Implementar o Azure Sentinel
Além de avaliar e resolver problemas com a configuração de segurança do ambiente híbrido, a Contoso também deve monitorar novos problemas e ameaças e responder adequadamente. O Azure Sentinel é uma solução SIEM e SOAR projetada para ambientes híbridos.
Nota
As soluções SIEM fornecem armazenamento e análise de logs, eventos e alertas que outros sistemas geram, e você pode configurar essas soluções para gerar seus próprios alertas. As soluções SOAR suportam a remediação de vulnerabilidades e a automatização geral de processos de segurança.
O que é o Sentinel?
O Sentinel atende às necessidades das soluções SIEM e SOAR através de:
- Recolha de dados entre utilizadores, dispositivos, aplicações e infraestruturas baseados na nuvem e no local.
- Usando IA para identificar atividades suspeitas.
- Deteção de ameaças com menos falsos positivos.
- Responder a incidentes de forma rápida e automática.
Pré-requisitos para o Sentinel
Para habilitar o Sentinel, você precisará de:
Uma área de trabalho do Log Analytics.
Gorjeta
O Sentinel não pode usar o mesmo espaço de trabalho do Log Analytics que a Central de Segurança.
Permissões de colaborador ou superiores na subscrição e no grupo de trabalho da sua área de trabalho do Sentinel.
Permissões apropriadas em todos os recursos que você conectar ao Sentinel.
Ligações de dados
O Sentinel pode se conectar nativamente à Central de Segurança, fornecendo cobertura para seus servidores locais e na nuvem. Além disso, o suporte à conexão de dados do Sentinel inclui:
- Conexões nativas de serviço a serviço. O Sentinel integra-se nativamente a estes serviços do Azure e não do Azure:
- Registos de atividade do Azure
- Registos de auditoria do Microsoft Entra
- Proteção de ID do Microsoft Entra
- Proteção Avançada contra Ameaças do Azure (Azure ATP)
- AWS CloudTrail
- Microsoft Cloud App Security
- Servidores DNS
- Microsoft 365
- Zagueiro ATP
- Firewall de aplicações Web da Microsoft
- Firewall do Windows Defender
- Eventos de segurança do Windows
- Conexões de soluções externas por meio de APIs. O Sentinel pode se conectar a fontes de dados por meio de APIs para as seguintes soluções:
- Barracuda
- Barracuda CloudGen Firewall
- Citrix Analytics para Segurança
- F5 BIG-IP
- Forcepoint DLP
- squadra tecnologias secRMM
- Symantec ICDx
- Zimperio
- Conexões de solução externa através de um agente. O Sentinel pode se conectar por meio de um agente a fontes de dados que suportam o protocolo Syslog. O agente Sentinel pode ser instalado diretamente em dispositivos ou em um servidor Linux que pode receber eventos de outros dispositivos. O suporte para conexão através de um agente inclui os seguintes dispositivos e soluções:
- Firewalls, proxies de Internet e pontos finais
- Soluções de prevenção de perda de dados (DLP)
- Máquinas DNS
- Servidores Linux
- Outros fornecedores de cloud
Permissões
O acesso no Sentinel é gerenciado por meio de funções de controle de acesso baseado em função (RBAC). Essas funções oferecem a capacidade de gerenciar o que os usuários podem observar e fazer no Sentinel:
- Papéis globais. As funções globais internas do Azure — Proprietário, Colaborador e Leitor — concedem acesso a todos os recursos do Azure, incluindo o Sentinel e o Log Analytics.
- Funções específicas das sentinelas. As funções internas específicas do Sentinel são:
- Azure Sentinel Reader. Essa função pode obter dados, incidentes, painéis e informações sobre os recursos do Sentinel.
- Azure Sentinel Responder. Essa função tem todos os recursos da função Leitor Sentinela do Azure e também pode gerenciar incidentes.
- Azure Sentinel Contributor. Além dos recursos da função Respondente do Azure Sentinel, essa função pode criar e editar painéis, regras de análise e outros recursos do Sentinel.
- Outras funções. O Colaborador do Log Analytics e o Leitor do Log Analytics são funções internas específicas do Log Analytics. Essas funções concedem permissões somente para o espaço de trabalho do Log Analytics . Se você não tiver as funções globais de Colaborador ou Proprietário, precisará da função de Colaborador do Aplicativo Lógico para criar e executar playbooks em resposta a alertas.
Implementar o Azure Sentinel
Para implementar o Sentinel:
No portal do Azure, procure e selecione Azure Sentinel.
Na folha Espaços de trabalho do Azure Sentinel, selecione Conectar espaço de trabalho e escolha o espaço de trabalho apropriado.
Selecione Adicionar Azure Sentinel. O espaço de trabalho é modificado para incluir o Sentinel.
Na folha Azure Sentinel, em Notícias & guias, selecione a guia Introdução.
Selecione Conectar para começar a coletar dados.
Selecione o conector apropriado. Por exemplo, selecione Central de Segurança do Azure.
Selecione Abrir página do conector.
Revise as informações de pré-requisito e, quando estiver pronto, selecione Conectar.
O que é SIEM?
As soluções SIEM armazenam e analisam dados de log provenientes de fontes externas. Você conecta fontes de dados do Azure e fontes externas em sua organização, incluindo recursos locais. Em seguida, o Azure Sentinel fornece um painel padrão que ajuda você a analisar e visualizar esses eventos. O painel exibe dados sobre o número de eventos recebidos, o número de alertas gerados a partir desses dados e o status de quaisquer incidentes criados a partir desses alertas.
O Sentinel usa deteções internas e personalizadas para alertá-lo sobre possíveis ameaças à segurança, por exemplo, tentativas de acessar a organização da Contoso de fora de sua infraestrutura ou quando os dados da Contoso parecem ser enviados para um endereço IP mal-intencionado conhecido. Ele também permite que você crie incidentes com base nesses alertas.
O Sentinel fornece pastas de trabalho internas e personalizadas para ajudá-lo a analisar os dados recebidos. As pastas de trabalho são relatórios interativos que incluem consultas de log, texto, métricas e outros dados. As regras de criação de incidentes da Microsoft permitem criar incidentes a partir de alertas gerados por outros serviços, como a Central de Segurança do Azure.
Para implementar a funcionalidade SIEM no Sentinel:
- Ativar o Azure Sentinel.
- Crie uma conexão de dados.
- Crie uma regra personalizada que gere um alerta.
O que é SOAR?
As soluções SOAR permitem gerenciar ou orquestrar a análise dos dados coletados sobre ameaças à segurança, coordenar sua resposta a essas ameaças e criar respostas automatizadas. Os recursos SOAR do Azure Sentinel estão intimamente ligados à sua funcionalidade SIEM.
Use as seguintes práticas recomendadas para implementar o SOAR no Sentinel:
- Ao criar regras de análise que geram alertas, também as configure para criar incidentes.
- Use os incidentes para gerenciar o processo de investigação e resposta.
- Agrupe alertas relacionados a um incidente.
Investigar incidentes
No Sentinel, você pode analisar quantos incidentes estão abertos, quantos estão sendo trabalhados e quantos estão fechados. Você pode até mesmo reabrir incidentes fechados. Você pode obter os detalhes de um incidente, como quando ele ocorreu e seu status. Você também pode adicionar anotações a um incidente e alterar seu status para que o progresso seja mais fácil de entender. Os incidentes podem ser atribuídos a utilizadores específicos.
Responda a alertas com manuais de segurança
O Sentinel permite-lhe utilizar manuais de segurança para responder a alertas. Os manuais de procedimentos de segurança são coleções de procedimentos baseados no Azure Logic Apps que são executados em resposta a um alerta. Pode executar estes playbooks de segurança manualmente em resposta à sua investigação de um incidente ou pode configurar um alerta para executar um playbook automaticamente.
Leitura adicional
Pode saber mais ao consultar os seguintes documentos:
- Permissões no Azure Sentinel.
- Visão geral – O que é o Azure Logic Apps?.
- Guia de início rápido: Azure Sentinel integrado.
- Tutorial: Crie regras analíticas personalizadas para detetar ameaças suspeitas.