Atualizar processos SOC
Um centro de operações de segurança (SOC) é uma função centralizada dentro de uma organização que integra pessoas, processos e tecnologia. Um SOC implementa a estrutura geral de segurança cibernética da organização. O SOC colabora com os esforços organizacionais para monitorar, alertar, prevenir, detetar, analisar e responder a incidentes de cibersegurança. As equipes de SOC, lideradas por um gerente de SOC, podem incluir socorristas de incidentes, analistas de SOC nos níveis 1, 2 e 3, caçadores de ameaças e gerentes de resposta a incidentes.
As equipes de SOC usam telemetria de toda a infraestrutura de TI da organização, incluindo redes, dispositivos, aplicativos, comportamentos, dispositivos e armazenamentos de informações. Em seguida, as equipas corelacionam-se e analisam os dados, para determinar como gerir os dados e que ações tomar.
Para migrar com êxito para o Microsoft Sentinel, você precisa atualizar não apenas a tecnologia que o SOC usa, mas também as tarefas e processos do SOC. Este artigo descreve como atualizar seus processos SOC e analistas como parte de sua migração para o Microsoft Sentinel.
Atualizar fluxo de trabalho do analista
O Microsoft Sentinel oferece uma variedade de ferramentas que mapeiam para um fluxo de trabalho típico de analistas, desde a atribuição de incidentes até o encerramento. Os analistas podem usar de forma flexível algumas ou todas as ferramentas disponíveis para triar e investigar incidentes. À medida que sua organização migra para o Microsoft Sentinel, seus analistas precisam se adaptar a esses novos conjuntos de ferramentas, recursos e fluxos de trabalho.
Incidentes no Microsoft Sentinel
No Microsoft Sentinel, um incidente é uma coleção de alertas que o Microsoft Sentinel determina ter fidelidade suficiente para disparar o incidente. Assim, com o Microsoft Sentinel, o analista faz a triagem de incidentes na página Incidentes primeiro e, em seguida, prossegue com a análise de alertas, se for necessário um mergulho mais profundo. Compare a terminologia de incidentes e as áreas de gerenciamento do SIEM com o Microsoft Sentinel.
Estágios do fluxo de trabalho do analista
Esta tabela descreve os principais estágios no fluxo de trabalho do analista e destaca as ferramentas específicas relevantes para cada atividade no fluxo de trabalho.
| Atribuir | Triagem | Investigar | Resposta |
|---|---|---|---|
| Atribua incidentes: • Manualmente, na página Incidentes • Automaticamente, usando playbooks ou regras de automação |
Triagem de incidentes utilizando: • Os detalhes do incidente na página Incidente • Informação da entidade na página Incidente, no separador Entidades • Cadernos Jupyter |
Investigue incidentes usando: • O gráfico de investigação • Pastas de trabalho do Microsoft Sentinel • A janela de consulta do Log Analytics |
Responda a incidentes usando: • Playbooks e regras de automação • Sala de Guerra do Microsoft Teams |
As próximas seções mapeiam a terminologia e o fluxo de trabalho do analista para recursos específicos do Microsoft Sentinel.
Atribuir
Use a página Incidentes do Microsoft Sentinel para atribuir incidentes. A página Incidentes inclui uma visualização de incidentes e uma exibição detalhada de incidentes individuais.
Para atribuir um incidente:
- Manualmente. Defina o campo Proprietário como o nome de usuário relevante.
- Automaticamente. Use uma solução personalizada baseada no Microsoft Teams e no Logic Apps ou uma regra de automação.
Triagem
Para conduzir um exercício de triagem no Microsoft Sentinel, você pode começar com vários recursos do Microsoft Sentinel, dependendo do seu nível de especialização e da natureza do incidente sob investigação. Como ponto de partida típico, selecione Exibir detalhes completos na página Incidente . Agora você pode examinar os alertas que compõem o incidente, revisar marcadores, selecionar entidades para detalhar mais detalhadamente entidades específicas ou adicionar comentários.
Aqui estão sugeridas ações para continuar sua revisão de incidentes:
- Selecione Investigação para obter uma representação visual das relações entre os incidentes e as entidades relevantes.
- Use um bloco de anotações Jupyter para realizar um exercício de triagem detalhado para uma entidade específica. Você pode usar o bloco de anotações de triagem de incidentes para este exercício.
Agilizar a triagem
Use estes recursos e capacidades para agilizar a triagem:
- Para uma filtragem rápida, na página Incidentes , procure incidentes associados a uma entidade específica. A filtragem por entidade na página Incidentes é mais rápida do que a filtragem pela coluna de entidade em filas de incidentes SIEM herdadas.
- Para uma triagem mais rápida, use a tela Detalhes do alerta para incluir informações importantes sobre incidentes no nome e na descrição do incidente, como o nome de usuário, o endereço IP ou o host relacionados. Por exemplo, um incidente pode ser renomeado dinamicamente para
Ransomware activity detected in DC01, ondeDC01é um ativo crítico, identificado dinamicamente por meio das propriedades de alerta personalizáveis. - Para uma análise mais profunda, na página Incidentes, selecione um incidente e selecione Eventos em Evidência para visualizar eventos específicos que desencadearam o incidente. Os dados do evento são visíveis como a saída da consulta associada à regra de análise, em vez do evento bruto. O engenheiro de migração de regras pode usar essa saída para garantir que o analista obtenha os dados corretos.
- Para obter informações detalhadas sobre a entidade, na página Incidentes, selecione um incidente e selecione um nome de entidade em Entidades para exibir as informações do diretório, a linha do tempo e os insights da entidade. Saiba como mapear entidades.
- Para vincular a pastas de trabalho relevantes, selecione Visualização de incidentes. Você pode personalizar a pasta de trabalho para exibir informações adicionais sobre o incidente ou entidades associadas e campos personalizados.
Investigar
Use o gráfico de investigação para investigar profundamente os incidentes. Na página Incidentes, selecione um incidente e selecione Investigar para visualizar o gráfico de investigação.
Com o gráfico de investigação, você pode:
- Compreenda o escopo e identifique a causa raiz de potenciais ameaças à segurança, correlacionando dados relevantes com qualquer entidade envolvida.
- Aprofunde-se nas entidades e escolha entre diferentes opções de expansão.
- Veja facilmente conexões entre diferentes fontes de dados exibindo relações extraídas automaticamente dos dados brutos.
- Expanda seu escopo de investigação usando consultas de exploração integradas para revelar o escopo completo de uma ameaça.
- Use opções de exploração predefinidas para ajudá-lo a fazer as perguntas certas enquanto investiga uma ameaça.
No gráfico de investigação, você também pode abrir pastas de trabalho para apoiar ainda mais seus esforços de investigação. O Microsoft Sentinel inclui vários modelos de pasta de trabalho que você pode personalizar para se adequar ao seu caso de uso específico.
Resposta
Use os recursos de resposta automatizada do Microsoft Sentinel para responder a ameaças complexas e reduzir a fadiga de alerta. O Microsoft Sentinel fornece resposta automatizada usando playbooks e regras de automação do Logic Apps.
Use uma das seguintes opções para acessar os playbooks:
- A guia Modelos do Playbook de Automação >
- O hub de conteúdo do Microsoft Sentinel
- O repositório GitHub do Microsoft Sentinel
Essas fontes incluem uma ampla gama de playbooks orientados à segurança para cobrir uma parte substancial de casos de uso de complexidade variável. Para simplificar seu trabalho com playbooks, use os modelos em Modelos de playbook de automação>. Os modelos permitem que você implante facilmente playbooks na instância do Microsoft Sentinel e, em seguida, modifique os playbooks para atender às necessidades da sua organização.
Consulte o SOC Process Framework para mapear seu processo SOC para os recursos do Microsoft Sentinel.
Comparar conceitos de SIEM
Use esta tabela para comparar os principais conceitos do seu SIEM herdado com os conceitos do Microsoft Sentinel.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Evento | Evento | Evento | Evento |
| Evento de correlação | Evento de correlação | Evento Notável | Alerta |
| Incident | Ofensa | Evento Notável | Incident |
| Lista de infrações | Etiquetas | Página de incidentes | |
| Etiquetas | Campo personalizado em SOAR | Etiquetas | Etiquetas |
| Jupyter Notebooks | Jupyter Notebooks | Notebooks Microsoft Sentinel | |
| Dashboards | Dashboards | Dashboards | Livros |
| Regras de correlação | Blocos de criação | Regras de correlação | Regras de análise |
| Fila de incidentes | Aba Ofensas | Revisão de incidentes | Página do incidente |
Próximos passos
Após a migração, explore os recursos do Microsoft Sentinel da Microsoft para expandir suas habilidades e aproveitar ao máximo o Microsoft Sentinel.
Considere também aumentar sua proteção contra ameaças usando o Microsoft Sentinel ao lado do Microsoft Defender XDR e do Microsoft Defender for Cloud para proteção integrada contra ameaças. Beneficie-se da amplitude de visibilidade que o Microsoft Sentinel oferece, enquanto se aprofunda na análise detalhada de ameaças.
Para obter mais informações, consulte:
- Práticas recomendadas de migração de regras
- Webinar: Práticas recomendadas para converter regras de deteção
- Orquestração, automação e resposta de segurança (SOAR) no Microsoft Sentinel
- Gerencie melhor seu SOC com métricas de incidentes
- Percurso de aprendizagem do Microsoft Sentinel
- Certificação SC-200 Microsoft Security Operations Analyst
- Treinamento Microsoft Sentinel Ninja
- Investigue um ataque a um ambiente híbrido com o Microsoft Sentinel