Práticas recomendadas para o Microsoft Azure Sentinel
Orientações sobre práticas recomendadas são fornecidas em toda a documentação técnica do Microsoft Sentinel. Esse artigo destaca algumas orientações importantes a serem usadas ao implantar, gerenciar e usar o Microsoft Sentinel.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Configurando o Microsoft Sentinel
Comece com o guia de implantação do Microsoft Sentinel. O guia de implantação abrange as etapas de alto nível para planejar, implantar e ajustar sua implantação do Microsoft Sentinel. Nesse guia, selecione os links fornecidos para encontrar orientações detalhadas para cada estágio da sua implantação.
Integrações de serviços de segurança da Microsoft
O Microsoft Azure Sentinel é capacitado pelos componentes que enviam dados para o espaço de trabalho e torna-se mais forte por meio de integrações com outros serviços da Microsoft. Quaisquer logs ingeridos em produtos, como Microsoft Defender para Nuvem Apps, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Identidade, permitem que esses serviços criem detecções e, por sua vez, forneçam essas detecções ao Microsoft Sentinel. Os logs também podem ser ingeridos diretamente no Microsoft Azure Sentinel para fornecer uma visão mais completa de eventos e incidentes.
Por exemplo, a imagem a seguir mostra como o Microsoft Sentinel ingere dados de outros serviços Microsoft e plataformas multicloud e de parceiros para fornecer cobertura para seu ambiente:
Mais do que ingerir alertas e logs de outras fontes, o Microsoft Azure Sentinel também:
- Usa as informações que ele ingere com o aprendizado de máquina que permitem melhor correlação de eventos, agregação de alertas, detecção de anomalias e muito mais.
- Cria e apresenta visuais interativos por meio de pastas de trabalho , mostrando tendências, informações relacionadas e dados importantes usados para as tarefas de administrador e investigações.
- Executa guias estratégicos para agir em alertas, reunindo informações, realizando ações em itens e enviando notificações para diversas plataformas.
- Integra-se com plataformas de parceiros, como ServiceNow e JIRA, para fornecer serviços essenciais para as equipes SOC.
- Ingere e busca feeds de enriquecimento de plataformas de inteligência contra ameaças para trazer dados valiosos para investigação.
Para obter mais informações sobre a integração de dados de outros serviços ou provedores, veja Conectores de dados do Microsoft Sentinel.
Considere integrar o Microsoft Sentinel ao portal do Microsoft Defender para unificar recursos com o Microsoft Defender XDR, como gerenciamento de incidentes e busca avançada. Para obter mais informações, consulte os seguintes artigos:
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
Gerenciamento e resposta a incidentes
A imagem a seguir mostra as etapas recomendadas em um processo de gerenciamento e resposta de incidentes.
A tabela a seguir fornece descrições de alto nível sobre como usar os recursos do Microsoft Sentinel para gerenciamento e resposta a incidentes. Para obter mais informações, confira Investigar incidentes com o Microsoft Sentinel.
Funcionalidade | Melhor prática |
---|---|
Incidentes | Todos os incidentes gerados são exibidos na página Incidentes, que serve como o local central para a triagem e a investigação antecipada. A página Incidentes lista o título, a gravidade e os alertas relacionados, registros e quaisquer entidades de interesse. Os incidentes também proporcionam um atalho para os registros coletados e em todas as ferramentas relacionadas ao incidente. |
Grafo de investigação | A página Incidentes funciona em conjunto com o Grafo de investigação, uma ferramenta interativa que permite aos usuários explorar e detalhar um alerta para mostrar o escopo completo de um ataque. Os usuários podem então construir uma linha do tempo de eventos e descobrir a extensão de uma cadeia de ameaças. Descubra entidades-chave, como contas, URLs, endereço IP, nomes de host, atividades, linha do tempo e muito mais. Use esses dados para reconhecer se você tem um falso positivo nas mãos e, nesse caso, você pode fechar o incidente diretamente. Se você descobrir que o incidente é um verdadeiro positivo, execute a ação diretamente da página Incidentes para investigar logs, entidades e explorar a cadeia de ameaças. Depois de identificar a ameaça e criar um plano de ação, use outras ferramentas do Microsoft Sentinel e outros serviços de segurança da Microsoft para continuar investigando. |
Visualização de informações | Para visualizar e obter análises do que está acontecendo em seu ambiente, primeiro dê uma olhada no painel de visão geral do Microsoft Sentinel para ter uma ideia da postura de segurança de sua organização. Para obter mais informações, veja Visualizar dados coletados. Além das informações e tendências na página de visão geral do Microsoft Sentinel, as pastas de trabalho são ferramentas investigativas valiosas. Por exemplo, use a pasta de trabalho Insights de Investigação para investigar incidentes específicos junto com quaisquer entidades e alertas associados. Essa pasta de trabalho permite que você se aprofunde mais em entidades mostrando registros, ações e alertas relacionados. |
Busca de ameaças | Ao investigar e pesquisar as causas raiz, execute consultas de busca de ameaças internas e verifique os resultados de qualquer indicador de comprometimento. Para obter mais informações, veja Caça a ameaças no Microsoft Sentinel. Durante uma investigação ou após tomar medidas para remediar e erradicar a ameaça, use transmissão ao vivo. O Livestream permite monitorar, em tempo real, se há algum evento malicioso persistente ou se os eventos maliciosos ainda continuam. |
Comportamento de entidades | O comportamento da entidade no Microsoft Sentinel permite que os usuários revisem e investiguem ações e alertas para entidades específicas, como investigar contas e nomes de host. Para saber mais, veja: - Habilitar a Análise do Comportamento de Usuários e de Entidades (UEBA) no Microsoft Azure Sentinel - Investigar incidentes com dados do UEBA - Referência de enriquecimentos do Microsoft Azure Sentinel UEBA |
Watchlists | Use uma inspeção que combina dados ingeridos e fontes externas, como dados de enriquecimento. Por exemplo, crie listas de intervalos de endereços IP usados por sua organização ou por funcionários demitidos recentemente. Use watchlists com guias estratégicos para reunir dados de enriquecimento, como adicionar endereços IP mal-intencionados a watchlists para uso durante a detecção, busca de ameaças e investigações. Durante um incidente, use listas de observação para conter dados de investigação e, em seguida, exclua-as quando a investigação for concluída para garantir que os dados confidenciais não permaneçam à vista. Para obter mais informações, confira Criar watchlists no Microsoft Sentinel. |