Exercício – Detectar ameaças com a análise do Microsoft Sentinel

  • 20 minutos

O exercício de detecção de ameaças com a Análise do Microsoft Sentinel neste módulo é uma unidade opcional. Contudo, se você quiser fazer esse exercício, acesse uma assinatura do Azure em que você possa criar recursos do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Para implantar os pré-requisitos do exercício, execute as tarefas a seguir.

Observação

Se você optar por executar o exercício deste módulo, lembre-se de que isso pode gerar custos em sua Assinatura do Azure. Para estimar o custo, confira Preços do Microsoft Sentinel.

Tarefa 1: implantar o Microsoft Sentinel usando o modelo do ARM

  1. Selecione o seguinte link:

    Implantar no Azure.

    Você precisará entrar no Azure. O painel Implantação personalizada será exibido.

  2. Na guia Básico, insira os valores a seguir para cada configuração.

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione Criar e forneça um nome para o grupo de recursos, como azure-sentinel-rg.
    Detalhes da instância
    Região Na lista suspensa, selecione a localização em que deseja implantar o Microsoft Sentinel.
    Nome do espaço de trabalho Forneça um nome exclusivo para o workspace do Microsoft Sentinel, como <yourName>-sentinel, em que <yourName> representa o nome do workspace escolhido na tarefa anterior.
    Location Aceite o valor padrão de [resourceGroup().location].
    Nome da Simplevm Aceite os valores padrão de simple-vm.
    Versão do SO Windows da Simplevm Aceite os valores padrão de 2016-Datacenter.

  3. Selecione Examinar + criar. Quando a validação for aprovada na validação, selecione Criar.

    Captura de tela da página de Implantação Personalizada.

    Observação

    Aguarde até que a implantação seja concluída. A implantação deve levar menos de cinco minutos.

Tarefa 2: verificar os recursos criados

  1. No portal do Azure, pesquise Grupos de recursos.

  2. Selecione azure-sentinel-rg.

  3. Classifique a lista de recursos por Tipo.

    O grupo de recursos deve conter os recursos listados na tabela a seguir.

    Nome Tipo Descrição
    <yourName>-sentinel Espaço de trabalho do Log Analytics Workspace do Log Analytics usado pelo Microsoft Sentinel, em que <yourName> representa o nome do workspace escolhido na tarefa anterior.
    simple-vmNetworkInterface Adaptador de rede Adaptador de rede para a VM.
    SecurityInsights(<yourName>-sentinel) Solução Insights de segurança para o Microsoft Sentinel.
    simple-vm Máquina virtual VM (máquina virtual) usada na demonstração.
    st1<xxxxx> Conta de armazenamento Conta de armazenamento usada pela VM, em que <xxxxx> representa uma cadeia de caracteres aleatória gerada para criar um nome de conta de armazenamento exclusivo.
    vnet1 Rede virtual Rede virtual para a VM.

Observação

Os recursos implantados e as etapas de configuração concluídas neste exercício serão necessários no próximo exercício. Se você quiser concluir o próximo exercício, não exclua os recursos deste exercício.

Tarefa 3: Configurar conectores de dados do Microsoft Sentinel

Nesta tarefa, você implanta um conector de dados do Microsoft Sentinel para a Atividade do Azure.

  1. No portal do Azure, selecione Página Inicial e depois procure e selecione a opção Microsoft Sentinel.

  2. Na lista de nomes de workspace do Microsoft Sentinel, selecione aquele que foi criado na Tarefa 2. O painel Visão geral do workspace do Azure Sentinel é exibido.

  3. No painel de menu, em Gerenciamento de conteúdo, selecione Hub de conteúdo. O painel Hub de conteúdo é exibido.

  4. Na caixa Pesquisar, procure e selecione a Solução de Atividade do Azure. No painel de detalhes da solução Atividade do Azure, selecione Instalar.

  5. Aguarde a conclusão da instalação e selecione Gerenciar.

  6. Na caixa Pesquisar, procure e selecione a Solução de conector de dados de Atividade do Azure.

  7. No painel Atividade do Azure, clique em Abrir página do conector.

  8. Na guia Instruções, área Configuração, role a página para baixo até "2. Conecte suas assinaturas..." selecione Iniciar Assistente de Atribuição do Azure Policy>.

  9. Na guia Básico, selecione o botão de reticências (...) em Escopo e selecione sua "assinatura do Azure" na lista suspensa e selecione Selecionar.

  10. Selecione a guia Parâmetros, escolha o workspace yourName-sentinel na lista suspensa Workspace principal do Log Analytics.

  11. Selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção. Essa ação aplica a configuração de assinatura para enviar as informações para o workspace do Log Analytics.

    Observação

    Para aplicar a política aos recursos existentes, você precisa criar uma tarefa de correção.

  12. Selecione o botão Examinar + criar para examinar a configuração.

  13. Selecione Criar para concluir.

  14. Quando a implantação estiver concluída, você verá o status Conectado (barra verde) do conector de Atividade do Azure no painel Conectores de Configuração/Dados.

Captura de tela do conector do Microsoft Sentinel.

Observação

O conector de Atividades do Azure pode levar 15 minutos para aparecer como Conectado no Microsoft Sentinel. Você pode continuar com o restante das etapas e com outras unidades deste módulo.