Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo discute os diferentes componentes de uma solução do Microsoft Sentinel e como eles podem trabalhar juntos para abordar cenários importantes do cliente.
A plataforma Sentinel inclui um data lake, grafo, trabalhos de notebook Jupyter, um servidor MCP (Model Context Protocol) e dados de mais de 300 conectores do Sentinel para ajudar os clientes a centralizar e analisar seus dados de segurança de maneira econômica. Esses recursos mais o Microsoft Security Copilot permitem que clientes e parceiros criem soluções impactantes, que podem ser publicadas por meio da Microsoft Security Store.
O SIEM do Sentinel é usado pelas equipes do SOC (Operações de Segurança) para gerar detecções, investigar comportamentos mal-intencionados e corrigir ameaças. Criando conectores do Sentinel para trazer novos dados e criando conteúdo como regras de análise, guias estratégicos, consultas de busca, analisadores e pastas de trabalho, os parceiros podem ajudar as equipes do SOC a obter informações necessárias para identificar ameaças e responder adequadamente. As soluções SIEM do Sentinel são publicadas por meio do Hub de Conteúdo do Sentinel.
Coleta de dados
Se você estiver criando uma solução que usa componentes de plataforma ou focando em uma integração do Sentinel SIEM, é essencial ter os dados certos para o seu cenário.
Os Conectores do Sentinel trazem dados para o Sentinel, que podem ser analisados no data lake usando notebooks Jupyter e trabalhos ou tratados com conteúdo SIEM do Sentinel, como regras de análise e consultas de busca.
Esses dados podem incluir os seguintes tipos:
| Tipo | Descrição |
|---|---|
| Dados não processados | Fornece suporte a detecções e processos de busca. Analise dados operacionais brutos nos quais sinais de atividade maliciosa possam estar presentes. Insira dados não processados no Microsoft Sentinel para usar os recursos internos de busca e detecção a fim de identificar novas ameaças e muito mais. Exemplos: dados de Syslog, dados de CEF sobre Syslog, logs de aplicativo, firewall, autenticação ou acesso e muito mais. |
| Conclusões de segurança | Cria visibilidade de alerta e oportunidade de correlação. Alertas e detecções são conclusões que já foram feitas sobre ameaças. Colocar as detecções em contexto com todas as atividades e outras detecções visíveis nas investigações do Microsoft Sentinel economiza tempo dos analistas e cria uma noção mais completa de um incidente, resultando em melhor priorização e melhores decisões. Exemplos: alertas antimalware, processos suspeitos, comunicação com hosts conhecidos como ruins, tráfego de rede que foi bloqueado e o motivo, logons suspeitos, ataques de spray de senha detectados, ataques de phishing identificados, eventos de exfiltração de dados e muito mais. |
| Dados de referência | Cria contexto com ambientes referenciados, economizando esforços de investigação e aumentando a eficiência. Exemplos: CMDBs, bancos de dados de ativos de alto valor, bancos de dados de dependência de aplicativo, logs de atribuição de IP, coleções de inteligência contra ameaças para enriquecimento e muito mais. |
| Inteligência contra ameaças | Potencializa a detecção de ameaças contribuindo com indicadores de ameaças conhecidas. A inteligência contra ameaças pode incluir indicadores atuais que representam ameaças imediatas ou indicadores históricos que são mantidos para prevenção futura. Os conjuntos de dados históricos geralmente são grandes e melhor referenciados de maneira ad hoc e no local, em vez de através da importação direta no Microsoft Sentinel. |
Analisadores
Analisadores são funções KQL que transformam dados personalizados de produtos de terceiros em um esquema ASIM normalizado. A normalização garante que os analistas do SOC não precisem aprender detalhes sobre novos esquemas e, em vez disso, criar regras analíticas e consultas de busca no esquema normalizado com o qual já estão familiarizados. Examine os esquemas ASIM disponíveis fornecidos pelo Microsoft Sentinel para identificar esquemas ASIM relevantes (um ou mais) para seus dados para garantir uma integração mais fácil para os analistas SOC e garantir que o conteúdo de segurança existente gravado para o esquema ASIM seja aplicável pronto para seus dados do produto. Para obter mais informações sobre os esquemas ASIM disponíveis, consulte os esquemas do ASIM (Advanced Security Information Model).
Visualização
Você pode incluir visualizações para ajudar os clientes a gerenciar e entender seus dados, incluindo exibições gráficas de como os dados fluem bem para o Microsoft Sentinel e a eficiência com que eles contribuem para detecções.
Você pode incluir visualizações para ajudar os clientes a gerenciar e entender seus dados, incluindo exibições gráficas de como os dados fluem bem para o Microsoft Sentinel e a eficiência com que eles contribuem para detecções.
Monitoramento e detecção
Os recursos de monitoramento e detecção do Sentinel criam detecções automatizadas para ajudar os clientes a dimensionar a experiência da equipe do SOC.
As seções a seguir descrevem elementos de monitoramento e detecção que você pode incluir em sua solução.
Agentes do Copilot de Segurança
Os agentes do Copilot de Segurança automatizam tarefas repetitivas e reduzem cargas de trabalho manuais. Melhoram as operações de segurança e TI na nuvem, segurança de dados e privacidade, identidade e segurança de rede. Para o Sentinel, os agentes podem consultar o SIEM ou o data lake e chamar APIs para enriquecer os dados do Microsoft Sentinel. Eles podem utilizar trabalhos de notebook para processamento ou análise de dados intensivos e utilizar qualquer número de plug-ins.
Trabalhos no Jupyter Notebook
Os trabalhos do Jupyter Notebook fornecem ferramentas avançadas para executar transformações de dados complexas e executar modelos de machine learning usando trabalhos do Spark no Sentinel Data lake. Eles podem ser usados por agentes do Security Copilot para proporcionar um meio determinístico e eficiente de realizar análise e resumo de dados, operando de forma contínua. Os trabalhos de notebook podem gravar tabelas de dados personalizadas na camada de análise e no data lake para serem usadas por componentes downstream, como agentes, pastas de trabalho, consultas de busca e outros.
Regras de análise
As regras de análise são detecções sofisticadas que podem criar alertas precisos e significativos.
Adicione regras de análise à sua solução para ajudar seus clientes a se beneficiarem de dados do seu sistema no Microsoft Sentinel. Por exemplo, as regras de análise podem ajudar a fornecer conhecimentos e insights sobre as atividades que podem ser detectadas nos dados fornecidos pela integração.
Eles podem gerar alertas (eventos notáveis), incidentes (unidades de investigação) ou disparar guias estratégicos de automação.
É possível adicionar regras de análise incluindo-as em uma solução e por meio da comunidade ThreatHunters do Microsoft Sentinel. Contribua com a comunidade para incentivar a criatividade com relação aos dados fornecidos por parceiros e para ajudar os clientes com detecções mais confiáveis e eficazes.
Consultas de busca
As consultas de busca permitem que os analistas do SOC busquem proativamente novas anomalias que não são detectadas pelas regras de análise agendadas atualmente. As Consultas de busca orientam os analistas do SOC a fazerem as perguntas certas para encontrarem problemas dos dados que já estão disponíveis no Microsoft Sentinel e os ajuda a identificarem possíveis cenários de ameaça. Ao incluir consultas de busca, você pode ajudar os clientes a encontrar ameaças desconhecidas nos dados fornecidos.
Pastas de Trabalho
As pastas de trabalho fornecem relatórios interativos e dashboards que ajudam os usuários a visualizar dados de segurança e identificar padrões dentro dos dados. A necessidade de pastas de trabalho depende do caso de uso específico. Ao projetar sua solução, pense em cenários que podem ser melhor explicados visualmente, especialmente para cenários para acompanhar o desempenho.
Investigação
O grafo de investigação do Sentinel fornece aos investigadores dados relevantes quando eles precisam, fornecendo visibilidade sobre incidentes de segurança e alertas por meio de entidades conectadas. Os investigadores podem usar o gráfico de investigação para encontrar eventos relevantes ou relacionados que contribuem para a ameaça que está sob investigação.
Os parceiros podem contribuir com o gráfico de investigação fornecendo:
- Alertas e incidentes do Microsoft Sentinel, criados por meio de regras de análise em soluções de parceiros.
- Consultas de exploração personalizadas para os dados fornecidos pelo parceiro. As consultas de exploração personalizadas fornecem exploração e conectividade aprimoradas entre dados e insights para investigadores de segurança.
Resposta
Os playbooks dão suporte a fluxos de trabalho com automação rica, executando tarefas relacionadas à segurança em ambientes de cliente. Eles são fundamentais para garantir que os analistas do SOC não sejam sobrecarregados por itens táticos e possam se concentrar na causa raiz mais estratégica e mais profunda das vulnerabilidades. Por exemplo, se um alerta de alta gravidade for detectado, um guia estratégico poderá iniciar automaticamente uma série de ações, como notificar a equipe de segurança, isolar sistemas afetados e coletar logs relevantes para análise posterior.
Por exemplo, os guias estratégicos podem ajudar de qualquer uma das seguintes maneiras e muito mais:
- Ajudar os clientes a configurar políticas de segurança em produtos de parceiros
- Coletar dados extras para informar decisões investigativas
- Vincular incidentes do Microsoft Sentinel a sistemas de gerenciamento externos
- Integrar o gerenciamento de ciclo de vida de alertas em soluções de parceiros
Ao projetar sua solução, pense nas ações automatizadas que podem ser tomadas para resolver incidentes criados pelas regras analíticas definidas em sua solução.
Exemplos de cenário de SIEM do Sentinel
As seções a seguir descrevem cenários comuns de parceiros e recomendações para o que incluir em uma solução para cada cenário.
Seu produto gera dados importantes para investigações de segurança
Cenário: seu produto gera dados que podem informar investigações de segurança.
Exemplo: os produtos que fornecem alguma forma de dados de log incluem firewalls, agentes de segurança de aplicativos em nuvem, sistemas de acesso físico, saída de Syslog, aplicativos LOB comercialmente disponíveis e incorporados à empresa, servidores, metadados de rede e qualquer coisa entregue por Syslog em formato Syslog ou CEF ou por API REST em formato JSON.
Como usar seus dados no Microsoft Sentinel: importe os dados do seu produto para o Microsoft Sentinel por meio de um conector de dados para fornecer análises, buscas, investigações, visualizações e muito mais.
O que compilar: nesse cenário, inclua os seguintes elementos em sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Necessário | - Um conector de dados do Microsoft Sentinel para entregar os dados e vincular outras personalizações no portal. Consultas de dados de exemplo |
| Recomendado | - Pastas de trabalho - Regras de análise, para criar detecções com base em seus dados no Microsoft Sentinel |
| Opcional | - Consultas de busca, para fornecer consultas prontas para uso durante a busca - Notebooks, para oferecer uma experiência de busca totalmente guiada e replicável |
Seu produto fornece detecções
Cenários: seu produto fornece detecções que complementam alertas e incidentes de outros sistemas
Exemplos: Soluções antimalware, detecção e resposta corporativa, soluções de detecção e resposta de rede, soluções de segurança de email, como produtos anti-phishing, verificação de vulnerabilidades, soluções de gerenciamento de dispositivo móvel, soluções UEBA, serviços de proteção de informações e assim por diante.
Como usar seus dados no Microsoft Sentinel: disponibilize suas detecções, alertas ou incidentes no Microsoft Sentinel para mostrá-los em contexto com outros alertas e incidentes que possam estar ocorrendo nos ambientes de seus clientes. Considere também fornecer os logs e os metadados que alimentam suas detecções como contexto extra para investigações.
O que compilar: nesse cenário, inclua os seguintes elementos em sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Necessário | Um conector de dados do Microsoft Sentinel para entregar os dados e vincular outras personalizações no portal. |
| Recomendado | Regras de análise, para criar incidentes do Microsoft Sentinel em suas detecções que são úteis em investigações |
Seu produto fornece indicadores de inteligência contra ameaças
Cenário: seu produto fornece indicadores de inteligência contra ameaças que podem fornecer contexto para eventos de segurança que ocorrem nos ambientes dos clientes
Exemplos: plataformas TIP, coleções STIX/TAXII e fontes de inteligência contra ameaças públicas ou licenciadas. Dados de referência, como WhoIS, GeoIP ou domínios recentemente observados.
Como usar seus dados no Microsoft Sentinel: forneça indicadores atuais ao Microsoft Sentinel para uso em todas as plataformas de detecção da Microsoft. Use conjuntos de dados históricos ou de grande escala para cenários de enriquecimento, por meio de acesso remoto.
O que compilar: nesse cenário, inclua os seguintes elementos em sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Inteligência contra ameaças atual | Crie um conector de dados GSAPI para enviar indicadores ao Microsoft Sentinel. Forneça um servidor TAXII STIX 2.0 ou 2.1 que os clientes possam usar com o conector de dados TAXII pronto para uso. |
| Indicadores históricos e/ou conjuntos de dados de referência | Forneça um conector de aplicativo lógico para acessar os dados e um guia estratégico de fluxo de trabalho de enriquecimento que direcione os dados aos locais corretos. |
Seu produto fornece contexto extra para investigações
Cenário: seu produto fornece dados contextuais extras para investigações baseadas no Microsoft Sentinel.
Exemplos: CMDBs de contexto extra, bancos de dados de ativos de alto valor, bancos de dados VIP, bancos de dados de dependência de aplicativo, sistemas de gerenciamento de incidentes, sistemas de tíquete
Como usar seus dados no Microsoft Sentinel: use seus dados no Microsoft Sentinel para enriquecer alertas e incidentes.
O que compilar: nesse cenário, inclua os seguintes elementos em sua solução:
- Um conector de Aplicativo Lógico
- Um guia estratégico de fluxo de trabalho de enriquecimento
- Um fluxo de trabalho de gerenciamento de ciclo de vida de incidente externo (opcional)
Seu produto pode implementar políticas de segurança
Cenário: seu produto pode implementar políticas de segurança no Azure Policy e em outros sistemas
Exemplos: firewalls, NDR, EDR, MDM, soluções de identidade, soluções de acesso condicional, soluções de acesso físico ou outros produtos que suportam bloquear/permitir ou outras políticas de segurança acionáveis
Como usar seus dados no Microsoft Sentinel: ações e fluxos de trabalho do Microsoft Sentinel que permitem correções e respostas a ameaças
O que compilar: nesse cenário, inclua os seguintes elementos em sua solução:
- Um conector de Aplicativo Lógico
- Um guia estratégico de fluxo de trabalho de ação
Referências para começar
Todas as integrações de SIEM do Microsoft Sentinel começam com o Repositório GitHub do Microsoft Sentinel e as Diretrizes de Contribuição.
Quando estiver pronto para começar a trabalhar em sua solução Microsoft Sentinel, confira o Guia para compilar as soluções Microsoft Sentinel e obtenha instruções de envio, empacotamento e publicação.
Como entrar no mercado
A Microsoft oferece programas para ajudar os parceiros a abordar os clientes da Microsoft:
MPN (Microsoft Partner Network). O principal programa para a parceria com a Microsoft é o Microsoft Partner Network. A associação ao MPN é necessária para se tornar um editor do Azure Marketplace, onde todas as soluções do Microsoft Sentinel são publicadas.
Azure Marketplace. As soluções Microsoft Sentinel são fornecidas por meio do Azure Marketplace, que é acessado pelos clientes que desejam descobrir e implantar integrações gerais do Azure fornecidas pela Microsoft e por parceiros.
As soluções Microsoft Sentinel são um dos muitos tipos de ofertas encontradas no Marketplace. Também é possível encontrar as ofertas de soluções incorporadas no hub de conteúdo do Microsoft Sentinel
MISA (Associação de Segurança Inteligente da Microsoft). O MISA ajuda os Parceiros de Segurança da Microsoft na conscientização de clientes da Microsoft sobre suas integrações e ajuda a fornecer capacidade de descoberta para integrações de produtos de Segurança da Microsoft.
A adesão ao programa MISA requer uma indicação de uma equipe de produto de segurança da Microsoft participante. A criação de qualquer uma das seguintes integrações pode qualificar os parceiros para indicação:
- Um conector de dados do Microsoft Sentinel e conteúdos associados, como pastas de trabalho, consultas de amostra e regras de análise
- Conector de Aplicativos Lógicos publicados e guias estratégicos do Microsoft Sentinel
- Integrações de API, caso a caso
Para solicitar uma revisão de indicação ao MISA ou tirar dúvidas, entre em contato com AzureSentinelPartner@microsoft.com.
Próximas etapas
Para obter mais informações, consulte:
Coleta de dados:
- Melhores práticas de coleta de dados
- Conectores de dados do Microsoft Azure Sentinel
- Encontrar o conector de dados do Microsoft Sentinel
- Noções básicas da inteligência contra ameaças no Microsoft Sentinel
Detecção de ameaças:
- Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação
- Investigue incidentes com o Microsoft Azure Sentinel
- Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
Busca e notebooks
- Procurar ameaças com o Microsoft Azure Sentinel
- Gerenciar consultas de busca e transmissão ao vivo no Microsoft Sentinel usando a API REST
- Usar o Jupyter Notebooks para procurar ameaças à segurança
Visualização: veja os dados coletados.
Investigação: investigue incidentes com o Microsoft Sentinel.
Resposta: