Anterior

Seguinte

Compreender os incidentes

Concluído

As ameaças relacionadas à tecnologia para uma organização são chamadas de incidentes. A gestão de incidentes é o processo completo de investigação de incidentes, desde a criação de incidentes até uma investigação e resolução aprofundadas. O Microsoft Sentinel pode ajudar sua equipe de TI a organizar, investigar e rastrear incidentes desde a criação até a resolução.

Você pode usar o Microsoft Sentinel para revisar informações detalhadas sobre incidentes, atribuir um proprietário de incidente, definir e manter a gravidade do incidente e gerenciar o status do incidente. O Microsoft Sentinel fornece um ambiente completo de gerenciamento de incidentes para lidar com essas etapas.

Conceitos-chave

É importante entender os seguintes conceitos-chave de gerenciamento de incidentes do Microsoft Sentinel:

• Conectores de dados. Você pode usar conectores de dados do Microsoft Sentinel para ingerir e coletar dados de serviços relacionados à segurança. Os conectores de dados podem coletar eventos de computadores Linux ou Windows que executam o agente do Log Analytics, de um servidor syslog Linux para dispositivos como firewalls ou proxies ou diretamente dos serviços do Microsoft Azure. Esses eventos são encaminhados para um espaço de trabalho do Log Analytics associado ao Microsoft Sentinel.
• Eventos. O Microsoft Sentinel armazena eventos em um espaço de trabalho do Log Analytics. Esses eventos contêm os detalhes da atividade relacionada à segurança que você deseja que o Microsoft Sentinel monitore.
• Regras de análise. As regras do Google Analytics detetam eventos de segurança importantes e geram alertas. Você pode criar regras de análise usando modelos internos ou consultas personalizadas do Kusto Query Language (KQL) em espaços de trabalho do Log Analytics no Microsoft Sentinel.
• Alertas. As regras de análise geram alertas quando detetam eventos de segurança importantes. Você pode configurar alertas para gerar incidentes.
• Incidentes. O Microsoft Sentinel cria incidentes a partir de alertas de regras de análise. Os incidentes podem conter múltiplos alertas relacionados. Pode utilizar cada incidente como um ponto de partida e mecanismo de controlo para investigar as preocupações com a segurança no seu ambiente.

Página de visão geral do Microsoft Sentinel

O gerenciamento de incidentes no Microsoft Sentinel começa na página Visão geral , onde você pode revisar o ambiente atual do Microsoft Sentinel. A página Visão geral mostra uma lista dos incidentes mais recentes, juntamente com outras informações importantes do Microsoft Sentinel. Você pode usar esta página para entender a situação geral de segurança antes de investigar incidentes.

Verifique o seu conhecimento

1.

Qual componente do Microsoft Sentinel gera alertas?

Incidentes.

Regras de análise.

Conectores de dados.

Eventos.

2.

Qual é o principal objetivo do gerenciamento de incidentes no Microsoft Sentinel?

Para entender o estado da integridade da segurança no Azure.

Para controlar e gerenciar todos os problemas do Azure.

Para controlar e resolver problemas de segurança no ambiente da sua organização.

Para gerenciar funções de segurança em seu ambiente.

Tem de responder a todas as questões antes de verificar o seu trabalho.

Continuar