista suspensa, selecione a localização geográfica que se aplica à assinatura do serviço Sentinel Selecione Seguinte : Nível de preços
Selecione o nível de preço.
Selecione Rever + Criar, aguarde até que o Azure valide as definições para a sua área de trabalho do Log Analytics e, em seguida, selecione Criar.
Pode levar algum tempo para que seu espaço de trabalho seja criado. Quando o espaço de trabalho for implantado em seu grupo de recursos, você receberá uma notificação e o nome do espaço de trabalho aparecerá na lista Espaço de trabalho. Selecione o ícone Notificação no canto superior direito da barra de ferramentas do Azure e, em seguida, selecione Fixar no painel.
No painel Fixar no painel, selecione Criar novo, forneça um nome para o painel e selecione Adicionar na parte inferior do painel. O painel do Microsoft Sentinel para seu espaço de trabalho é exibido.
No menu à esquerda, selecione Visão geral.
Monitorizar feeds de dados
O engenheiro de sistemas líder da organização descobriu que, depois de conectar fontes de segurança, você pode monitorar feeds de dados.
Vejamos a estrutura básica deste espaço de trabalho do Sentinel. O Sentinel é um mecanismo de gerenciamento de eventos e informações de segurança (SIEM) em tempo real nativo da nuvem com gráficos, gráficos e ferramentas de automação predefinidas. O layout fornece uma linha superior com uma contagem resumida de eventos, alertas e incidentes monitorados e uma seleção suspensa para alterar dinamicamente o intervalo de relatórios. Abaixo estão três painéis com gráficos predefinidos para eventos e incidentes. O menu à esquerda, descrito na tabela abaixo, tem uma rica variedade de ferramentas internas para personalizar e configurar conexões de dados.
| Menu Item | Description |
|---|---|
| General (Geral) | |
| Descrição geral | A exibição gráfica composta de eventos e incidentes que você configurou. |
| Registos | Consultas predefinidas que você pode executar para todos os aspetos do seu espaço de trabalho do Azure, de aplicativos a máquinas virtuais e redes virtuais. |
| Notícias e guias | Novidades, guia de introdução e informações de avaliação gratuita. |
| Pesquisar | Pesquise eventos em todos os seus registos. Filtre eventos que correspondam aos seus critérios. |
| Gestão de ameaças | |
| Incidentes | Acesso prático para ver todos ou um grupo selecionado de alertas e incidentes que você configurou. |
| Livros | Monitore dados usando pastas de trabalho do Microsoft Sentinel. |
| Investigação | Utilize as ferramentas avançadas de investigação de pesquisa e consulta baseadas na arquitetura MITRE ATT&CK. Estas ferramentas permitem investigar proativamente ameaças de segurança em todas as origens de dados da organização. |
| Notebooks | Selecione entre dezenas de tutoriais e modelos fornecidos pela comunidade em todas as categorias do SIEM e crie sua própria biblioteca. |
| Comportamento da entidade | Ver eventos com base na conta, anfitrião ou endereço IP |
| Informações sobre ameaças | Utilize as ferramentas de investigação profunda para compreender o âmbito e encontrar a causa raiz de potenciais ameaças de segurança. |
| MITRE ATT&CK | Visualize a natureza e a cobertura do status de segurança da sua organização com base na base de conhecimento acessível ao público de táticas e técnicas que são comumente usadas por invasores. |
| Gestão de conteúdos | |
| Hub de conteúdo | Instale e gerencie soluções prontas para uso e conteúdo autônomo. |
| Repositórios | Implante e gerencie conteúdo personalizado para o Microsoft Sentinel como código. |
| Comunidade | Obtenha notícias da comunidade e links para o blog e fóruns do Microsoft Sentinel. |
| Configuração | |
| Conectores de dados | Configure conexões com suas fontes de segurança usando uma ampla variedade de dispositivos e plataformas. Por exemplo, selecione Atividade do Azure para exibir em tempo real o log de Atividades do Azure. |
| Análise | O Microsoft Sentinel usa análises para correlacionar alertas com incidentes. As análises ajudam a reduzir a confusão e a minimizar o número de alertas a rever e investigar. |
| Lista de observação | Crie listas de observação personalizadas para filtrar ou suprimir alertas para fornecer relatórios de incidentes focados no Sentinel. |
| Automatização | Automatize tarefas comuns e simplifique a orquestração de segurança com manuais de procedimentos que interagem com serviços do Azure. Podem trabalhar com ferramentas existentes. |
| Definições | Encontre detalhes de preços, configurações de recursos e configurações de espaço de trabalho. |
A captura de tela a seguir mostra o painel Microsoft Sentinel - Visão geral . O Microsoft Sentinel pode exibir gráficos em tempo real para ajudá-lo a entender eventos, alertas e incidentes para operações de segurança.
