Gerenciar a segurança empresarial usando o Microsoft Sentinel
Sua organização financeira lida constantemente com clientes e parceiros em diferentes regiões do mundo. Muitas transações ocorrem todos os dias e cada transação deve ser monitorada e protegida, independentemente do seu tipo, do dispositivo e dos usuários envolvidos. A estratégia de segurança e monitoramento da sua organização deve se concentrar na segurança e no monitoramento em toda a empresa.
Esta unidade descreve como o Microsoft Sentinel ajuda a monitorar e responder a ameaças de segurança em uma organização no nível empresarial. Você pode usar o Microsoft Sentinel para:
- Obtenha uma visão geral detalhada da sua empresa, potencialmente em várias nuvens e localizações locais.
- Evitar a dependência de ferramentas complexas e distintas.
- Usar a IA de nível empresarial, criada por especialistas, para identificar e lidar com ameaças em sua organização.
Conectar suas fontes de dados ao Microsoft Sentinel
Para implementar o Microsoft Sentinel, você precisa de um workspace do Log Analytics. Ao criar um recurso do Microsoft Sentinel no portal do Azure, você pode criar um novo workspace do Log Analytics ou se conectar um workspace existente.
Depois de criar o recurso do Microsoft Sentinel e conectá-lo a um workspace, você precisará conectar fontes de dados para sua empresa. Instale soluções com conectores de dados a partir do hub de conteúdo. O Microsoft Sentinel integra-se às soluções da Microsoft, incluindo o Microsoft Entra ID e o Microsoft 365, por meio de conectores.
Você pode ver todos os conectores de dados disponíveis selecionando Conectores de dados em Configuração na navegação à esquerda do Microsoft Sentinel.
Selecione o conector de dados adequado para sua fonte de dados, leia as informações sobre o conector e selecione Abrir página do conector para analisar os pré-requisitos para o conector. Certifique-se de cumprir todos os pré-requisitos para conectar com sucesso sua fonte de dados.
Quando você conectar a fonte de dados, seus logs são sincronizados com o Microsoft Sentinel. Você verá um resumo dos dados coletados no grafo Dados recebidos do seu conector. Você também pode ver os diferentes tipos de dados que foram coletados para a fonte. Por exemplo, o conector da Conta de Armazenamento do Azure pode coletar dados de log de Blob, Fila, Arquivo ou Tabela.
Quando você conectar suas fontes de dados, o Microsoft Sentinel começará a monitorar sua empresa.
Usar alertas para monitorar sua empresa
Você pode configurar regras de alerta para investigar anomalias e ameaças de forma mais inteligente. As regras de alertas permitem especificam as ameaças e as atividades que devem gerar alertas. Você pode responder manualmente ou usando os guias estratégicos para respostas automatizadas.
Selecione Análise na navegação à esquerda do Microsoft Sentinel em Configuração para exibir todas as regras em vigor e criar novas regras.
Ao criar uma regra, você especifica se ela deve ser habilitada ou desabilitada e a gravidade do alerta. No campo Consulta de regra da guia Definir lógica de regra, insira uma consulta de regra.
Por exemplo, a consulta a seguir pode determinar se um número suspeito de VMs do Azure é criado ou atualizado, ou se ocorre um número suspeito de implantações de recursos.
AzureActivity
| where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Na seção Agendamento da consulta, você pode definir com que frequência a consulta deve ser executada e qual período de dados deve ser pesquisado. Na seção Limite de alerta, você pode especificar o nível no qual gerar um alerta.
Investigar incidentes
O Microsoft Sentinel combina os alertas gerados em incidentes para uma investigação mais aprofundada. Selecione Incidentes na navegação esquerda do Microsoft Sentinel em Gerenciamento de ameaças para ver detalhes sobre todos os incidentes, como quantos incidentes estão fechados, quantos permanecem abertos, quando os incidentes aconteceram e sua gravidade.
Para começar a investigar um incidente, selecione-o. Você receberá informações sobre o incidente no painel direito. Selecione Exibir detalhes completos para obter mais informações.
Para investigar o incidente, atualize seu status de Novo para Ativo, atribua-o a um proprietário e selecione Investigar.
O mapa de investigação ajuda a entender melhor o que causou um incidente e o escopo afetado. Você também pode usar o mapa para correlacionar dados em torno de um incidente.
O mapa de investigação permite fazer uma busca detalhada em um incidente. Várias entidades, incluindo usuários, dispositivos e soluções, podem ser mapeadas para um incidente. Você pode, por exemplo, obter detalhes sobre um usuário identificado como parte do incidente.
Se você passar o mouse sobre uma entidade, também verá uma lista de consultas de exploração, projetadas por analistas e especialistas de segurança da Microsoft. Você pode usar as consultas de exploração para investigar com mais eficiência.
O mapa de investigação também fornece uma linha do tempo que ajuda a entender qual evento ocorreu em um determinado momento. Use o recurso de linha do tempo para entender o caminho que aquela ameaça pode ter seguido ao longo do tempo.