Introdução

  • 3 minutos

O conteúdo do Microsoft Azure Sentinel é o conteúdo de SIEM (Gerenciamento de eventos e informações de segurança) que permite aos clientes ingerir dados, monitorar, alertar, buscar, investigar, responder e conectar-se a diferentes produtos, plataformas e serviços no Microsoft Azure Sentinel.

O conteúdo no Microsoft Azure Sentinel inclui qualquer um dos seguintes tipos:

  • Conectores de dados fornecem ingestão de log de diferentes fontes no Microsoft Azure Sentinel
  • Analisadores fornecem a formatação/ transformação do log em formatos ASIM, dando suporte ao uso em vários tipos de conteúdo e cenários do Microsoft Azure Sentinel
  • Pastas de Trabalho fornecem monitoramento, visualização e interatividade com dados no Microsoft Azure Sentinel, realçando insights significativos para os usuários
  • As regras de análise fornecem alertas que apontam para ações relevantes do SOC por meio de incidentes
  • Consultas de busca são usadas pelas equipes de SOC (centro de operações de segurança) para buscar proativamente ameaças no Microsoft Azure Sentinel
  • Notebooks ajudam as equipes de SOC a usar recursos avançados de busca nos Notebooks do Jupyter e do Azure
  • Watchlists dão suporte à ingestão de dados específicos para detecção aprimorada de ameaças e redução de fadiga do alerta
  • Os conectores personalizados de playbooks e Aplicativos Lógicos do Azure fornecem recursos de investigação automatizada, correção e cenários de resposta no Microsoft Sentinel

Para manter o conteúdo no Microsoft Sentinel, use:

  • Hub de conteúdos: as soluções do Microsoft Sentinel são pacotes de conteúdo ou integrações de API do Microsoft Sentinel que atendem a um cenário vertical de produto, domínio ou setor de ponta a ponta no Microsoft Sentinel.
  • Repositórios: os repositórios ajudam a automatizar a implantação e o gerenciamento do conteúdo do Microsoft Sentinel por meio de repositórios centrais.
  • Comunidade: integre conteúdos da comunidade sob demanda para promover seus cenários. O repositório do GitHub em https://github.com/Azure/Azure-Sentinel contém conteúdos da Microsoft e da comunidade testados e disponíveis para implementação em seu workspace do Sentinel.

Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. É necessário instalar conectores e regras de análise de um fornecedor. Você também criou uma biblioteca de consultas de busca que precisam ser mantidas em diversos ambientes.

Ao final deste módulo, você poderá gerenciar conteúdo no Microsoft Sentinel.

Depois de concluir este módulo, você poderá:

  • Instalar uma solução de hub de conteúdo no Microsoft Sentinel
  • Conecte um repositório do GitHub ao Microsoft Sentinel