Configurar conteúdo do Microsoft Sentinel
Na etapa de implantação anterior, você habilitou o Microsoft Sentinel, o monitoramento de integridade e as soluções necessárias. Neste artigo, você aprenderá a configurar os diferentes tipos de conteúdo de segurança do Microsoft Sentinel, que permitem detetar, monitorar e responder a ameaças de segurança em seus sistemas. Este artigo faz parte do guia de implantação do Microsoft Sentinel.
Configure o seu conteúdo de segurança
| Passo | Description |
|---|---|
| Configurar conectores de dados | Com base nas fontes de dados selecionadas quando planejou sua implantação, e depois de habilitar as soluções relevantes, agora você pode instalar ou configurar seus conectores de dados. - Se você estiver usando um conector existente, encontre seu conector nesta lista completa de conectores de dados. - Se você estiver criando um conector personalizado, use esses recursos. - Se você estiver configurando um conector para ingerir logs CEF ou Syslog, revise essas opções. |
| Configurar regras de análise | Depois de configurar o Microsoft Sentinel para coletar dados de toda a sua organização, você pode começar a usar regras de análise para detetar ameaças. Selecione as etapas necessárias para configurar suas regras de análise: - Crie regras agendadas a partir de modelos ou do zero: crie regras de análise para ajudar a descobrir ameaças e comportamentos anômalos em seu ambiente. - Mapear campos de dados para entidades: adicione ou altere mapeamentos de entidade em uma regra de análise. - Detalhes personalizados do Surface em alertas: adicione ou altere detalhes personalizados em uma regra de análise. - Personalizar detalhes do alerta: substitua as propriedades padrão dos alertas pelo conteúdo dos resultados da consulta subjacente. - Exportar e importar regras de análise: exporte suas regras de análise para arquivos de modelo do Azure Resource Manager (ARM) e importe regras desses arquivos. A ação de exportação cria um arquivo JSON no local de downloads do navegador, que você pode renomear, mover e manipular como qualquer outro arquivo. - Crie regras de análise de deteção quase em tempo real (NRT): crie regras de análise em tempo quase real para deteção de ameaças atualizada e pronta para uso. Esse tipo de regra foi projetado para ser altamente responsivo, executando sua consulta em intervalos de apenas um minuto de intervalo. - Trabalhar com regras de análise de deteção de anomalias: trabalhe com modelos internos de anomalias que usam milhares de fontes de dados e milhões de eventos ou altere limites e parâmetros para as anomalias na interface do usuário. - Gerenciar versões de modelo para suas regras de análise agendadas: acompanhe as versões de seus modelos de regra de análise e reverta regras ativas para versões de modelo existentes ou atualize-as para novas. - Lidar com o atraso de ingestão em regras de análise agendadas: saiba como o atraso de ingestão pode afetar suas regras de análise agendadas e como você pode corrigi-las para cobrir essas lacunas. |
| Configurar regras de automação | Crie regras de automação. Defina os gatilhos e as condições que determinam quando sua regra de automação é executada, as várias ações que você pode executar a regra e os recursos e funcionalidades restantes. |
| Configurar playbooks | Um manual é uma coleção de ações de correção que você executa do Microsoft Sentinel como uma rotina, para ajudar a automatizar e orquestrar sua resposta a ameaças. Para configurar playbooks: - Revisão de playbooks recomendados - Crie playbooks a partir de modelos: um modelo de playbook é um fluxo de trabalho pré-construído, testado e pronto para uso que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para as melhores práticas ao desenvolver playbooks do zero ou como inspiração para novos cenários de automação. - Reveja estes passos para criar um manual |
| Configurar pastas de trabalho | As pastas de trabalho fornecem uma tela flexível para análise de dados e criação de relatórios visuais avançados no Microsoft Sentinel. Os modelos de pasta de trabalho permitem que você obtenha informações rapidamente sobre seus dados assim que conectar uma fonte de dados. Para configurar pastas de trabalho: - Revisão de pastas de trabalho do Microsoft Sentinel comumente usadas - Usar modelos de pasta de trabalho existentes disponíveis com soluções empacotadas - Crie pastas de trabalho personalizadas em seus dados |
| Configurar listas de observação | As listas de observação permitem correlacionar dados de uma fonte de dados fornecida com os eventos em seu ambiente Microsoft Sentinel. Para configurar listas de observação: - Criar listas de observação - Crie consultas ou regras de deteção com listas de observação: consulte dados em qualquer tabela em relação aos dados de uma lista de observação tratando a lista de observação como uma tabela para junções e pesquisas. Ao criar uma lista de observação, você define a SearchKey. A chave de pesquisa é o nome de uma coluna na sua lista de observação que você espera usar como uma junção com outros dados ou como um objeto frequente de pesquisas. |
Próximos passos
Neste artigo, você aprendeu como configurar os diferentes tipos de conteúdo de segurança do Microsoft Sentinel.