Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo apresenta as atividades que ajudam você a planejar, implantar e ajustar sua implantação do Microsoft Sentinel.
Visão geral sobre planejamento e preparação
Esta seção apresenta as atividades e os pré-requisitos que ajudam você a planejar e se preparar antes de implantar o Microsoft Sentinel.
A fase de planejamento e preparação é normalmente realizada por um arquiteto do SOC ou pelas funções relacionadas.
| Etapa | Detalhes |
|---|---|
| 1. Planejar e preparar a visão geral e os pré-requisitos | Examine os pré-requisitos do locatário do Azure. |
| 2. Planejar a arquitetura do workspace | Crie seu workspace do Log Analytics habilitado para o Microsoft Sentinel. Independentemente de você integrar o portal do Microsoft Defender, você ainda precisará de um espaço de trabalho do Log Analytics. Considere parâmetros como: – Se você usará um único locatário ou vários locatários – Todos os requisitos de conformidade que você tem para coleta e armazenamento de dados – Como controlar o acesso aos dados do Microsoft Sentinel Examine estes artigos: 1. Projetar a arquitetura do workspace 3. Examinar os designs de workspace de exemplo 4. Preparar para vários workspaces |
| 3. Priorizar os conectores de dados | Determine de quais fontes de dados você precisa e os requisitos de tamanho de dados para ajudar você a projetar com precisão seu orçamento e a linha do tempo da implantação. Você pode determinar essas informações ao analisar o caso de uso empresarial ou ao avaliar um SIEM atual que você já tem em uso. Se você já utiliza um SIEM, analise seus dados para entender quais fontes de dados oferecem mais valor e devem ser ingeridas no Azure Sentinel. |
| 4. Planejar as funções e permissões | Use o RBAC (controle de acesso baseado em função) do Azure para criar e atribuir funções em sua equipe de operações de segurança para conceder o acesso apropriado ao Microsoft Sentinel. As funções diferentes oferecem um controle otimizado sobre o que os usuários do Microsoft Sentinel podem acessar e fazer. As funções do Azure podem ser atribuídas diretamente no workspace ou em uma assinatura ou grupo de recursos ao qual ele pertence e que o Microsoft Sentinel herda. |
| 5. Planejar os custos | Comece a planejar seu orçamento, considerando as implicações de custo para cada cenário planejado. Certifique-se de que seu orçamento inclua o custo da ingestão de dados do Microsoft Sentinel e do Azure Log Analytics, quaisquer guias estratégicos que serão implantados e assim por diante. |
Visão geral da implantação
Normalmente, a fase de implantação é executada por um analista do SOC ou por funções relacionadas.
| Etapa | Detalhes |
|---|---|
| 1. Habilitar o Microsoft Sentinel, a integridade e auditoria e o conteúdo | Habilite o Microsoft Sentinel, habilite o recurso de integridade e auditoria e habilite as soluções e o conteúdo que você identificou de acordo com as necessidades da sua organização. Para integrar ao Microsoft Sentinel usando a API, confira a versão mais recente com suporte do Estados de integração do Sentinel. |
| 2. Configurar conteúdo | Configure os diferentes tipos de conteúdo de segurança do Microsoft Sentinel, que permitem detectar, monitorar e responder a ameaças de segurança em seus sistemas: conectores de dados, regras de análise, regras de automação, guias estratégicos, pastas de trabalho e watchlists. |
| 3. Configurar uma arquitetura entre workspaces | Se seu ambiente exigir vários workspaces, agora você poderá configurá-los como parte de sua implantação. Neste artigo, você aprenderá a configurar o Microsoft Sentinel para estender entre vários workspaces e locatários. |
| 4. Habilitar o UEBA (análise comportamental de usuários e entidades) | Habilite e use o recurso UEBA para simplificar o processo de análise. |
| 5. Configurar o data lake do Microsoft Sentinel | Defina configurações interativas e de retenção de dados para garantir que sua organização mantenha dados críticos de longo prazo, aproveitando o data lake do Microsoft Sentinel para armazenamento econômico, visibilidade aprimorada e integração perfeita com ferramentas de análise avançada. |
Ajuste e revisão: lista de verificação para pós-implantação
Examine a lista de verificação pós-implantação para ajudar você a garantir que o processo de implantação esteja funcionando conforme o esperado e que o conteúdo de segurança implantado esteja funcionando e protegendo sua organização de acordo com suas necessidades e casos de uso.
A fase de ajuste e revisão é normalmente executada por um engenheiro do SOC ou funções relacionadas.
| Etapa | Ações |
|---|---|
| ✅Examinar os incidentes e o processo de incidentes | - Verifique se os incidentes e o número de incidentes que você está vendo refletem o que realmente está acontecendo no ambiente. - Verifique se o processo de incidentes do SOC está funcionando para lidar com os incidentes de forma eficiente: você atribuiu diferentes tipos de incidentes a diferentes níveis/camadas do SOC? Saiba mais sobre como navegar e investigar incidentes e como trabalhar com tarefas de incidentes. |
| ✅Examinar e ajustar as regras de análise | - Com base em sua revisão de incidentes, verifique se as regras de análise são acionadas conforme o esperado e se as regras refletem os tipos de incidentes nos quais você está interessado. - Lidar com falsos positivos, seja usando automação ou modificando as regras de análise agendada. - O Microsoft Sentinel oferece recursos de ajuste incorporados para ajudar a analisar as regras de análise. Examine esses insights incorporados e implemente as recomendações relevantes. |
| ✅Examinar as regras de automação e os guias estratégicos | - Semelhante às regras de análise, verifique se as regras de automação estão funcionando conforme o esperado e se refletem os incidentes com os quais você está preocupado e nos quais está interessado. - Verifique se os guias estratégicos estão respondendo a alertas e incidentes conforme o esperado. |
| ✅Adicionar dados a watchlists | Verifique se as watchlists estão atualizadas. Se tiver ocorrido alguma alteração no ambiente, como novos usuários ou casos de uso, atualize as watchlists adequadamente. |
| ✅Examinar os níveis de compromisso | Examinar os níveis de compromisso que você definiu inicialmente e verifique se esses níveis refletem a configuração atual. |
| ✅Controlar os custos de ingestão | Para controlar os custos de ingestão, use uma destas pastas de trabalho: - A pasta de trabalho de Relatório de Uso do Workspace fornece o consumo de dados, o custo e as estatísticas de uso do workspace. A pasta de trabalho fornece o status de ingestão de dados e a quantidade de dados gratuitos e faturáveis do workspace. Você pode usar a lógica da pasta de trabalho para monitorar os custos e a ingestão de dados, bem como para criar exibições personalizadas e alertas baseados em regras. - A pasta de trabalho Custo do Microsoft Sentinel fornece uma visão mais focada dos custos do Microsoft Sentinel, incluindo dados de ingestão e retenção, dados de ingestão para fontes de dados elegíveis, informações de faturamento dos Aplicativos Lógicos e muito mais. |
| ✅Ajustar as DCRs (Regras de coleta de dados) | - Verifique se os DCRs refletem as necessidades de ingestão de dados e casos de uso. - Se necessário, implemente a transformação no momento da ingestão para filtrar dados irrelevantes antes mesmo de serem armazenados pela primeira vez no workspace. |
| ✅Verificar as regras de análise em relação à estrutura MITRE | Verifique a cobertura do MITRE na página MITRE do Microsoft Sentinel: veja as detecções já ativas no workspace e aquelas disponíveis para configuração e entenda a cobertura de segurança da organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®. |
| ✅Buscar as atividades suspeitas | Verifique se o SOC tem um processo em vigor para busca proativa de ameaças. A busca proativa de ameaças é um processo em que os analistas de segurança buscam ameaças não detectadas e comportamentos mal-intencionados. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam em que agir. As ações podem incluir a criação de novas detecções, a nova inteligência contra ameaças ou a criação de um novo incidente. |
Artigos relacionados
Neste artigo, você examinou as atividades em cada uma das fases que ajudam a implantar o Microsoft Sentinel.
Dependendo da fase em que você está, escolha as próximas etapas apropriadas:
- Planejar e preparar – Pré-requisitos para implantar o Azure Sentinel
- Implantar – Habilitar o Microsoft Sentinel e os recursos e conteúdo iniciais
- Ajustar e revisar – Navegar e investigar incidentes no Microsoft Sentinel
Quando terminar a implantação do Microsoft Sentinel, continue a explorar os recursos do Microsoft Sentinel examinando os tutoriais que abrangem tarefas comuns:
- O que é o data lake do Microsoft Sentinel?
- Encaminhar dados do Syslog para um workspace do Log Analytics com o Microsoft Sentinel usando o Agente do Azure Monitor
- Configurar a retenção no nível da tabela
- Detectar ameaças usando as regras de análise
- Verificar e registrar automaticamente informações sobre a reputação do endereço IP em incidentes
- Responder a ameaças usando automação
- Extrair entidades de incidentes com ação não nativa
- Investigar com o UEBA
- Criar e monitorar a Confiança Zero
Confira o guia operacional do Microsoft Sentinel para ver as atividades regulares do SOC que recomendamos realizar diária, semanal e mensalmente.