Acompanhar a migração do seu Microsoft Sentinel com uma pasta de trabalho

• Aplica-se a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

À medida que o centro de operações de segurança (SOC) da sua organização lida com quantidades crescentes de dados, é essencial planejar e monitorar o status da sua implantação. Embora você possa acompanhar seu processo de migração usando ferramentas genéricas, como Microsoft Project, Microsoft Excel, Microsoft Teams ou Azure DevOps, essas ferramentas não são específicas para rastreamento de migração de informações de segurança e gerenciamento de eventos (SIEM). Para ajudá-lo a rastrear, fornecemos uma pasta de trabalho dedicada no Microsoft Sentinel chamada Implantação e Migração do Microsoft Sentinel..

A pasta de trabalho ajuda você a:

• Visualizar o progresso da migração
• Implantar e acompanhar fontes de dados
• Implantar e monitorar as regras de análise e incidentes
• Implantar e utilizar as Pastas de Trabalho
• Implantar e executar automação
• Implantar e personalizar a análise comportamental de usuário e entidade (U E B A)

Este artigo descreve como acompanhar sua migração com a pasta de trabalho de Implantação e Migração do Microsoft Sentinel, como personalizar e gerenciar a pasta de trabalho e como usar as guias da pasta de trabalho para implantar e monitorar conectores de dados, análise, incidentes, guias estratégicos, regras de automação, U E B A e gerenciamento de dados. Saiba mais sobre como usar as pastas de trabalho do Azure Monitor no Microsoft Sentinel.

Implantar o conteúdo da pasta de trabalho e exibir a pasta de trabalho

Para obter a pasta de trabalho, primeiro instale o item autônomo do Hub de conteúdo no Microsoft Sentinel.

1. No Hub de Conteúdo do Microsoft Sentinel, filtre o conteúdo listado por Tipo de conteúdo = Pastas de Trabalho e, em seguida, insira migração na barra de pesquisa.

2. Nos resultados da pesquisa, selecione a pasta de trabalho Implantação e migração do Microsoft Sentinel e selecione Instalar. O Microsoft Sentinel implanta e salva a pasta de trabalho em seu ambiente.

3. No Microsoft Sentinel, em Gerenciamento de ameaças, selecione Pastas de trabalho>Modelos.

4. Selecione a pasta de trabalho Implantação e Migração do Microsoft Sentinel e Exibir modelo.

Implantar a watchlist

A próxima etapa é implantar a lista de observação relacionada do repositório Microsoft Sentinel GitHub.

1. No repositório de GitHub do Microsoft Sentinel, selecione a pasta DeploymentandMigration e selecione Implantar no Azure para iniciar a implantação do modelo no Azure.
2. Forneça o grupo de recursos e o nome do espaço de trabalho do Microsoft Sentinel.
3. Selecione Examinar e criar.
4. Depois que as informações forem validadas, selecione Criar.

Atualizar a watchlist com ações de implantação e migração

Essa etapa é fundamental para o processo de instalação de acompanhamento. Se você pular essa etapa, a pasta de trabalho não refletirá os itens para rastreamento.

Para atualizar a watchlist com ações de implantação e migração:

1. No portal Azure ou Microsoft Defender, selecione Microsoft Sentinel e, em seguida, selecione Watchlist.
2. Selecione a lista de observação com o alias Implantação.
3. Em seguida, selecione Atualizar lista de observação > editar itens da lista de observação.
4. Forneça as informações para as ações necessárias para a implantação e migração.
5. Selecione Salvar.

Agora você pode exibir a watchlist na pasta de trabalho do rastreador de migração. Saiba como gerenciar as watchlists.

Além disso, sua equipe pode atualizar ou concluir tarefas durante o processo de implantação. Para resolver essas mudanças, atualize as ações existentes ou adicione novas ações à medida que identifica novos casos de uso ou define novos requisitos. Para atualizar ou adicionar ações, edite a lista de observação Implantação que você implantou. Para simplificar o processo, na pasta de trabalho, selecione Editar lista de observação de implantação para abrir a lista de observação diretamente da pasta de trabalho.

Exibir status da implantação

Para exibir rapidamente o progresso da implantação, na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione Implantação e role para baixo para localizar o Resumo do progresso. Essa área exibe o status da implantação, incluindo as seguintes informações:

• Tabelas relatando dados
• Número de tabelas relatando dados
• Número de logs relatados e quais tabelas relatam os dados de log
• Número de regras habilitadas versus regras não implantadas
• Pastas de trabalho recomendadas implantadas
• Número total de pastas de trabalho implantadas
• Número total de guias estratégico implantadas

Implantar e monitorar conectores de dados

Para monitorar os recursos implantados e implantar novos conectores, na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione Monitoramento de >Conectores de Dados. A exibição da lista de Monitoramento:

• Tendências de ingestão atuais
• Tabelas ingerindo dados
• Quantos dados cada tabela está relatando
• Relatórios de pontos de extremidade com o AMA (agente do Azure Monitor)
• Regras de coleta de dados no grupo de recursos e nos dispositivos vinculados às regras
• Integridade do conector de dados (alterações e falhas)
• Logs de integridade dentro do intervalo de tempo especificado

Para configurar um conector de dados:

1. Selecione o modo de exibição Configurar.
2. Selecione o botão com o nome do conector que você deseja configurar.
3. Configure o conector na tela de status do conector que é aberta. Se você não conseguir encontrar um conector necessário, selecione o nome do conector para abrir a galeria de conectores ou a galeria de soluções.

Implantar e monitorar as análises e incidentes

Quando os dados forem relatados no espaço de trabalho, configure e monitore regras analíticas. Na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione a guia Análises para visualizar todos os modelos e listas de regras implantadas. Essa exibição indica quais regras estão em uso no momento e com que frequência as regras geram incidentes.

Se você precisar de mais cobertura, selecione Examinar a cobertura do MITRE abaixo da tabela à esquerda. Use essa opção para definir quais áreas recebem mais cobertura e quais regras são implantadas, em qualquer estágio do projeto de migração.

Quando você implantar as regras de análise e o conector do produto Defender estiver configurado para enviar os alertas, monitore a criação e a frequência de incidentes em Implantação> Resumo do progresso. Essa área exibe métricas relacionadas à geração de alertas por produto, título e classificação, para indicar a integridade do SOC e quais alertas exigem mais atenção. Se os alertas estiverem gerando muito volume, retorne à guia Análise para modificar a lógica.

Implantar e utilizar as Pastas de Trabalho

Para visualizar as informações sobre a ingestão de dados e as detecções executadas pelo Microsoft Sentinel, na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione Pastas de Trabalho. Semelhante à guia Conectores de Dados, use as visualizações Monitor e Configure para visualizar informações de monitoramento e configuração.

Aqui estão algumas tarefas úteis para realizar na guia Pastas de trabalho:

• Para exibir uma lista de todas as pastas de trabalho no ambiente e quantas pastas de trabalho são implantadas, selecione Monitorar.

• Para exibir uma pasta de trabalho específica na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione uma pasta de trabalho e, em seguida, selecione Abrir Pasta de Trabalho Selecionada.

  

• Se você ainda não implantou as pastas de trabalho, selecione Configurar para exibir uma lista de pastas de trabalho comumente usadas e recomendadas. Se uma pasta de trabalho não estiver listada, selecione Ir para a Galeria de Pastas de Trabalho ou Ir para o Hub de Conteúdo para implantar a pasta de trabalho relevante.

  

Implantar e monitorar guias estratégicos e regras de automação

Ao configurar a ingestão de dados, detecções e visualizações, agora você pode analisar a automação. Na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione Automação para exibir os guias estratégicos implantados e ver quais guias estratégicos estão atualmente conectados a uma regra de automação. Se houver regras de automação, a pasta de trabalho realça as seguintes informações sobre cada regra:

• Nome
• Status
• Ação ou ações da regra
• A última data em que a regra foi modificada e o usuário que modificou a regra
• A data em que a regra foi criada

Para exibir, implantar e testar a automação na seção atual da pasta de trabalho, selecione Implantar recursos de automação no canto inferior esquerdo.

Saiba mais sobre os recursos de SOAR do Microsoft Sentinel para guias estratégicos e para regras de automação.

Implantar e monitorar o U E B A

Como o relatório de dados e as detecções ocorrem no nível da entidade, é essencial monitorar o comportamento e as tendências da entidade. Para habilitar o recurso de U E B A no Microsoft Sentinel, na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione UEBA. Aqui você pode personalizar as linhas do tempo da entidade para páginas de entidade e exibir quais tabelas relacionadas à entidade são preenchidas com dados.

Para habilitar o U E B A:

1. Selecione Habilitar o UEBA acima da lista de tabelas.
2. Para habilitar o U E B A, selecione Ativado.
3. Selecione as fontes de dados que você deseja usar para gerar insights.
4. Escolha Aplicar.

Depois de habilitar o U E B A, monitore e certifique-se de que o Microsoft Sentinel esteja gerando dados do U E B A.

Para personalizar a linha do tempo:

1. Selecione Personalizar Linha do Tempo da Entidade acima da lista de tabelas.
2. Crie um item personalizado ou selecione um dos modelos prontos para uso.
3. Para implantar o modelo e concluir o assistente, selecione Criar.

Saiba mais sobre o U E B A ou saiba como personalizar a linha do tempo.

Configurar e gerenciar o ciclo de vida de dados

Ao implantar ou migrar para o Microsoft Sentinel, é essencial gerenciar o uso e o ciclo de vida dos logs de entrada. Na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione Gerenciamento de Dados para visualizar e configurar a retenção e o arquivamento de tabelas.

Veja informações sobre:

• Tabelas configuradas para ingestão básica de log
• Tabelas configuradas para ingestão de camada de análise
• Tabelas configuradas para serem arquivadas
• Para na retenção de espaço de trabalho padrão

Para modificar a política de retenção existente para tabelas:

1. Selecione a exibição Tabelas de Retenção Padrão.
2. Selecione a tabela que você deseja modificar e selecione Atualizar Retenção. Edite as seguintes informações conforme necessário:
   • Retenção atual no espaço de trabalho
   • Retenção atual na camada de arquivos
   • Número total de dias que os dados permanecem no ambiente
3. Edite o valor TotalRetention para definir um novo número total de dias que os dados devem existir no ambiente.

O valor ArchiveRetention é calculado subtraindo o valor TotalRetention do valor InteractiveRetention. Se você precisar ajustar a retenção do espaço de trabalho, a alteração não afetará as tabelas que incluem arquivos configurados e os dados não serão perdidos. Se você editar o valor InteractiveRetention e o valor TotalRetention não for alterado, o Azure Log Analytics ajustará a retenção de arquivos para compensar a alteração.

Se preferir fazer alterações na UI, selecione Atualizar retenção na UI para abrir a página relevante.

Saiba mais sobre o gerenciamento do ciclo de vida dos dados.

Habilitar dicas e instruções de migração

Para ajudar no processo de implantação e migração, a pasta de trabalho inclui dicas que explicam como usar as diferentes guias e links para recursos relevantes. As dicas são baseadas na documentação de migração do Microsoft Sentinel e são relevantes para o SIEM atual. Para habilitar dicas e instruções, na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, no canto superior direito, defina Dicas de Migração e Instrução como Sim.

Próximas etapas

Neste artigo, você aprendeu a acompanhar sua migração com a pasta de trabalho de Implantação e Migração do Microsoft Sentinel.

• Migrar regras de detecção do ArcSight
• Migrar regras de detecção do Splunk
• Migrar regras de detecção do QRadar