Informações sobre ameaças para servidores habilitados para Azure Arc com o Microsoft Sentinel

  • 7 minutos

Os analistas SOC (Security Operations Center) da Tailwind Traders estão lutando para avaliar seu ambiente com suas várias soluções SIEM e SOAR. Nesta unidade, você aprenderá como os servidores habilitados para Azure Arc juntamente com o Microsoft Sentinel, uma solução SIEM e SOAR que acompanha o ambiente híbrido e multicloud.

Visão geral do Microsoft Sentinel

O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel fornece informações sobre ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, caça proativa e resposta a ameaças.

O Microsoft Sentinel é a sua visão panorâmica em toda a empresa, aliviando o stress de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos prazos de resolução.

  • Colete dados em escala de nuvem em todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em várias nuvens.
  • Detete ameaças não detetadas anteriormente e minimize falsos positivos usando a análise da Microsoft e inteligência de ameaças incomparável.
  • Investigue ameaças com inteligência artificial e procure atividades suspeitas em escala, aproveitando anos de trabalho de segurança cibernética na Microsoft.
  • Responda rapidamente a incidentes com orquestração e automatização de tarefas comuns incorporadas.

Conectar dados

Para integrar o Microsoft Sentinel, primeiro você precisa se conectar às suas fontes de segurança.

O Microsoft Sentinel vem com vários conectores para soluções Microsoft, disponíveis prontos para uso e fornecendo integração em tempo real. Os conectores prontos para uso do Microsoft Sentinel incluem fontes do Microsoft 365, Microsoft Entra ID, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps. Além disso, há conectores internos para o ecossistema de segurança mais amplo para soluções que não sejam da Microsoft.

Os conectores de dados relevantes para servidores habilitados para Azure Arc podem incluir Eventos de Segurança via Agente Herdado, Eventos de Segurança do Windows via AMA ou Syslog.

Pastas de trabalho e análises

Depois de conectar suas fontes de dados ao Microsoft Sentinel, você pode monitorar os dados usando a integração do Microsoft Sentinel com as Pastas de Trabalho do Azure Monitor, que fornece versatilidade na criação de pastas de trabalho personalizadas. O Microsoft Sentinel também vem com modelos de pasta de trabalho internos para permitir que você obtenha informações rapidamente sobre seus dados assim que se conectar a uma fonte de dados.

Para ajudá-lo a minimizar o número de alertas que você deve investigar, o Microsoft Sentinel usa análises para correlacionar alertas em incidentes. Incidentes são grupos de alertas relacionados que, juntos, criam uma possível ameaça acionável que você pode investigar e resolver. Use as regras de correlação internas no estado em que se encontram ou use-as como ponto de partida para criar as suas. O Microsoft Sentinel também fornece regras de aprendizado de máquina para mapear seu comportamento de rede e, em seguida, procurar anomalias em seus recursos.

Orquestração e automatização da segurança

Você pode automatizar suas tarefas comuns e simplificar a orquestração de segurança com playbooks que se integram aos serviços do Azure e às suas ferramentas existentes.

Usando os Aplicativos Lógicos do Azure, a solução de automação e orquestração do Microsoft Sentinel é extensível, escalável e modernizada. Para criar playbooks com os Aplicativos Lógicos do Azure, você pode escolher entre uma galeria crescente de playbooks internos. Estes incluem 200+ conectores para serviços como funções do Azure. Os conectores permitem que você aplique qualquer lógica personalizada no código, ServiceNow, Jira, Zendesk, solicitações HTTP, Microsoft Teams, Slack, Windows Defender ATP e Defender for Cloud Apps.

Caça e cadernos

Use as poderosas ferramentas de busca e consulta do Microsoft Sentinel, baseadas na estrutura MITRE, para procurar proativamente ameaças à segurança nas fontes de dados da sua organização antes que um alerta seja acionado. Depois de descobrir qual consulta de caça fornece informações de alto valor sobre ataques, você também pode criar regras de deteção personalizadas com base em sua consulta e exibir essas informações como alertas para seus respondentes de incidentes de segurança. Durante a caça, você pode criar marcadores para eventos interessantes, o que permite que você retorne a eles mais tarde, compartilhe-os com outras pessoas e agrupe-os com outros eventos correlacionados para criar um incidente atraente para investigação.

O Microsoft Sentinel dá suporte a blocos de anotações Jupyter em espaços de trabalho do Azure Machine Learning, incluindo bibliotecas completas para aprendizado de máquina, visualização e análise de dados. Você pode usar blocos de anotações no Microsoft Sentinel para estender o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo, você pode executar análises que não estão incorporadas ao Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python; criar visualizações de dados que não estão incorporadas no Microsoft Sentinel, como cronogramas personalizados e árvores de processo; ou integre fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.