Descrever os recursos de detecção e mitigação de ameaças no Microsoft Sentinel
O gerenciamento eficaz do parâmetro de segurança de rede de uma organização requer a combinação certa de ferramentas e sistemas. O Microsoft Sentinel é uma solução de SIEM/SOAR escalonável e nativa de nuvem que disponibiliza análise de segurança inteligente e inteligência contra ameaças para toda a empresa. Ele fornece uma solução centralizada para detecção de ameaças cibernéticas, investigação, resposta e busca proativa, com uma visão panorâmica de toda a sua empresa.
Este diagrama mostra a funcionalidade de ponta a ponta do Microsoft Sentinel.
- Colete dados na escala de nuvem de todos os usuários, dispositivos, aplicativos e infraestrutura, tanto local como em várias nuvens.
- Detecte ameaças não descobertas antes e minimize falsos positivos usando os inigualáveis recursos de análise e inteligência contra ameaças.
- Investigue ameaças com IA (inteligência artificial) e busque por atividades suspeitas em escala, acessando décadas de trabalho sobre segurança cibernética na Microsoft.
- Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.
O Microsoft Sentinel ajuda a habilitar operações de segurança de ponta a ponta, em um SOC (Centro de Operações de Segurança) moderno.
Colete dados em escala
Colete dados de todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em diversas nuvens. Veja a seguir as principais funcionalidades no Microsoft Sentinel para coleta de dados.
Conectores de dados prontos para uso – muitos conectores são empacotados com soluções SIEM para o Microsoft Sentinel e fornecem integração em tempo real. Esses conectores incluem fontes da Microsoft e do Azure, como Microsoft Entra ID, Azure Activity, Azure Storage e muito mais.
Conectores prontos para uso também estão disponíveis para ecossistemas mais amplos de segurança e aplicativos para soluções que não são da Microsoft. Também é possível usar o formato de evento comum, o Syslog ou a API REST para conectar suas fontes de dados ao Microsoft Sentinel.
Conectores personalizados – o Microsoft Sentinel dá suporte à ingestão de dados de algumas fontes sem um conector dedicado. Se você não conseguir conectar sua fonte de dados ao Microsoft Sentinel usando uma solução existente, poderá criar seu conector de fonte de dados.
Normalização de dados – o Microsoft Sentinel ingere dados de várias fontes. Trabalhar com e correlacionar entre diferentes tipos de dados durante uma investigação e busca pode ser desafiador. O Microsoft Sentinel dá suporte ao ASIM (Modelo avançado de informações de segurança), que fica entre essas diversas fontes e o usuário, para facilitar exibições uniformes e normalizadas.
Detectar ameaças
Detecte ameaças que ainda não foram descobertas e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft. Veja a seguir os principais recursos no Microsoft Sentinel para detecção de ameaças.
Análise – o Microsoft Sentinel usa uma análise para correlacionar alertas a incidentes. Use as regras analíticas prontas para uso como estão ou como ponto de partida para criar suas próprias regras. O Microsoft Sentinel também fornece regras para mapear o comportamento da sua rede e, em seguida, procurar anomalias nos seus recursos.
Cobertura do MITRE ATT&CK – O Microsoft Sentinel analisa dados ingeridos, não apenas para detectar ameaças e ajudar você a investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização com base nas táticas e técnicas da estrutura MITRE ATT&CK®, um banco de dados global de táticas e técnicas de adversário.
Inteligência contra ameaças – você pode integrar várias fontes de inteligência contra ameaças ao Microsoft Sentinel para detectar atividades mal-intencionadas em seu ambiente e fornecer contexto aos investigadores de segurança para decisões de resposta informadas.
Watchlists – você pode correlacionar dados de uma fonte de dados que você fornece, uma watchlist, com os eventos em seu ambiente do Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente. Use watchlists em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
Pastas de trabalho – você pode criar relatórios visuais interativos usando pastas de trabalho. Depois de conectar as fontes de dados ao Microsoft Sentinel, você poderá monitorar os dados usando a integração do Microsoft Sentinel às Pastas de Trabalho do Azure Monitor. O Microsoft Sentinel é fornecido com modelos de pasta de trabalho internos que permitem que você obtenha insights rapidamente dos seus dados. Você também pode criar suas funções personalizadas.
Investigar ameaças
Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft. Veja a seguir as principais funcionalidades no Microsoft Sentinel para investigação de ameaças.
Incidentes – incidentes são seus arquivos de caso que contêm uma agregação de todas as evidências relevantes para investigações específicas. Cada incidente é criado (ou adicionado) com base em evidências (alertas) que foram geradas por regras de análise ou importadas de produtos de segurança de terceiros que produzem seus próprios alertas. A página de detalhes do incidente fornece informações e ferramentas de investigação para ajudar você a entender o escopo e encontrar a causa raiz de uma possível ameaça à segurança.
Buscas – use as ferramentas de pesquisa e consulta para buscas eficientes do Microsoft Sentinel, baseadas na estrutura MITRE, que permitem buscar proativamente as ameaças à segurança nas fontes de dados da sua organização, antes do disparo de um alerta. Depois de descobrir qual consulta de busca fornece insights de alto valor sobre possíveis ataques, crie também regras de detecção personalizadas baseadas na sua consulta e revele esses insights como alertas de incidentes de segurança para seus respondentes.
Notebooks – O Microsoft Sentinel dá suporte a notebooks Jupyter nos workspaces do Azure Machine Learning. Jupyter notebooks são um aplicativo Web de código aberto que permite aos usuários criar e compartilhar documentos que contêm código em tempo real, equações, visualizações e texto descritivo.
Use notebooks no Microsoft Sentinel para estender o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo:
- Execute análises que não são internas ao Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python.
- Crie visualizações de dados que não são internas ao Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processos.
- Integração de fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.
Responder a incidentes rapidamente
Com o Microsoft Sentinel, você pode automatizar as tarefas comuns e simplifique a orquestração de segurança com guias estratégicos que se integram aos serviços do Azure e às ferramentas existentes para responder a incidentes mais rapidamente.
Veja a seguir os principais recursos no Microsoft Sentinel para resposta a ameaças.
Regras de automação – gerencie centralmente a automação do tratamento de incidentes no Microsoft Sentinel definindo e coordenando um pequeno conjunto de regras que abrangem diferentes cenários.
Guias estratégicos – automatize e orquestre sua resposta a ameaças usando guias estratégicos, que são uma coleção de ações de correção. Execute um guia estratégico sob demanda ou automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra de automação.
Os guias estratégicos no Microsoft Sentinel são baseados em fluxos de trabalho internos nos Aplicativos Lógicos do Azure. Por exemplo, se você usar o sistema de emissão de tíquetes do ServiceNow, use os Aplicativos Lógicos do Azure a fim de automatizar os fluxos de trabalho e abra um tíquete no ServiceNow cada vez que um alerta ou incidente específico for gerado.
Habilitar conteúdo de segurança pronto para uso
O conteúdo do Microsoft Sentinel refere-se aos componentes da solução SIEM (Gerenciamento de Eventos e Informações de Segurança) que permitem que os clientes ingiram dados, monitorem, alertem, procurem, investiguem, respondam e se conectem com diferentes produtos, plataformas e serviços. O conteúdo no Microsoft Sentinel pode incluir tipos de conteúdo, como: conectores de dados, pastas de trabalho, regras de análise, consultas de busca, notebooks, watchlists e guias estratégicos.
O Microsoft Sentinel oferece esses tipos de conteúdo como soluções e itens autônomos. As soluções são pacotes de conteúdo do Microsoft Sentinel ou integrações de API do Microsoft Sentinel, que cumprem um cenário vertical de indústria, domínio ou produto de ponta a ponta no Microsoft Sentinel. As soluções e os itens autônomos são detectáveis e gerenciados no hub de conteúdo.
O hub de conteúdo do Microsoft Sentinel é o seu local centralizado para descobrir e gerenciar soluções empacotadas prontas para uso (integradas). As soluções do Microsoft Sentinel são pacotes de conteúdo do Microsoft Sentinel ou integrações de API do Microsoft Sentinel que fornecem implantação e habilitação em etapa única. Soluções de hub de conteúdo, que atendem a um cenário vertical de produto, domínio ou setor de ponta a ponta no Microsoft Sentinel. Um exemplo de um domínio específico, interno, é o Gerenciamento de Risco interno do Microsoft Purview, que inclui um conector de dados, uma pasta de trabalho, regras de análise, consultas de busca e guia estratégico.
Microsoft Sentinel no portal do Microsoft Defender
O Microsoft Sentinel é um serviço de segurança habilitado por meio do portal do Azure. Depois que o serviço Microsoft Sentinel estiver habilitado, você poderá acessá-lo por meio do portal do Azure ou de dentro da plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender.
A plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender reúne todos os recursos do Microsoft Sentinel, Microsoft Defender XDR e Microsoft Copilot no Microsoft Defender.
Ao integrar o Microsoft Sentinel ao portal do Defender, você unifica recursos com o Microsoft Defender XDR, como gerenciamento de incidentes e busca avançada. Reduza a alternância de ferramentas e crie uma investigação mais focada em contexto que agilize a resposta a incidentes e pare as violações mais rapidamente.
Informações detalhadas sobre a experiência do Microsoft Sentinel no portal do Microsoft Defender e como integrar estão disponíveis na seção de resumo e recursos deste módulo.