Entender os incidentes

Concluído

As ameaças relacionadas à tecnologia a uma organização são chamadas de incidentes. Gerenciamento de incidentes é o processo completo de investigação de incidentes, desde a criação e a investigação detalhada do incidente até a resolução. O Microsoft Sentinel ajuda a equipe de TI a organizar, investigar e acompanhar incidentes da criação à resolução.

Você pode usar o Microsoft Sentinel para examinar informações detalhadas do incidente, atribuir um proprietário do incidente, definir e manter a severidade do incidente e gerenciar o status do incidente. O Microsoft Sentinel fornece um ambiente completo de gerenciamento de incidentes no qual você pode executar essas etapas.

Principais conceitos

É importante entender os seguintes conceitos principais de gerenciamento de incidentes do Microsoft Sentinel:

• Conectores de dados. Você pode usar conectores de dados no Microsoft Sentinel para ingerir e coletar dados de serviços relacionados à segurança. Os coletores de dados podem coletar eventos de computadores Linux ou Windows que executam o agente do Log Analytics, de um servidor syslog do Linux (para dispositivos como firewalls ou proxies) ou diretamente de serviços do Microsoft Azure. Esses eventos são encaminhados a um workspace do Log Analytics associado ao Microsoft Sentinel.
• Eventos. O Microsoft Sentinel armazena eventos em um workspace do Log Analytics. Eles contêm os detalhes das atividades relacionadas à segurança que você deseja monitorar com o Microsoft Sentinel.
• Regras de análise. As regras de análise detectam eventos de segurança importantes e geram alertas. É possível criar regras de análise usando modelos internos ou consultas KQL (Linguagem de Consulta Kusto) personalizadas em workspaces do Log Analytics no Microsoft Sentinel.
• Alertas. As regras analíticas geram alertas quando detectam eventos de segurança importantes. Também é possível configurar alertas para gerar incidentes.
• Incidentes. O Microsoft Sentinel cria incidentes com base nos alertas das regras analíticas. Os incidentes podem conter vários alertas relacionados. Você usa cada incidente como um ponto de partida e um mecanismo de acompanhamento para investigar as preocupações de segurança em seu ambiente.

Página Visão geral do Microsoft Sentinel

O gerenciamento de incidentes do Microsoft Sentinel começa na página Visão geral, que permite examinar o ambiente atual do Microsoft Sentinel. A página Visão geral mostra uma lista dos incidentes mais recentes e outras informações importantes sobre o Microsoft Sentinel. Use essa página para entender a situação geral de segurança antes de investigar incidentes.

Verificar seu conhecimento

1.

Qual componente do Microsoft Sentinel gera alertas?

Incidentes.

Regras de análise.

Conectores de dados.

Eventos.

2.

Qual é a principal meta do gerenciamento de incidentes do Microsoft Sentinel?

Entender o estado de integridade da segurança do Azure.

Para acompanhar e gerenciar todos os problemas do Azure.

Acompanhar e resolver problemas de segurança no ambiente da organização.

Gerenciar funções de segurança no ambiente.

É necessário responder a todas as perguntas antes de verificar o trabalho.

Continuar