Quando usar o Microsoft Sentinel

Concluído

O Microsoft Sentinel é uma solução para executar operações de segurança em seus ambientes locais e na nuvem.

Use o Microsoft Sentinel se quiser:

  • Recolher dados de eventos de várias origens.
  • Executar operações de segurança sobre esses dados para identificar atividades suspeitas.

As operações de segurança incluem:

  • Visualização de dados de registo
  • Deteção de anomalias
  • Investigação de ameaças
  • Investigação de incidentes de segurança
  • Resposta automatizada a alertas e incidentes

O Microsoft Sentinel oferece outros recursos que podem ajudá-lo a decidir se é o ideal para você:

  • SIEM nativo da nuvem: sem servidores para provisionar, o dimensionamento é fácil
  • Integração com o serviço Aplicativos Lógicos do Azure e suas centenas de conectores
  • Benefícios da pesquisa da Microsoft e do aprendizado de máquina
  • Fontes de log de chaves fornecidas gratuitamente
  • Suporte para nuvem híbrida e ambientes locais
  • SIEM e um data lake tudo em um

Quando você começou a investigar o Microsoft Sentinel, sua organização tinha alguns requisitos claros:

  • Suporte para dados de múltiplos ambientes de cloud
  • Funcionalidades necessárias para um centro de operações de segurança (SOC), sem demasiada sobrecarga administrativa

Você descobriu que o Microsoft Sentinel pode ser uma boa opção. Este oferece conectores de dados para syslog, Amazon Web Services (AWS) e outras origens, assim como a capacidade para dimensionar facilmente sem aprovisionar servidores. Durante a análise, também se apercebeu de que a sua organização deve tornar a automatização numa parte fundamental da estratégia SOC. A automatização não era algo que a organização tivesse considerado antes, mas agora vai investigar os manuais de procedimentos de automatização.

Se estiver a recolher registos de aplicações ou de infraestruturas para a monitorização do desempenho, também poderá considerar a utilização do Azure Monitor e do Log Analytics para tal.

E talvez queira compreender a postura de segurança do seu ambiente, ter a certeza de que está a cumprir a política e verificar se existem configurações de segurança incorretas. Em caso afirmativo, considere também usar o Microsoft Defender for Cloud. Você pode ingerir alertas do Defender for Cloud como um conector de dados para o Microsoft Sentinel.