Ativar a auditoria e o monitoramento de integridade para o Microsoft Sentinel (versão prévia)

• Aplica-se a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Monitore a integridade e faça auditoria da integridade dos recursos compatíveis do Microsoft Sentinel ativando o recurso de auditoria e monitoramento de integridade na página Configurações do Microsoft Sentinel. Obtenha insights sobre descompassos de integridade, como os eventos de falha mais recentes ou alterações de estado de êxito para falha, e sobre ações não autorizadas. Use essas informações para criar notificações e outras ações automatizadas.

Para obter dados de integridade da tabela de dados SentinelHealth ou as informações de auditoria da tabela de dados SentinelAudit, primeiro você precisa ativar o recurso de auditoria e monitoramento de integridade do Microsoft Sentinel para seu workspace. Este artigo explica como ativar esses recursos.

Para implementar o recurso de integridade e auditoria usando a API (Bicep/AZURE RESOURCE MANAGER (ARM)/REST), consulte Operações de Configurações de Diagnóstico. Para configurar o tempo de retenção para seus eventos de auditoria e integridade, confira Gerenciar retenção de dados em um workspace do Log Analytics.

Importante

As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

• Antes de começar, saiba mais sobre monitoramento e auditoria de integridade no Microsoft Sentinel. Para obter mais informações, confira Auditoria e monitoramento de integridade no Microsoft Sentinel.

Ativar auditoria e monitoramento de integridade para o seu workspace

Para começar, habilite a auditoria e o monitoramento de integridade nas configurações do Microsoft Sentinel.

1. Para o Microsoft Sentinel no Portal do Azure, em Configuração, selecione Configurações>Configurações.
   Para o Microsoft Sentinel no Portal do Defender, em Sistema, selecione Configurações>Microsoft Sentinel.

2. Selecione Auditoria e monitoramento de integridade.

3. Selecione Habilitar para habilitar a auditoria e o monitoramento de integridade em todos os tipos de recursos e enviar os dados de auditoria e monitoramento para o workspace do Microsoft Sentinel (e nenhum outro lugar).

   Ou, selecione o link Definir configurações de diagnóstico para habilitar o monitoramento de integridade apenas para o coletor de dados e/ou recursos de automação, ou para configurar opções avançadas, como mais locais para enviar os dados.

   Portal do Azure

   

   Portal do Defender

   

   Se você selecionou Habilitar, o botão ficará esmaecido e mudará para exibir Habilitando... e depois Habilitado. Nesse ponto, a auditoria e o monitoramento de integridade estão habilitados e você terminou. As configurações de diagnóstico apropriadas foram adicionadas nos bastidores, e você pode exibi-las e editá-las selecionando o link Definir configurações de diagnóstico.

4. Se você selecionou Definir configurações de diagnóstico, na tela Configurações de diagnóstico, selecione + Adicionar configuração de diagnóstico.

   Se você estiver editando uma configuração existente, selecione-a na lista de configurações de diagnóstico.

   • No campo Nome da configuração de diagnóstico, insira um nome significativo para sua configuração.

   • Na coluna Logs, selecione as Categorias apropriadas para os tipos de recursos que você deseja monitorar, por exemplo Coleta de Dados – Conectores. Selecione allLogs se desejar monitorar as regras de análise.

   • Nos Detalhes de destino, selecione Enviar para o workspace do Log Analytics e selecione a Assinatura e o Workspace do Log Analytics nos menus suspensos.

     

     Se necessário, você pode selecionar outros destinos para os quais enviar seus dados, além do Workspace do Log Analytics.

5. Selecione Salvar na faixa superior para salvar sua nova configuração.

As tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.

Verificar se as tabelas estão recebendo dados

Execute consultas em Linguagem de Consulta Kusto (KQL) no Portal do Azure ou no Portal do Defender para garantir que você esteja recebendo dados de integridade e auditoria.

1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneLogs .
   Para o Microsoft Sentinel no Portal do Defender, em Investigação e resposta, selecione Busca>Busca avançada.

2. Execute uma consulta na tabela SentinelHealth. Por exemplo:

   _SentinelHealth()
    | take 20
   

3. Execute uma consulta na tabela SentinelAudit. Por exemplo:

   _SentinelAudit()
    | take 20
   

Tabelas de dados e tipos de recursos com suporte

Quando o recurso é ativado, as tabelas de dados SentinelHealth e SentinelAudit são criadas no primeiro evento gerado para os recursos selecionados.

Atualmente, o monitoramento de integridade do Microsoft Sentinel dá suporte aos seguintes tipos de recursos:

• Regras de análise
• Conectores de dados
• Regras de automação
• Guias estratégicos (fluxos de trabalho dos Aplicativos Lógicos do Azure)

Observação

Ao monitorar a integridade do guia estratégico, certifique-se de coletar eventos de diagnóstico dos Aplicativos Lógicos do Azure a partir de seus guias estratégicos para obter uma visão completa da atividade do seu guia estratégico. Para obter mais informações, consulte Monitorar a integridade das suas regras de automação e guias estratégicos.

Atualmente, há suporte apenas para o tipo de recurso de regra de análise para auditoria.

Próximas etapas

• Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de seus conectores de dados.
• Monitorar a integridade de suas regras de análise.