Introdução

  • 3 minutos

O conteúdo do Microsoft Sentinel é o conteúdo de Gerenciamento de Informações e Eventos de Segurança (SIEM) que permite que os clientes ingeram dados, monitorem, alertem, procurem, investiguem, respondam e se conectem a diferentes produtos, plataformas e serviços no Microsoft Sentinel.

O conteúdo do Microsoft Sentinel inclui qualquer um dos seguintes tipos:

  • Os conectores de dados fornecem ingestão de log de diferentes fontes no Microsoft Sentinel
  • Os analisadores fornecem formatação/transformação de log em formatos ASIM, suportando o uso em vários tipos de conteúdo e cenários do Microsoft Sentinel
  • As pastas de trabalho fornecem monitoramento, visualização e interatividade com dados no Microsoft Sentinel, destacando informações significativas para os usuários
  • As regras de análise fornecem alertas que apontam para ações SOC relevantes por meio de incidentes
  • As consultas de caça são usadas por equipes SOC para procurar ameaças proativamente no Microsoft Sentinel
  • Os blocos de anotações ajudam as equipes SOC a usar recursos avançados de caça no Jupyter e no Azure Notebooks
  • As listas de observação suportam a ingestão de dados específicos para uma melhor deteção de ameaças e redução da fadiga de alerta
  • Playbooks e conectores personalizados de Aplicativos Lógicos do Azure fornecem recursos para investigações, correções e cenários de resposta automatizados no Microsoft Sentinel

Para manter o conteúdo para uso do Microsoft Sentinel:

  • Hub de conteúdo: - As soluções Microsoft Sentinel são pacotes de conteúdo do Microsoft Sentinel ou integrações de API do Microsoft Sentinel, que atendem a um produto, domínio ou cenário vertical do setor de ponta a ponta no Microsoft Sentinel.
  • Repositórios: - Os repositórios ajudam você a automatizar a implantação e o gerenciamento do conteúdo do Microsoft Sentinel por meio de repositórios centrais.
  • Comunidade: integre conteúdo da comunidade sob demanda para habilitar seus cenários. O repositório GitHub em contém conteúdo da Microsoft e da comunidade que é testado e está disponível para você implementar em https://github.com/Azure/Azure-Sentinel seu espaço de trabalho do Sentinel.

Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. Você precisa instalar conectores e regras analíticas de um fornecedor. Você também criou uma biblioteca de consultas de caça que precisam ser mantidas em vários ambientes.

Ao final deste módulo, você poderá gerenciar conteúdo no Microsoft Sentinel.

Depois de concluir este módulo, conseguirá:

  • Instalar uma solução de hub de conteúdo no Microsoft Sentinel
  • Conectar um repositório GitHub ao Microsoft Sentinel