Inteligência contra Ameaças para servidores habilitados para Azure Arc com o Microsoft Sentinel
Os analistas do SOC (centro de operações de segurança) da Tailwind Traders estão com dificuldade para avaliar o ambiente com as diversas soluções SIEM e SOAR. Nesta unidade, você vai aprender sobre os servidores habilitados para Azure Arc junto ao Microsoft Sentinel, uma solução SIEM e SOAR que acompanha o ambiente híbrido e multinuvem.
Visão geral do Microsoft Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel fornece inteligência contra ameaças em toda a empresa, com uma solução única para detecção de ataques, busca proativa e resposta a ameaças.
O Microsoft Sentinel é sua visão geral da empresa, amenizando o estresse de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos períodos para resolução.
- Colete dados na escala de nuvem de todos os usuários, dispositivos, aplicativos e infraestrutura, local e em múltiplas nuvens.
- Detecte ameaças que ainda não foram descobertas e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft.
- Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft.
- Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.
Conectar os dados
Para a integração do Microsoft Sentinel, você precisa se conectar às suas fontes de segurança.
O Microsoft Sentinel vem com vários conectores para soluções da Microsoft, prontos para uso e com integração em tempo real. Os conectores prontos para uso do Microsoft Sentinel incluem fontes do Microsoft 365, Microsoft Entra ID, Microsoft Defender for Identity e Microsoft Defender for Cloud Apps. Além disso, existem conectores internos no ecossistema de segurança mais amplo para soluções que não são da Microsoft.
Os conectores de dados relevantes para servidores habilitados para Azure Arc podem incluir eventos de segurança por meio do Agente Herdado, Eventos de Segurança do Windows via AMA ou Syslog.
Pastas de Trabalho e Analytics
Depois de conectar suas fontes de dados ao Microsoft Sentinel, você poderá monitorar os dados usando a integração do Microsoft Sentinel às Pastas de Trabalho do Azure Monitor, que oferece versatilidade na criação de pastas de trabalho personalizadas. O Microsoft Sentinel também vem com modelos de pasta de trabalho internos para que você possa obter insights rapidamente de seus dados assim que se conectar a uma fonte de dados.
Para ajudar a minimizar o número de alertas a serem investigados, o Microsoft Sentinel usa a análise para correlacionar alertas em incidentes. Incidentes são grupos de alertas relacionados que, juntos, criam uma possível ameaça acionável que você pode investigar e resolver. Use as regras de correlação internas no estado em que se encontram ou use-as como ponto de partida para criar suas próprias. O Microsoft Sentinel também fornece regras de machine learning para mapear o comportamento da rede e, em seguida, buscar anomalias em todos os seus recursos.
Automação e orquestração de segurança
Automatize as tarefas comuns e simplifique a orquestração de segurança com guias estratégicos que se integram aos serviços do Azure e às ferramentas existentes.
Usando Aplicativos Lógicos do Azure, a automação e a solução de orquestração do Microsoft Sentinel é extensível, escalonável e modernizada. Para criar guias estratégicos com os Aplicativos Lógicos do Azure, você pode escolher em uma galeria crescente de guias estratégicos internos. Eles incluem mais de 200 conectores para serviços como o Azure Functions. Os conectores permitem que você aplique qualquer lógica personalizada em código, ServiceNow, Jira, Zendesk, solicitações HTTP, Microsoft Teams, Slack, Windows Defender ATP e Defender for Cloud Apps.
Busca e notebooks
Use as poderosas ferramentas de pesquisa e consulta de buscas do no Microsoft Sentinel, baseadas na estrutura MITRE, para buscar proativamente ameaças à segurança nas fontes de dados de sua organização, antes do disparo de um alerta. Depois de descobrir qual consulta de busca fornece insights de alto valor sobre ataques, você também pode criar regras de detecção personalizadas com base em sua consulta e capturar esses insights como alertas para seus respondentes a incidente de segurança. É possível criar indicadores para eventos interessantes durante a busca. Assim, poderá retornar a eles posteriormente, compartilhá-los com outras pessoas e agrupá-los com outros eventos correlacionados para criar um incidente convincente para investigação.
O Microsoft Sentinel dá suporte a notebooks Jupyter em workspaces do Azure Machine Learning, incluindo bibliotecas completas para machine learning, visualização e análise de dados. Use notebooks no Microsoft Sentinel para estender o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo, execute análises que não são criadas no Microsoft Sentinel, como alguns recursos de machine learning do Python, crie visualizações de dados que não são incorporadas à Microsoft Sentinel, como cronogramas e árvores de processo personalizados, ou integre fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.