Guia de implantação do Microsoft Sentinel
Este artigo apresenta as atividades que ajudam você a planejar, implantar e ajustar sua implantação do Microsoft Sentinel.
Planejar e preparar uma visão geral
Esta seção apresenta as atividades e os pré-requisitos que ajudam você a planejar e se preparar antes de implantar o Microsoft Sentinel.
A fase de planejamento e preparação é normalmente realizada por um arquiteto do SOC ou funções relacionadas.
Etapa | Detalhes |
---|---|
1. Planejar e preparar a visão geral e os pré-requisitos | Analise os pré-requisitos do locatário do Azure. |
2. Planejar a arquitetura do espaço de trabalho | Crie seu workspace do Log Analytics habilitado para o Microsoft Sentinel. Considere parâmetros como: - Se você usará um único locatário ou vários locatários - Quaisquer requisitos de conformidade que você tenha para coleta e armazenamento de dados - Como controlar o acesso aos dados do Microsoft Sentinel Analisar estes artigos: 1. Criar uma arquitetura de workspace 3. Analisar os exemplos de projetos de espaços de trabalho 4. Preparar para vários espaços de trabalho |
3. Priorizar os conectores de dados | Determine de quais fontes de dados você precisa e os requisitos de tamanho de dados para ajudá-lo a projetar com precisão o orçamento e a linha do tempo da implantação. Você pode determinar essas informações ao analisar o caso de uso empresarial ou ao avaliar um SIEM atual que você já tem em uso. Se você já utiliza um SIEM, analise seus dados para entender quais fontes de dados oferecem mais valor e devem ser ingeridas no Azure Sentinel. |
4. Planejar funções e permissões | Use o controle de acesso baseado em função (RBAC) do Azure para criar e atribuir funções dentro da sua equipe de operações de segurança para conceder o acesso apropriado ao Microsoft Sentinel. As funções diferentes oferecem um controle otimizado sobre o que os usuários do Microsoft Sentinel podem acessar e fazer. As funções do Azure podem ser atribuídas diretamente no workspace ou em uma assinatura ou grupo de recursos ao qual ele pertence e que o Microsoft Sentinel herda. |
5. Custos do plano | Comece a planejar seu orçamento, considerando as implicações de custo para cada cenário planejado. Certifique-se de que seu orçamento inclua o custo da ingestão de dados do Microsoft Sentinel e do Azure Log Analytics, quaisquer guias estratégicos que serão implantados e assim por diante. |
Visão geral da implantação
Normalmente, a fase de implantação é executada por um analista do SOC ou por funções relacionadas.
Etapa | Detalhes |
---|---|
1. Habilitar o Microsoft Sentinel, a integridade e auditoria e o conteúdo | Habilite o Microsoft Sentinel, habilite o recurso de integridade e auditoria e habilite as soluções e o conteúdo que você identificou de acordo com as necessidades da sua organização. Para integrar ao Microsoft Sentinel usando a API, confira a versão mais recente com suporte do Estados de Integração do Sentinel. |
2. Configurar conteúdo | Configure os diferentes tipos de conteúdo de segurança do Microsoft Sentinel, que permitem detectar, monitorar e responder a ameaças de segurança em seus sistemas: conectores de dados, regras de análise, regras de automação, guias estratégicos, pastas de trabalho e watchlists. |
3. Configurar uma arquitetura entre workspaces | Se seu ambiente exigir vários espaços de trabalho, agora você poderá configurá-los como parte da implantação. Neste artigo, você aprenderá a configurar o Microsoft Sentinel para se estender entre vários espaços de trabalho e locatários. |
4. Habilitar UEBA (análise do comportamento de usuários e de entidades) | Habilite e use o recurso UEBA para simplificar o processo de análise. |
5. Configure a retenção de dados interativa e de longo prazo | Configure a retenção de dados interativa e de longo prazo para garantir que a sua organização mantenha os dados que são importantes a longo prazo. |
Ajuste e revisão: lista de verificação para pós-implantação
Examine a lista de verificação pós-implantação para ajudar você a garantir que o processo de implantação esteja funcionando conforme o esperado e que o conteúdo de segurança implantado esteja funcionando e protegendo sua organização de acordo com suas necessidades e casos de uso.
A fase de ajuste e revisão é normalmente executada por um engenheiro do SOC ou funções relacionadas.
Etapa | Ações |
---|---|
✅Examinar os incidentes e o processo de incidentes | - Verifique se os incidentes e o número de incidentes que você está vendo refletem o que realmente está acontecendo no ambiente. - Verifique se o processo de incidentes do SOC está funcionando para lidar com os incidentes de forma eficiente: você atribuiu diferentes tipos de incidentes a diferentes níveis/camadas do SOC? Saiba mais sobre como navegar e investigar incidentes e como trabalhar com tarefas de incidentes. |
✅Revisar e ajustar as regras de análise | - Com base em sua revisão de incidentes, verifique se as regras de análise são acionadas conforme o esperado e se as regras refletem os tipos de incidentes nos quais você está interessado. - Lidar com falsos positivos, seja usando automação ou modificando as regras de análise agendadas. - O Microsoft Sentinel oferece recursos de ajuste incorporados para ajudar a analisar as regras de análise. Examine esses insights incorporados e implemente as recomendações relevantes. |
✅Examinar regras de automação e guias estratégicos | - Semelhante às regras de análise, verifique se as regras de automação estão funcionando conforme o esperado e se refletem os incidentes com os quais você está preocupado e nos quais está interessado. - Verifique se os guias estratégicos estão respondendo a alertas e incidentes conforme o esperado. |
✅Adicionar dados a watchlists | Verifique se as watchlists estão atualizadas. Se tiver ocorrido alguma alteração no ambiente, como novos usuários ou casos de uso, atualize as watchlists adequadamente. |
✅Examinar os níveis de compromisso | Examinar os níveis de compromisso que você definiu inicialmente e verifique se esses níveis refletem a configuração atual. |
✅Controlar o controle dos custos de ingestão | Para controlar os custos de ingestão, use uma destas pastas de trabalho: - A pasta de trabalho de Relatório de Uso do Workspace fornece o consumo de dados, o custo e as estatísticas de uso do workspace. A pasta de trabalho fornece o status de ingestão de dados e a quantidade de dados gratuitos e faturáveis do workspace. Você pode usar a lógica da pasta de trabalho para monitorar os custos e a ingestão de dados, bem como para criar exibições personalizadas e alertas baseados em regras. - A pasta de trabalho Custo do Microsoft Sentinel fornece uma visão mais focada dos custos do Microsoft Sentinel, incluindo dados de ingestão e retenção, dados de ingestão para fontes de dados elegíveis, informações de faturamento dos Aplicativos Lógicos e muito mais. |
✅Ajustar as regras de coleta de dados (DCRs) | - Verifique se os DCRs refletem as necessidades de ingestão de dados e casos de uso. - Se necessário, implemente a transformação no momento da ingestão para filtrar dados irrelevantes antes mesmo de serem armazenados pela primeira vez no workspace. |
✅Verificar as regras de análise em relação à estrutura MITRE | Verifique a cobertura do MITRE na página MITRE do Microsoft Sentinel: veja as detecções já ativas no workspace e aquelas disponíveis para configuração e entenda a cobertura de segurança da organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®. |
✅Buscar atividades suspeitas | Verifique se o SOC tem um processo em vigor para busca proativa de ameaças. A busca proativa de ameaças é um processo em que os analistas de segurança buscam ameaças não detectadas e comportamentos mal-intencionados. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam em que agir. As ações podem incluir a criação de novas detecções, a nova inteligência contra ameaças ou a criação de um novo incidente. |
Artigos relacionados
Neste artigo, você examinou as atividades em cada uma das fases que ajudam a implantar o Microsoft Sentinel.
Dependendo da fase em que você está, escolha as próximas etapas apropriadas:
- Planejar e preparar – Pré-requisitos para implantar o Azure Sentinel
- Implantar – Habilitar o Microsoft Sentinel e os recursos e conteúdo iniciais
- Ajustar e revisar – Navegar e investigar incidentes no Microsoft Sentinel
Quando terminar a implantação do Microsoft Sentinel, continue a explorar os recursos do Microsoft Sentinel examinando os tutoriais que abrangem tarefas comuns:
- Encaminhar dados do Syslog para um workspace do Log Analytics com o Microsoft Sentinel usando o Agente do Azure Monitor
- Configurar a política de retenção de dados
- Detectar ameaças usando regras de análise
- Verificar e registrar automaticamente informações sobre a reputação do endereço IP em incidentes
- Responder a ameaças usando automação
- Extrair entidades de incidentes com ação não nativa
- Investigar com o UEBA
- Criar e monitorar Confiança Zero
Confira o guia operacional do Microsoft Sentinel para ver as atividades regulares do SOC que recomendamos realizar diária, semanal e mensalmente.