Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo discute os diferentes componentes de uma solução Microsoft Sentinel e como eles podem trabalhar juntos para abordar cenários importantes de clientes.
A plataforma Sentinel inclui um data lake, gráfico, trabalhos de notebook Jupyter, um servidor MCP (Model Context Protocol) e dados de mais de 300 conectores Sentinel para ajudar os clientes a centralizar e analisar seus dados de segurança de forma econômica. Esses recursos, além do Microsoft Security Copilot, permitem que clientes e parceiros criem soluções impactantes, que podem ser publicadas por meio da Microsoft Security Store.
O SIEM Sentinel é usado por equipes de operações de segurança (SOC) para gerar deteções, investigar comportamentos mal-intencionados e remediar ameaças. Ao criar conectores Sentinel para trazer novos dados e ao criar conteúdo, como regras de análise, playbooks, consultas de caça, analisadores e pastas de trabalho, os parceiros podem ajudar as equipes de SOC a obter as informações de que precisam para identificar ameaças e responder adequadamente. As soluções SIEM do Sentinel são publicadas através do Content Hub do Sentinel.
Recolha de dados
Se você está criando uma solução que usa componentes da plataforma ou visando uma integração SIEM do Sentinel, é fundamental ter os dados certos para o seu cenário.
Os Conectores Sentinel trazem dados para o Sentinel, que podem ser analisados no lago usando notebooks e trabalhos Jupyter ou endereçados com conteúdo SIEM do Sentinel, como regras de análise e consultas de caça.
Esses dados podem incluir os seguintes tipos:
| Tipo | Description |
|---|---|
| Dados não tratados | Suporta deteções e processos de caça. Analise dados operacionais brutos nos quais sinais de atividade maliciosa podem estar presentes. Traga dados não processados para o Microsoft Sentinel para usar os recursos internos de busca e deteção do Microsoft Sentinel para identificar novas ameaças e muito mais. Exemplos: dados Syslog, dados CEF sobre Syslog, aplicativos, firewall, autenticação ou logs de acesso e muito mais. |
| Conclusões de segurança | Cria visibilidade de alerta e oportunidade de correlação. Alertas e deteções são conclusões que já foram feitas sobre ameaças. Contextualizar as deteções com todas as atividades e outras deteções visíveis nas investigações do Microsoft Sentinel, economiza tempo para os analistas e cria uma imagem mais completa de um incidente, resultando em melhor priorização e melhores decisões. Exemplos: alertas antimalware, processos suspeitos, comunicação com hosts maliciosos conhecidos, tráfego de rede que foi bloqueado e por quê, logons suspeitos, ataques de spray de senha detetados, ataques de phishing identificados, eventos de exfiltração de dados e muito mais. |
| Dados de referência | Cria contexto com ambientes referenciados, economizando esforço de investigação e aumentando a eficiência. Exemplos: CMDBs, bancos de dados de ativos de alto valor, bancos de dados de dependência de aplicativos, logs de atribuição de IP, coleções de inteligência de ameaças para enriquecimento e muito mais. |
| Informações sobre ameaças | Potencia a deteção de ameaças, contribuindo com indicadores de ameaças conhecidas. As informações sobre ameaças podem incluir indicadores atuais que representam ameaças imediatas ou indicadores históricos que são mantidos para prevenção futura. Os conjuntos de dados históricos geralmente são grandes e são melhor referenciados ad-hoc, em vez de importá-los diretamente para o Microsoft Sentinel. |
Analisadores
Os analisadores são funções KQL que transformam dados personalizados de produtos de terceiros em um esquema ASIM normalizado. A normalização garante que os analistas SOC não precisem aprender detalhes sobre novos esquemas e, em vez disso, criar regras analíticas e procurar consultas no esquema normalizado com o qual já estão familiarizados. Analise os esquemas ASIM disponíveis fornecidos pelo Microsoft Sentinel para identificar esquemas ASIM relevantes (um ou mais) para seus dados, a fim de garantir uma integração mais fácil para analistas SOC e garantir que o conteúdo de segurança existente escrito para o esquema ASIM seja aplicável imediatamente aos dados do produto. Para obter mais informações sobre os esquemas ASIM disponíveis, consulte Esquemas ASIM (Advanced Security Information Model).
Visualização
Você pode incluir visualizações para ajudar os clientes a gerenciar e entender seus dados, incluindo exibições gráficas de como os dados fluem para o Microsoft Sentinel e como eles contribuem efetivamente para as deteções.
Você pode incluir visualizações para ajudar os clientes a gerenciar e entender seus dados, incluindo exibições gráficas de como os dados fluem para o Microsoft Sentinel e como eles contribuem efetivamente para as deteções.
Monitorização e deteção
Os recursos de monitoramento e deteção do Sentinel criam deteções automatizadas para ajudar os clientes a dimensionar a experiência de sua equipe SOC.
As seções a seguir descrevem os elementos de monitoramento e deteção que você pode incluir em sua solução.
Agentes do Copilot de Segurança
Os agentes do Security Copilot automatizam tarefas repetitivas e reduzem as cargas de trabalho manuais. Eles melhoram a segurança e as operações de TI na nuvem, segurança e privacidade de dados, identidade e segurança de rede. Para o Sentinel, os agentes podem consultar o SIEM ou o data lake e chamar APIs para enriquecer os dados do Microsoft Sentinel. Eles podem utilizar trabalhos de notebook para processamento ou análise intensiva de dados e utilizar qualquer número de plug-ins.
Tarefas de Jupyter notebook
Os trabalhos de notebook Jupyter fornecem ferramentas poderosas para executar transformações de dados complexas e modelos de aprendizado de máquina usando trabalhos do Spark no Sentinel Data lake. Eles podem ser usados por agentes do Security Copilot para fornecer um meio determinístico e eficiente de realizar análise e sumarização de dados e executar em uma base contínua. Os trabalhos de notebooks podem gravar tabelas de dados personalizadas no nível analítico e no data lake para serem usadas por componentes a jusante, como agentes, cadernos, consultas de investigação e outros.
Regras de análise
As regras do Google Analytics são deteções sofisticadas que podem criar alertas precisos e significativos.
Adicione regras de análise à sua solução para ajudar os seus clientes a beneficiarem dos dados do seu sistema no Microsoft Sentinel. Por exemplo, as regras de análise podem ajudar a fornecer conhecimento e informações sobre as atividades que podem ser detetadas nos dados fornecidos pela integração.
Eles podem emitir alertas (eventos notáveis), incidentes (unidades de investigação) ou acionar scripts de automação.
Você pode adicionar regras de análise incluindo-as em uma solução e por meio da comunidade Microsoft Sentinel ThreatHunters. Contribua através da comunidade para incentivar a criatividade da comunidade sobre dados de origem de parceiros, ajudando os clientes com deteções mais confiáveis e eficazes.
Consultas de pesquisa
As consultas de caça permitem que os analistas SOC procurem proativamente novas anomalias que não são detetadas pelas regras de análise agendadas no momento. As consultas de prospeção guiam os analistas SOC a fazerem as perguntas certas para detetar problemas a partir dos dados que já estão disponíveis no Microsoft Sentinel e ajudam-nos a identificar cenários de ameaças potenciais. Ao incluir consultas de busca, você pode ajudar os clientes a encontrar ameaças desconhecidas nos dados fornecidos.
Livros
As pastas de trabalho fornecem relatórios e painéis interativos que ajudam os usuários a visualizar dados de segurança e identificar padrões nos dados. A necessidade de pastas de trabalho depende do caso de uso específico. Ao projetar sua solução, pense em cenários que podem ser melhor explicados visualmente, especialmente para cenários para acompanhar o desempenho.
Investigação
O gráfico de investigação Sentinel fornece aos investigadores dados relevantes quando deles necessitam, proporcionando visibilidade sobre incidentes de segurança e alertas através de entidades ligadas. Os investigadores podem usar o gráfico de investigação para encontrar eventos relevantes ou relacionados, contribuindo para a ameaça que está sob investigação.
Os parceiros podem contribuir para o gráfico de investigação fornecendo:
- Alertas e incidentes do Microsoft Sentinel, criados através de regras de análise em soluções de parceiros.
- Consultas de exploração personalizadas para dados fornecidos pelo parceiro. Consultas de exploração personalizadas fornecem exploração avançada e conectividade entre dados e insights para investigadores de segurança.
Resposta
Os playbooks suportam fluxos de trabalho com automação avançada, executando tarefas relacionadas à segurança em ambientes de clientes. Eles são fundamentais para garantir que os analistas SOC não sejam sobrecarregados por itens táticos e possam se concentrar na causa raiz mais estratégica e profunda das vulnerabilidades. Por exemplo, se um alerta de alta gravidade for detetado, um manual pode iniciar automaticamente uma série de ações, como notificar a equipe de segurança, isolar os sistemas afetados e coletar logs relevantes para análise posterior.
Por exemplo, os playbooks podem ajudar de qualquer uma das seguintes maneiras e muito mais:
- Ajudar os clientes a configurar políticas de segurança em produtos de parceiros
- Recolha de dados adicionais para fundamentar decisões de investigação
- Vinculando incidentes do Microsoft Sentinel a sistemas de gerenciamento externos
- Integração do gerenciamento do ciclo de vida de alertas em soluções de parceiros
Ao projetar sua solução, pense nas ações automatizadas que podem ser tomadas para resolver incidentes criados pelas regras analíticas definidas em sua solução.
Exemplos de cenários do Sentinel SIEM
As seções a seguir descrevem cenários de parceiros comuns e recomendações sobre o que incluir em uma solução para cada cenário.
O seu produto gera dados importantes para as investigações de segurança
Cenário: seu produto gera dados que podem informar investigações de segurança.
Exemplo: Os produtos que fornecem alguma forma de dados de log incluem firewalls, agentes de segurança de aplicativos em nuvem, sistemas de acesso físico, saída Syslog, aplicativos LOB comercialmente disponíveis e construídos pela empresa, servidores, metadados de rede, qualquer coisa entregue em Syslog no formato Syslog ou CEF ou por API REST no formato JSON.
Como usar seus dados no Microsoft Sentinel: importe os dados do seu produto para o Microsoft Sentinel por meio de um conector de dados para fornecer análises, buscas, investigações, visualizações e muito mais.
O que criar: Para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Obrigatório | - Um conector de dados Microsoft Sentinel para entregar os dados e vincular outras personalizações no portal. Consultas de dados de exemplo |
| Recomendadas | - Livros de trabalho - Regras de análise, para criar deteções com base nos seus dados no Microsoft Sentinel |
| Opcional | - Consultas de caça, para fornecer aos caçadores consultas prontas para usar na caça - Cadernos, para proporcionar uma experiência de caça totalmente guiada e repetível |
Seu produto fornece deteções
Cenário: seu produto fornece deteções que complementam alertas e incidentes de outros sistemas
Exemplos: Antimalware, soluções de deteção e resposta empresarial, soluções de deteção e resposta de rede, soluções de segurança de e-mail, como produtos antiphishing, verificação de vulnerabilidades, soluções de gerenciamento de dispositivos móveis, soluções UEBA, serviços de proteção de informações e assim por diante.
Como usar seus dados no Microsoft Sentinel: disponibilize suas deteções, alertas ou incidentes no Microsoft Sentinel para mostrá-los em contexto com outros alertas e incidentes que possam estar ocorrendo nos ambientes de seus clientes. Considere também fornecer os logs e metadados que alimentam suas deteções, como contexto extra para investigações.
O que criar: Para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Obrigatório | Um conector de dados do Microsoft Sentinel para fornecer os dados e vincular outras personalizações no portal. |
| Recomendadas | Regras do Google Analytics para criar incidentes do Microsoft Sentinel a partir de suas deteções que são úteis em investigações |
O seu produto fornece indicadores de inteligência sobre ameaças
Cenário: seu produto fornece indicadores de inteligência contra ameaças que podem fornecer contexto para eventos de segurança que ocorrem nos ambientes dos clientes
Exemplos: plataformas TIP, coleções STIX/TAXII e fontes públicas ou licenciadas de informações sobre ameaças. Dados de referência, como WhoIS, GeoIP ou domínios recém-observados.
Como usar seus dados no Microsoft Sentinel: forneça indicadores atuais ao Microsoft Sentinel para uso em plataformas de deteção da Microsoft. Use conjuntos de dados históricos ou de grande escala para cenários de enriquecimento, via acesso remoto.
O que criar: Para este cenário, inclua os seguintes elementos na sua solução:
| Tipo | Elementos a incluir |
|---|---|
| Informações atuais sobre ameaças | Crie um conector de dados GSAPI para enviar indicadores por push para o Microsoft Sentinel. Forneça um servidor TAXII STIX 2.0 ou 2.1 que os clientes possam usar com o conector de dados TAXII pronto para uso. |
| Indicadores históricos e/ou conjuntos de dados de referência | Forneça um conector de aplicativo lógico para acessar os dados e um manual de fluxo de trabalho de enriquecimento que direcione os dados para os locais corretos. |
Seu produto fornece contexto extra para investigações
Cenário: seu produto fornece dados contextuais extras para investigações baseadas no Microsoft Sentinel.
Exemplos: CMDBs de contexto extra, bancos de dados de ativos de alto valor, bancos de dados VIP, bancos de dados de dependência de aplicativos, sistemas de gerenciamento de incidentes, sistemas de tíquetes
Como usar seus dados no Microsoft Sentinel: use seus dados no Microsoft Sentinel para enriquecer alertas e incidentes.
O que criar: Para este cenário, inclua os seguintes elementos na sua solução:
- Um conector de aplicativo lógico
- Um manual de fluxo de trabalho de enriquecimento
- Um fluxo de trabalho de gerenciamento do ciclo de vida de incidentes externos (opcional)
O seu produto pode implementar políticas de segurança
Cenário: Seu produto pode implementar políticas de segurança no Azure Policy e em outros sistemas
Exemplos: Firewalls, NDR, EDR, MDM, Soluções de identidade, Soluções de acesso condicional, Soluções de acesso físico ou outros produtos que suportam políticas de segurança de bloqueio/permissão ou outras políticas de segurança acionáveis
Como usar seus dados no Microsoft Sentinel: ações e fluxos de trabalho do Microsoft Sentinel que permitem correções e respostas a ameaças
O que criar: Para este cenário, inclua os seguintes elementos na sua solução:
- Um conector de aplicativo lógico
- Um manual de fluxo de trabalho de ação
Referências para começar
Todas as integrações do Microsoft Sentinel SIEM começam com o Microsoft Sentinel GitHub Repository and Contribution Guidance.
Quando estiver pronto para começar a trabalhar em sua solução Microsoft Sentinel, encontre instruções para enviar, empacotar e publicar no Guia para criar soluções Microsoft Sentinel.
Chegar ao mercado
A Microsoft oferece os programas para ajudar os parceiros a abordar os clientes da Microsoft:
Microsoft Partner Network (MPN). O principal programa de parceria com a Microsoft é o Microsoft Partner Network. A associação ao MPN é necessária para se tornar um editor do Azure Marketplace, que é onde todas as soluções do Microsoft Sentinel são publicadas.
Azure Marketplace. As soluções Microsoft Sentinel são fornecidas através do Azure Marketplace, que é onde os clientes descobrem e implementam integrações gerais do Azure fornecidas pela Microsoft e por parceiros.
As soluções Microsoft Sentinel são um dos muitos tipos de ofertas encontradas no Marketplace. Você também pode encontrar as ofertas de solução incorporadas no hub de conteúdo do Microsoft Sentinel
Associação de Segurança Inteligente da Microsoft (MISA). O MISA fornece aos Parceiros de Segurança da Microsoft ajuda na criação de consciência sobre integrações criadas por parceiros com clientes da Microsoft e ajuda a fornecer capacidade de descoberta para integrações de produtos de Segurança da Microsoft.
A adesão ao programa MISA requer uma nomeação de uma Equipa de Produtos de Segurança Microsoft participante. A construção de qualquer uma das seguintes integrações pode qualificar parceiros para nomeação:
- Um conector de dados do Microsoft Sentinel e conteúdo associado, como pastas de trabalho, consultas de exemplo e regras de análise
- Conector de aplicativos lógicos publicados e playbooks do Microsoft Sentinel
- Integrações de API, caso a caso
Para solicitar uma revisão de nomeação MISA ou para dúvidas, entre em contato com AzureSentinelPartner@microsoft.com.
Próximos passos
Para obter mais informações, consulte:
Recolha de dados:
- Melhores práticas da recolha de dados
- Conectores de dados do Microsoft Sentinel
- Encontrar o seu conector de dados do Microsoft Sentinel
- Compreender a inteligência sobre ameaças no Microsoft Sentinel
Deteção de ameaças:
- Automatize o tratamento de incidentes no Microsoft Sentinel com regras de automação
- Investigar incidentes com o Microsoft Sentinel
- Automatize a resposta a ameaças com playbooks no Microsoft Sentinel
Caça e cadernos
- Procure ameaças com o Microsoft Sentinel
- Gerir consultas de procura e transmissão em direto no Microsoft Sentinel com a API REST
- Use blocos de anotações Jupyter para caçar ameaças à segurança
Visualização: Visualize os dados coletados.
Investigação: investigue incidentes com o Microsoft Sentinel.
Resposta: