Implementar o Azure Sentinel

Concluído

Além de avaliar e resolver problemas com a configuração de segurança do ambiente híbrido, a Contoso também deve monitorar novos problemas e ameaças e responder adequadamente. O Azure Sentinel é uma solução SIEM e SOAR projetada para ambientes híbridos.

Nota

As soluções SIEM fornecem armazenamento e análise de logs, eventos e alertas que outros sistemas geram, e você pode configurar essas soluções para gerar seus próprios alertas. As soluções SOAR suportam a remediação de vulnerabilidades e a automatização geral de processos de segurança.

O que é o Sentinel?

O Sentinel atende às necessidades das soluções SIEM e SOAR através de:

  • Recolha de dados entre utilizadores, dispositivos, aplicações e infraestruturas baseados na nuvem e no local.
  • Usando IA para identificar atividades suspeitas.
  • Deteção de ameaças com menos falsos positivos.
  • Responder a incidentes de forma rápida e automática.

Pré-requisitos para o Sentinel

Para habilitar o Sentinel, você precisará de:

  • Uma área de trabalho do Log Analytics.

    Gorjeta

    O Sentinel não pode usar o mesmo espaço de trabalho do Log Analytics que a Central de Segurança.

  • Permissões de colaborador ou superiores na subscrição e no grupo de trabalho da sua área de trabalho do Sentinel.

  • Permissões apropriadas em todos os recursos que você conectar ao Sentinel.

Ligações de dados

O Sentinel pode se conectar nativamente à Central de Segurança, fornecendo cobertura para seus servidores locais e na nuvem. Além disso, o suporte à conexão de dados do Sentinel inclui:

  • Conexões nativas de serviço a serviço. O Sentinel integra-se nativamente a estes serviços do Azure e não do Azure:
    • Registos de atividade do Azure
    • Registos de auditoria do Microsoft Entra
    • Proteção de ID do Microsoft Entra
    • Proteção Avançada contra Ameaças do Azure (Azure ATP)
    • AWS CloudTrail
    • Microsoft Cloud App Security
    • Servidores DNS
    • Microsoft 365
    • Zagueiro ATP
    • Firewall de aplicações Web da Microsoft
    • Firewall do Windows Defender
    • Eventos de segurança do Windows
  • Conexões de soluções externas por meio de APIs. O Sentinel pode se conectar a fontes de dados por meio de APIs para as seguintes soluções:
    • Barracuda
    • Barracuda CloudGen Firewall
    • Citrix Analytics para Segurança
    • F5 BIG-IP
    • Forcepoint DLP
    • squadra tecnologias secRMM
    • Symantec ICDx
    • Zimperio
  • Conexões de solução externa através de um agente. O Sentinel pode se conectar por meio de um agente a fontes de dados que suportam o protocolo Syslog. O agente Sentinel pode ser instalado diretamente em dispositivos ou em um servidor Linux que pode receber eventos de outros dispositivos. O suporte para conexão através de um agente inclui os seguintes dispositivos e soluções:
    • Firewalls, proxies de Internet e pontos finais
    • Soluções de prevenção de perda de dados (DLP)
    • Máquinas DNS
    • Servidores Linux
    • Outros fornecedores de cloud

Permissões

O acesso no Sentinel é gerenciado por meio de funções de controle de acesso baseado em função (RBAC). Essas funções oferecem a capacidade de gerenciar o que os usuários podem observar e fazer no Sentinel:

  • Papéis globais. As funções globais internas do Azure — Proprietário, Colaborador e Leitor — concedem acesso a todos os recursos do Azure, incluindo o Sentinel e o Log Analytics.
  • Funções específicas das sentinelas. As funções internas específicas do Sentinel são:
    • Azure Sentinel Reader. Essa função pode obter dados, incidentes, painéis e informações sobre os recursos do Sentinel.
    • Azure Sentinel Responder. Essa função tem todos os recursos da função Leitor Sentinela do Azure e também pode gerenciar incidentes.
    • Azure Sentinel Contributor. Além dos recursos da função Respondente do Azure Sentinel, essa função pode criar e editar painéis, regras de análise e outros recursos do Sentinel.
  • Outras funções. O Colaborador do Log Analytics e o Leitor do Log Analytics são funções internas específicas do Log Analytics. Essas funções concedem permissões somente para o espaço de trabalho do Log Analytics . Se você não tiver as funções globais de Colaborador ou Proprietário, precisará da função de Colaborador do Aplicativo Lógico para criar e executar playbooks em resposta a alertas.

Implementar o Azure Sentinel

Para implementar o Sentinel:

  1. No portal do Azure, procure e selecione Azure Sentinel.

  2. Na folha Espaços de trabalho do Azure Sentinel, selecione Conectar espaço de trabalho e escolha o espaço de trabalho apropriado.

  3. Selecione Adicionar Azure Sentinel. O espaço de trabalho é modificado para incluir o Sentinel.

  4. Na folha Azure Sentinel, em Notícias & guias, selecione a guia Introdução.

    A screenshot of the Azure Sentinel blade. The administrator has selected the News & guides page, Get started tab.

  5. Selecione Conectar para começar a coletar dados.

  6. Selecione o conector apropriado. Por exemplo, selecione Central de Segurança do Azure.

  7. Selecione Abrir página do conector.

  8. Revise as informações de pré-requisito e, quando estiver pronto, selecione Conectar.

    A screenshot of the Azure Sentinel Data connectors blade. The administrator has selected the Instructions tab.

O que é SIEM?

As soluções SIEM armazenam e analisam dados de log provenientes de fontes externas. Você conecta fontes de dados do Azure e fontes externas em sua organização, incluindo recursos locais. Em seguida, o Azure Sentinel fornece um painel padrão que ajuda você a analisar e visualizar esses eventos. O painel exibe dados sobre o número de eventos recebidos, o número de alertas gerados a partir desses dados e o status de quaisquer incidentes criados a partir desses alertas.

O Sentinel usa deteções internas e personalizadas para alertá-lo sobre possíveis ameaças à segurança, por exemplo, tentativas de acessar a organização da Contoso de fora de sua infraestrutura ou quando os dados da Contoso parecem ser enviados para um endereço IP mal-intencionado conhecido. Ele também permite que você crie incidentes com base nesses alertas.

O Sentinel fornece pastas de trabalho internas e personalizadas para ajudá-lo a analisar os dados recebidos. As pastas de trabalho são relatórios interativos que incluem consultas de log, texto, métricas e outros dados. As regras de criação de incidentes da Microsoft permitem criar incidentes a partir de alertas gerados por outros serviços, como a Central de Segurança do Azure.

Para implementar a funcionalidade SIEM no Sentinel:

  • Ativar o Azure Sentinel.
  • Crie uma conexão de dados.
  • Crie uma regra personalizada que gere um alerta.

O que é SOAR?

As soluções SOAR permitem gerenciar ou orquestrar a análise dos dados coletados sobre ameaças à segurança, coordenar sua resposta a essas ameaças e criar respostas automatizadas. Os recursos SOAR do Azure Sentinel estão intimamente ligados à sua funcionalidade SIEM.

Use as seguintes práticas recomendadas para implementar o SOAR no Sentinel:

  • Ao criar regras de análise que geram alertas, também as configure para criar incidentes.
  • Use os incidentes para gerenciar o processo de investigação e resposta.
  • Agrupe alertas relacionados a um incidente.

Investigar incidentes

No Sentinel, você pode analisar quantos incidentes estão abertos, quantos estão sendo trabalhados e quantos estão fechados. Você pode até mesmo reabrir incidentes fechados. Você pode obter os detalhes de um incidente, como quando ele ocorreu e seu status. Você também pode adicionar anotações a um incidente e alterar seu status para que o progresso seja mais fácil de entender. Os incidentes podem ser atribuídos a utilizadores específicos.

Responda a alertas com manuais de segurança

O Sentinel permite-lhe utilizar manuais de segurança para responder a alertas. Os manuais de procedimentos de segurança são coleções de procedimentos baseados no Azure Logic Apps que são executados em resposta a um alerta. Pode executar estes playbooks de segurança manualmente em resposta à sua investigação de um incidente ou pode configurar um alerta para executar um playbook automaticamente.

Leitura adicional

Pode saber mais ao consultar os seguintes documentos: