Respostas automatizadas do Microsoft Sentinel

O Microsoft Sentinel é uma solução escalável baseada em nuvem para gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Ele oferece análise de segurança inteligente para organizações de todos os tamanhos e fornece os seguintes recursos e muito mais:

• Deteção de ataques empresariais
• Caça proativa
• Resposta automatizada a incidentes

A resposta a ameaças no Microsoft Sentinel é gerida através de playbooks. Quando acionado por um alerta ou incidente, um manual executa uma série de ações automatizadas para combater a ameaça. Você cria esses playbooks usando os Aplicativos Lógicos do Azure.

O Microsoft Sentinel fornece centenas de playbooks prontos para uso, incluindo playbooks para os seguintes cenários:

• Bloquear um utilizador do Microsoft Entra
• Bloquear um usuário do Microsoft Entra com base na rejeição por e-mail
• Publicar uma mensagem num canal do Microsoft Teams sobre um incidente ou alerta
• Como publicar uma mensagem no Slack
• Enviar um e-mail com detalhes do incidente ou alerta
• Enviar um e-mail com um relatório de incidente formatado
• Determinar se um utilizador do Microsoft Entra está em risco
• Enviar um cartão adaptável através do Microsoft Teams para determinar se um utilizador está comprometido
• Isolando um ponto de extremidade por meio do Microsoft Defender for Endpoint

Este artigo inclui um exemplo de implementação de um manual que responde a uma ameaça bloqueando um usuário do Microsoft Entra comprometido por atividades suspeitas.

Caso de uso potencial

As técnicas descritas neste artigo aplicam-se sempre que você precisa implementar uma resposta automática a uma condição detetável.

Arquitetura

Baixe um arquivo Visio desta arquitetura.

Fluxo de Trabalho

Este fluxo de trabalho mostra as etapas para implantar o playbook. Certifique-se de que os pré-requisitos estão satisfeitos antes de começar. Por exemplo, você precisa escolher um usuário do Microsoft Entra.

1. Siga as etapas em Enviar logs para o Azure Monitor para configurar a ID do Microsoft Entra para enviar logs de auditoria para o espaço de trabalho do Log Analytics usado com o Microsoft Sentinel.

   Nota

   Essa solução não usa os logs de auditoria, mas você pode usá-los para investigar o que acontece quando o usuário é bloqueado.

2. O Microsoft Entra ID Protection gera os alertas que acionam a execução do manual de resposta a ameaças. Para que o Microsoft Sentinel colete os alertas, navegue até sua instância do Microsoft Sentinel e selecione Conectores de dados. Procure por Microsoft Entra ID Protection e habilite a coleta de alertas. Para obter mais informações sobre a Proteção de Identidade, consulte O que é a Proteção de Identidade?.

3. Instale o navegador ToR em um computador ou máquina virtual (VM) que você possa usar sem colocar sua segurança de TI em risco.

4. Utilize o Navegador Tor para iniciar sessão anonimamente em As minhas aplicações como o utilizador que selecionou para esta solução. Consulte Endereço IP anônimo para obter instruções sobre como usar o Navegador Tor para simular endereços IP anônimos.

5. O Microsoft Entra autentica o usuário.

6. O Microsoft Entra ID Protection deteta que o usuário usou um navegador ToR para entrar anonimamente. Este tipo de início de sessão é uma atividade suspeita que coloca o utilizador em risco. A Proteção de Identidade envia um alerta para o Microsoft Sentinel.

7. Configure o Microsoft Sentinel para criar um incidente a partir do alerta. Consulte Criar incidentes automaticamente a partir de alertas de segurança da Microsoft para obter informações sobre como fazer isso. O modelo de regra de análise de segurança da Microsoft a ser usado é Criar incidentes com base nos alertas do Microsoft Entra ID Protection.

8. Quando o Microsoft Sentinel dispara um incidente, o manual responde com ações que bloqueiam o usuário.

Componentes

• O Microsoft Sentinel é uma solução SIEM e SOAR nativa da nuvem. Ele usa IA avançada e análise de segurança para detetar e responder a ameaças em toda a empresa. Há muitos playbooks no Microsoft Sentinel que você pode usar para automatizar suas respostas e proteger seu sistema.
• O Microsoft Entra ID é um serviço de gerenciamento de diretórios e identidades baseado em nuvem que combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução. Ele pode sincronizar com diretórios locais. O serviço de identidade fornece logon único, autenticação multifator e acesso condicional para proteger contra ataques de segurança cibernética. A solução mostrada neste artigo usa o Microsoft Entra identity Protect para detetar atividades suspeitas de um usuário.
• O Logic Apps é um serviço de nuvem sem servidor para criar e executar fluxos de trabalho automatizados que integram aplicativos, dados, serviços e sistemas. Os desenvolvedores podem usar um designer visual para agendar e orquestrar fluxos de trabalho de tarefas comuns. O Logic Apps tem conectores para muitos serviços de nuvem populares, produtos locais e outros aplicativos de software como serviço. Nesta solução, o Logic Apps executa o manual de resposta a ameaças.

Considerações

• O Azure Well-Architected Framework é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
• O Microsoft Sentinel oferece mais de 50 playbooks prontos para uso. Você pode encontrá-los na guia Playbook templates do Microsoft Sentinel|Página de automação para o seu espaço de trabalho.
• O GitHub tem uma variedade de playbooks do Microsoft Sentinel que são criados pela comunidade.

Implementar este cenário

Você pode implantar esse cenário seguindo as etapas em Fluxo de trabalho depois de verificar se os pré-requisitos são atendidos .

Pré-requisitos

• Prepare o software e escolha um usuário de teste
• Implantar o manual

Prepare o software e escolha um usuário de teste

Para implementar e testar o manual, você precisa do Azure e do Microsoft Sentinel, juntamente com o seguinte:

• Uma licença de Proteção de ID do Microsoft Entra (Premium P2, E3 ou E5).
• Um usuário do Microsoft Entra. Você pode usar um usuário existente ou criar um novo usuário. Se você criar um novo usuário, poderá excluí-lo quando terminar de usá-lo.
• Um computador ou VM que pode executar um navegador ToR. Você usará o navegador para entrar no portal Meus Aplicativos como seu usuário do Microsoft Entra.

Implantar o manual

Para implantar um manual do Microsoft Sentinel, proceda da seguinte maneira:

• Se você não tiver um espaço de trabalho do Log Analytics para usar neste exercício, crie um novo da seguinte maneira:
  • Vá para a página principal do Microsoft Sentinel e selecione + Criar para chegar à página Adicionar o Microsoft Sentinel a um espaço de trabalho.
  • Selecione Criar uma nova área de trabalho. Siga as instruções para criar o novo espaço de trabalho. Após um curto período de tempo, o espaço de trabalho é criado.
• Neste ponto, você tem um espaço de trabalho, talvez um que você acabou de criar. Use as etapas a seguir para ver se o Microsoft Sentinel foi adicionado a ele e para adicioná-lo se não:
  • Vá para a página principal do Microsoft Sentinel .
  • Se o Microsoft Sentinel já tiver sido adicionado ao seu espaço de trabalho, o espaço de trabalho aparecerá na lista exibida. Se ainda não tiver sido adicionado, adicione-o da seguinte forma.
    • Selecione + Criar para aceder à página Adicionar o Microsoft Sentinel a uma área de trabalho .
    • Selecione seu espaço de trabalho na lista exibida e, em seguida, selecione Adicionar na parte inferior da página. Após um curto período de tempo, o Microsoft Sentinel é adicionado ao seu espaço de trabalho.
• Crie um playbook, da seguinte forma:
  • Vá para a página principal do Microsoft Sentinel . Selecione a área de trabalho. Selecione Automação no menu à esquerda para acessar a página Automação . Esta página tem três separadores.
  • Selecione a guia Modelos de Playbook (Visualização ).
  • No campo de pesquisa, digite Bloquear usuário do Microsoft Entra - Incidente.
  • Na lista de playbooks, selecione Bloquear usuário do Microsoft Entra - Incidente e, em seguida, selecione Criar playbook no canto inferior direito para acessar a página Criar reprodução .
  • Na página Criar playbook, faça o seguinte:
    • Selecione valores para Assinatura, Grupo de recursos e Região nas listas.
    • Insira um valor para Nome do Playbook se não quiser usar o nome padrão exibido.
    • Se desejar, selecione Habilitar logs de diagnóstico no Log Analytics para habilitar logs.
    • Deixe a caixa de seleção Associar ao ambiente de serviço de integração desmarcada.
    • Deixe o ambiente do serviço de integração vazio.
  • Selecione Next: Connections > para ir para a guia Conexões de Criar playbook.
  • Escolha como autenticar dentro dos componentes do playbook. A autenticação é necessária para:
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    Nota

    Você pode autenticar os recursos durante a personalização do playbook no recurso do aplicativo lógico, se desejar habilitar mais tarde. Para autenticar os recursos acima neste momento, você precisa de permissões para atualizar um usuário no Microsoft Entra ID, e o usuário deve ter acesso a uma caixa de correio de email e deve ser capaz de enviar e-mails.

  • Selecione Seguinte: Rever e criar > para aceder ao separador Rever e criar de Criar playbook.
  • Selecione Criar e continuar para criar o manual e acessar a página Designer de aplicativo lógico.

Para obter mais informações sobre como criar aplicativos lógicos, consulte O que são Aplicativos Lógicos do Azure e Guia de início rápido: criar e gerenciar definições de fluxo de trabalho de aplicativo lógico.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

• Rudnei Oliveira - Brasil | Engenheiro de Segurança do Azure Sênior

Outros contribuidores:

• Andrew Nathan - Brasil | Gerente Sênior de Engenharia de Clientes
• Lavanya Kasturi - Brasil | Redator Técnico

Próximos passos

• Visão geral dos Serviços de Nuvem do Azure?
• O que é o Microsoft Sentinel?
• Orquestração, automação e resposta de segurança (SOAR) no Microsoft Sentinel.
• Automatize a resposta a ameaças com playbooks no Microsoft Sentinel
• O que é o Microsoft Entra ID?
• O que é a Proteção de Identidade?
• Simulando deteções de risco na Proteção de Identidade
• O que é o Azure Logic Apps?
• Tutorial: Criar fluxos de trabalho automatizados baseados em aprovação usando os Aplicativos Lógicos do Azure
• Introdução ao Microsoft Sentinel

Recursos relacionados

• Indicadores de ameaças para inteligência de ameaças cibernéticas no Microsoft Sentinel
• Monitore a segurança híbrida usando o Microsoft Defender for Cloud e o Microsoft Sentinel
• Projeto de arquitetura de segurança