Inteligência de ameaças cibernéticas com o Azure SentinelCyber threat intelligence with Azure Sentinel

Este artigo descreve como uma solução de Gerenciamento de Informações de Segurança e Eventos (SIEM) baseada na nuvem, como o Azure Sentinel, pode usar indicadores de ameaças para detectar, fornecer contexto e informar respostas a ameaças cibernéticas existentes ou potenciais.This article describes how a cloud-based Security Information and Event Management (SIEM) solution like Azure Sentinel can use threat indicators to detect, provide context, and inform responses to existing or potential cyber threats.

A inteligência de ameaças cibernéticas (CTI) pode vir de muitas fontes, como feeds de dados de código aberto, comunidades de compartilhamento de inteligência de ameaças, feeds de inteligência pagos e investigações de segurança dentro das organizações.Cyber threat intelligence (CTI) can come from many sources, such as open-source data feeds, threat intelligence sharing communities, paid intelligence feeds, and security investigations within organizations. O CTI pode variar desde relatórios escritos sobre as motivações, infra-estrutura e técnicas de um ator de ameaças até observações específicas de endereços IP, domínios e hashes de arquivos.CTI can range from written reports on a threat actor's motivations, infrastructure, and techniques, to specific observations of IP addresses, domains, and file hashes. A CTI fornece contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger pessoas e ativos.CTI provides essential context for unusual activity, so security personnel can act quickly to protect people and assets.

O CTI mais utilizado em soluções SIEM como o Azure Sentinel são os dados dos indicadores de ameaça, às vezes chamados de Indicadores de Comprometimento (IoCs).The most utilized CTI in SIEM solutions like Azure Sentinel is threat indicator data, sometimes called Indicators of Compromise (IoCs). Indicadores de ameaça associam URLs, hashes de arquivos, endereços IP e outros dados com atividades de ameaça conhecidas, como phishing, botnets ou malware.Threat indicators associate URLs, file hashes, IP addresses, and other data with known threat activity like phishing, botnets, or malware. Essa forma de inteligência de ameaças é frequentemente chamada de inteligência tática de ameaças, porque os produtos de segurança e a automação podem usá-la em grande escala para proteger e detectar ameaças em potencial.This form of threat intelligence is often called tactical threat intelligence, because security products and automation can use it in large scale to protect and detect potential threats. O Azure Sentinel pode ajudar a detectar, responder e fornecer contexto CTI para atividades cibernéticas maliciosas.Azure Sentinel can help detect, respond to, and provide CTI context for malicious cyber activity.

Possíveis casos de usoPotential use cases

  • Conecte-se aos dados do indicador de ameaças de código aberto de servidores públicos para identificar, analisar e responder à atividade de ameaças.Connect to open-source threat indicator data from public servers to identify, analyze, and respond to threat activity.
  • Use plataformas de inteligência de ameaças existentes ou soluções personalizadas com a API microsoft graph tiIndicators para conectar e controlar o acesso aos dados do indicador de ameaças.Use existing threat intelligence platforms or custom solutions with the Microsoft Graph tiIndicators API to connect and control access to threat indicator data.
  • Fornecer contexto CTI e relatórios para investigadores de segurança e partes interessadas.Provide CTI context and reporting for security investigators and stakeholders.

ArquiteturaArchitecture

Fluxo de dados do Azure Sentinel

Você pode usar o Azure Sentinel para:You can use Azure Sentinel to:

Conectores de dados do indicador de ameaçasThreat indicator data connectors

O Azure Sentinel importa indicadores de ameaça, assim como todos os outros dados de eventos, usando conectores de dados.Azure Sentinel imports threat indicators, just like all other event data, by using data connectors. Os dois conectores de dados do Azure Sentinel para indicadores de ameaça são Threat Intelligence – TAXII e Threat Intelligence Platforms.The two Azure Sentinel data connectors for threat indicators are Threat Intelligence – TAXII and Threat Intelligence Platforms. Você pode usar conectores de dados ou ambos, dependendo de onde sua organização obtém seus dados indicadores de ameaça.You can use either or both data connectors, depending on where your organization gets its threat indicator data. Habilite os conectores de dados em cada espaço de trabalho que você deseja receber os dados.Enable the data connectors in each workspace that you want to receive the data.

Threat Intelligence – conector de dados TAXIIThreat Intelligence – TAXII data connector

O padrão do setor mais amplamente adotado para transmissão cti é o formato de dados STIX e protocolo TAXII.The most widely adopted industry standard for CTI transmission is the STIX data format and TAXII protocol. As organizações que recebem indicadores de ameaça das soluções atuais stix/TAXII versão 2.x podem usar o conector de dados Threat Intelligence – TAXII para importar seus indicadores de ameaça para o Azure Sentinel.Organizations that get threat indicators from current STIX/TAXII version 2.x solutions can use the Threat Intelligence – TAXII data connector to import their threat indicators into Azure Sentinel. O cliente Azure Sentinel TAXII embutido importa inteligência de ameaças de servidores TAXII 2.x.The built-in Azure Sentinel TAXII client imports threat intelligence from TAXII 2.x servers.

Para obter instruções detalhadas para importar dados do indicador de ameaça STIX/TAXII para o Azure Sentinel, consulte Indicadores de ameaça de importação com o conector de dados TAXII.For detailed instructions for importing STIX/TAXII threat indicator data into Azure Sentinel, see Import threat indicators with the TAXII data connector.

Conector de dados de plataformas de inteligência de ameaçasThreat Intelligence Platforms data connector

Muitas organizações usam soluções TIP como MISP, Anomali ThreatStream, ThreatConnect ou Palo Alto Networks MineMeld para agregar feeds de indicadores de ameaças de uma variedade de fontes.Many organizations use TIP solutions like MISP, Anomali ThreatStream, ThreatConnect, or Palo Alto Networks MineMeld to aggregate threat indicator feeds from a variety of sources. As organizações usam o TIP para fazer a curadoria dos dados e, em seguida, escolhem quais indicadores de ameaça se aplicam a várias soluções de segurança, como dispositivos de rede, soluções avançadas de proteção contra ameaças ou SIEMs como o Azure Sentinel.Organizations use the TIP to curate the data, then choose which threat indicators to apply to various security solutions like network devices, advanced threat protection solutions, or SIEMs like Azure Sentinel. O conector de dados Threat Intelligence Platforms permite que as organizações usem sua solução TIP integrada com o Azure Sentinel.The Threat Intelligence Platforms data connector lets organizations use their integrated TIP solution with Azure Sentinel.

O conector de dados Threat Intelligence Platforms usa a API tiIndicators do Microsoft Graph Security.The Threat Intelligence Platforms data connector uses the Microsoft Graph Security tiIndicators API. Qualquer organização que tenha uma DICA personalizada pode usar esse conector de dados para aproveitar a API tiIndicators e enviar indicadores para o Azure Sentinel e para outras soluções de segurança da Microsoft, como o Defender ATP.Any organization that has a custom TIP can use this data connector to leverage the tiIndicators API and send indicators to Azure Sentinel, and to other Microsoft security solutions like Defender ATP.

Para obter instruções detalhadas para importar dados TIP para o Azure Sentinel, consulte Indicadores de ameaça de importação com o conector de dados plataformas.For detailed instructions for importing TIP data into Azure Sentinel, see Import threat indicators with the Platforms data connector.

Registros de indicadores de ameaçaThreat indicator logs

Depois de importar indicadores de ameaça para o Azure Sentinel usando os conectores de dados Threat Intelligence – TAXII ou Threat Intelligence Platforms, você pode visualizar os dados importados na tabela ThreatIntelligenceIndicator em Logs, onde todos os dados de eventos do Azure Sentinel são armazenados.After you import threat indicators into Azure Sentinel by using the Threat Intelligence – TAXII or Threat Intelligence Platforms data connectors, you can view the imported data in the ThreatIntelligenceIndicator table in Logs, where all Azure Sentinel event data is stored. Os recursos do Azure Sentinel, como Analytics e Workbooks, também usam essa tabela.Azure Sentinel features like Analytics and Workbooks also use this table.

Para visualizar os indicadores de ameaça:To view the threat indicators:

  1. No portal Azure,procure e selecione o Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

    Selecione Azure Sentinel

  2. Selecione o espaço de trabalho onde você importou indicadores de ameaça.Select the workspace where you've imported threat indicators.

  3. Na navegação à esquerda, selecione Logs.In the left navigation, select Logs.

  4. Na guia Tabelas, procure e selecione a tabela ThreatIntelligenceIndicator.On the Tables tab, search for and select the ThreatIntelligenceIndicator table.

  5. Selecione o ícone de visualização de dados de visualização ao lado do nome da tabela para ver os dados da tabela.Select the preview data preview data icon next to the table name to see table data.

  6. Selecione Ver no editor de consultae selecione a seta de sibilação à esquerda de qualquer um dos resultados para ver informações como o seguinte exemplo:Select See in query editor, and then select the dropdown arrow to the left of any of the results to see information like the following example:

    Resultado do indicador de ameaça de amostra

Azure Sentinel AnalyticsAzure Sentinel Analytics

O uso mais importante para indicadores de ameaça em soluções SIEM é a análise de energia que combina eventos com indicadores de ameaça para produzir alertas de segurança, incidentes e respostas automatizadas.The most important use for threat indicators in SIEM solutions is to power analytics that match events with threat indicators to produce security alerts, incidents, and automated responses. O Azure Sentinel Analytics cria regras de análise que são acionadas no horário para gerar alertas.Azure Sentinel Analytics creates analytics rules that trigger on schedule to generate alerts. Você expressa parâmetros de regras como consultas e configura a frequência com que a regra é executada, quais resultados de consulta geram alertas e incidentes de segurança e quaisquer respostas automatizadas aos alertas.You express rule parameters as queries, and configure how often the rule runs, what query results generate security alerts and incidents, and any automated responses to the alerts.

Você pode criar novas regras de análise a partir do zero, ou a partir de um conjunto de modelos de regras do Azure Sentinel incorporados que você pode usar como está ou modificar para atender às suas necessidades.You can create new analytics rules from scratch, or from a set of built-in Azure Sentinel rule templates that you can use as-is or modify to meet your needs. Os modelos de regras de análise que correspondem a indicadores de ameaça com dados de eventos são todos intitulados começando com o mapa TI, e todos funcionam da mesma forma.The analytics rule templates that match threat indicators with event data are all titled starting with TI map, and all work similarly. As diferenças são quais tipos de indicadores de ameaça devem ser usados: domínio, e-mail, hash de arquivo, endereço IP ou URL e quais tipos de evento devem ser consoantes.The differences are which type of threat indicators to use: domain, email, file hash, IP address, or URL, and which event types to match against. Cada modelo lista as fontes de dados necessárias para que a regra funcione, para que você possa ver rapidamente se você tiver os eventos necessários já importados no Azure Sentinel.Each template lists the required data sources for the rule to function, so you can see at a glance if you have the necessary events already imported in Azure Sentinel.

Para obter instruções detalhadas para criar uma regra de análise a partir de um modelo, consulte Criar uma regra de análise a partir de um modelo.For detailed instructions for creating an analytics rule from a template, see Create an Analytics rule from a template.

No Azure Sentinel, as regras de análise habilitadas estão na guia Regras ativas da seção Analytics.In Azure Sentinel, enabled analytics rules are on the Active rules tab of the Analytics section. Você pode editar, ativar, desativar, duplicar ou excluir regras ativas.You can edit, enable, disable, duplicate, or delete active rules.

Os alertas de segurança gerados estão na tabela SecurityAlert na seção Logs do Azure Sentinel.Generated security alerts are in the SecurityAlert table in the Logs section of Azure Sentinel. Os alertas de segurança também geram incidentes de segurança, que estão na seção Incidentes.The security alerts also generate security incidents, which are in the Incidents section. As equipes de operações de segurança podem triagem e investigação dos incidentes para determinar respostas apropriadas.Security operations teams can triage and investigate the incidents to determine appropriate responses. Para obter mais informações, consulte Tutorial: Investigue incidentes com o Azure Sentinel.For more information, see Tutorial: Investigate incidents with Azure Sentinel.

Você também pode designar automação para acionar quando as regras geram alertas de segurança.You can also designate automation to trigger when the rules generate security alerts. A automação no Azure Sentinel usa playbooks, alimentados pelo Azure Logic Apps.Automation in Azure Sentinel uses Playbooks, powered by Azure Logic Apps. Para obter mais informações, consulte Tutorial: Configure respostas automatizadas de ameaças no Azure Sentinel.For more information, see Tutorial: Set up automated threat responses in Azure Sentinel.

Azure Sentinel Threat Intelligence WorkbookAzure Sentinel Threat Intelligence Workbook

Os workbooks fornecem poderosos painéis interativos que fornecem insights sobre todos os aspectos do Azure Sentinel.Workbooks provide powerful interactive dashboards that give you insights into all aspects of Azure Sentinel. Você pode usar uma pasta de trabalho do Azure Sentinel para visualizar as principais informações do CTI.You can use an Azure Sentinel workbook to visualize key CTI information. Os modelos fornecidos fornecem um ponto de partida, e você pode facilmente personalizar os modelos para as necessidades de sua empresa, criar novos dashboards que combinam muitas fontes de dados diferentes e visualizar seus dados de maneiras únicas.The provided templates provide a starting point, and you can easily customize the templates for your business needs, create new dashboards that combine many different data sources, and visualize your data in unique ways. As anotações do Azure Sentinel são baseadas em livros de trabalho do Azure Monitor,então documentação e modelos extensos estão disponíveis.Azure Sentinel workbooks are based on Azure Monitor workbooks, so extensive documentation and templates are available.

Para obter instruções detalhadas sobre como visualizar e editar o Azure Sentinel Threat Intelligence Workbook, consulte Exibir e editar o Livro de Trabalho de Inteligência de Ameaças.For detailed instructions on viewing and editing the Azure Sentinel Threat Intelligence Workbook, see View and edit the Threat Intelligence Workbook.

ConsideraçõesConsiderations

  • Os conectores de dados do Azure Sentinel Threat Intelligence estão atualmente em visualização pública.The Azure Sentinel Threat Intelligence data connectors are currently in public preview. Certos recursos podem não ser suportados ou ter recursos restritos.Certain features might not be supported, or might have constrained capabilities.

  • O Azure Sentinel usa o RBAC (Role-Based Access Control, controle de acesso baseado em funções) para atribuir funções incorporadas Contribuinte, Readere Responder a usuários, grupos e serviços Do Azure.Azure Sentinel uses role-based access control (RBAC) to assign built-in roles Contributor, Reader, and Responder to users, groups, and Azure services. Eles podem interagir com as funções do Azure (Proprietário, Contribuinte, Leitor) e Log Analytics (leitor de Log Analytics, colaborador do Log Analytics).These can interact with Azure roles (Owner, Contributor, Reader) and Log Analytics roles (Log Analytics reader, Log Analytics contributor). Você pode criar funções RBAC personalizadas e usar RBAC avançado nos dados que você armazena no Azure Sentinel.You can create custom RBAC roles, and use advanced RBAC on the data you store in Azure Sentinel. Para obter mais informações, consulte Permissões no Azure Sentinel.For more information, see Permissions in Azure Sentinel.

  • O Azure Sentinel é gratuito durante os primeiros 31 dias em qualquer espaço de trabalho do Azure Monitor Log Analytics.Azure Sentinel is free for the first 31 days on any Azure Monitor Log Analytics workspace. Depois disso, você pode usar modelos pay-as-you-go ou reservas de capacidade para os dados que você ingerir e armazenar.After that, you can use Pay-As-You-Go or Capacity Reservations models for the data you ingest and store. Para obter detalhes, consulte os preços do Azure Sentinel.For details, see Azure Sentinel pricing.

AlternativasAlternatives

  • Os indicadores de ameaça fornecem contexto útil em outras experiências do Azure Sentinel, como Hunting e Notebooks.Threat indicators provide useful context in other Azure Sentinel experiences like Hunting and Notebooks. Para obter mais informações sobre como usar cti em notebooks, consulte Jupyter Notebooks no Sentinel.For more information about using CTI in Notebooks, see Jupyter Notebooks in Sentinel.

  • Qualquer organização que tenha uma DICA personalizada pode usar a API tiIndicators de segurança do Gráfico do Microsoft para enviar indicadores de ameaça para outras soluções de segurança da Microsoft, como o Defender ATP.Any organization that has a custom TIP can use the Microsoft Graph Security tiIndicators API to send threat indicators to other Microsoft security solutions like Defender ATP.

  • O Azure Sentinel fornece muitos outros conectores de dados incorporados para soluções da Microsoft, como o Microsoft Threat Protection, as fontes Microsoft 365 e o Microsoft Cloud App Security.Azure Sentinel provides many other built-in data connectors to Microsoft solutions like Microsoft Threat Protection, Microsoft 365 sources, and Microsoft Cloud App Security. Há também conectores incorporados ao ecossistema de segurança mais amplo para soluções não-Microsoft.There are also built-in connectors to the broader security ecosystem for non-Microsoft solutions. Você também pode usar o formato de evento comum, Syslog ou API REST para conectar suas fontes de dados com o Azure Sentinel.You can also use common event format, Syslog, or REST API to connect your data sources with Azure Sentinel. Para obter mais informações, consulte Conectar fontes de dados.For more information, see Connect data sources.

ImplantaçãoDeployment

As seções a seguir fornecem etapas detalhadas sobre como:The following sections provide detailed steps on how to:

Indicadores de ameaça de importação com o conector de dados TAXIIImport threat indicators with the TAXII data connector

Os servidores TAXII 2.x anunciam o API Roots, que são URLs que hospedam coleções de inteligência de ameaças.TAXII 2.x servers advertise API Roots, which are URLs that host threat intelligence collections. Se você já conhece o ID de API Root e Collection do servidor TAXII com o qual deseja trabalhar, você pode pular à frente e apenas ativar o conector TAXII no Azure Sentinel.If you already know the TAXII server API Root and Collection ID you want to work with, you can skip ahead and just enable the TAXII connector in Azure Sentinel.

Se você não tiver o Root da API, geralmente você pode obtê-lo na página de documentação do provedor de inteligência de ameaças, mas às vezes a única informação disponível é a URL do ponto final de descoberta.If you don't have the API Root, you can usually get it from the threat intelligence provider's documentation page, but sometimes the only information available is the discovery endpoint URL. Você pode encontrar a Raiz de API usando o ponto final da descoberta.You can find the API Root using the discovery endpoint. O exemplo a seguir usa o ponto final de detecção do servidor Anomali Limo ThreatStream TAXII 2.0.The following example uses the discovery endpoint of the Anomali Limo ThreatStream TAXII 2.0 server.

  1. A partir de um navegador, navegue e faça login no https://limo.anomali.com/taxiiponto final de detecção do servidor ThreatStream TAXII 2.0, usando o convidado de usuário e senha.From a browser, navigate and sign in to the ThreatStream TAXII 2.0 server discovery endpoint, https://limo.anomali.com/taxii, using the username guest and password guest. Depois de fazer login, você verá as seguintes informações:After you sign in, you see the following information:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Para navegar em coleções, digite a API Root que https://limo.anomali.com/api/v1/taxii2/feeds/collections/você obteve da etapa anterior em seu navegador: .To browse collections, enter the API Root you got from the previous step into your browser: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Você vê informações como:You see information like:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Agora você tem as informações necessárias para conectar o Azure Sentinel a uma ou mais coleções de servidores TAXII fornecidas pela Anomali Limo.You now have the information you need to connect Azure Sentinel to one or more TAXII server collections provided by Anomali Limo. Por exemplo:For example:

Raiz de APIAPI Root ID da coleçãoCollection ID
Tanque phishPhish Tank 107107
CibercrimeCyberCrime 4141

Para habilitar o conector de dados Threat Intelligence – TAXII no Azure Sentinel:To enable the Threat Intelligence – TAXII data connector in Azure Sentinel:

  1. No portal Azure,procure e selecione o Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Selecione o espaço de trabalho onde deseja importar indicadores de ameaça do serviço TAXII.Select the workspace where you want to import threat indicators from the TAXII service.

  3. Selecione conectores de dados da navegação à esquerda, procure e selecione Threat Intelligence – TAXII (Preview) e selecione Abrir a página do conector.Select Data connectors from the left navigation, search for and select Threat Intelligence – TAXII (Preview), and select Open connector page.

  4. Na página Configuração, digite um nome amigável (para servidor) como o título da coleção, a URL raiz da API e o ID de coleta que você deseja importar e nome de usuário e senha, se necessário, e selecione Adicionar.On the Configuration page, enter a Friendly name (for server) such as the collection title, the API root URL and Collection ID you want to import, and Username and Password if required, and then select Add.

    Página de configuração TAXII

Você vê sua conexão em Lista de servidores TAXII 2.0 configurados.You see your connection under List of configured TAXII 2.0 servers. Repita a configuração para cada coleção que deseja conectar dos mesmos ou diferentes servidores TAXII.Repeat the configuration for each collection you want to connect from the same or different TAXII servers.

Indicadores de ameaça de importação com o conector de dados plataformasImport threat indicators with the Platforms data connector

A API tiIndicators precisa do ID de aplicativo (cliente), Do Diretório (inquilino) e do sigilo do cliente da sua TIP ou solução personalizada para conectar e enviar indicadores de ameaça ao Azure Sentinel.The tiIndicators API needs the Application (client) ID, Directory (tenant) ID, and client secret from your TIP or custom solution to connect and send threat indicators to Azure Sentinel. Você obtê-lo informações registrando o aplicativo TIP ou solution no Azure Active Directory (Azure AD) e concedendo-lhe permissões necessárias.You get this information by registering the TIP or solution app in Azure Active Directory (Azure AD), and granting it needed permissions.

Primeiro, registre o aplicativo no Azure AD:First, register the app in Azure AD:

  1. No portal Azure,procure e selecione inscrições de aplicativose selecione Novo registro.In the Azure portal, search for and select App registrations, and then select New registration.

  2. Na página Registrar um aplicativo, digite um nome para o registro do aplicativo TIP ou de solução personalizada, selecione Contas apenas neste diretório organizacionale, em seguida, selecione Registrar.On the Register an application page, enter a name for your TIP or custom solution app registration, select Accounts in this organizational directory only, and then select Register.

    Registro do aplicativo

  3. Após o sucesso do registro, copie e salve os valores de ID e Diretório (inquilino) do aplicativo (cliente) na página Visão Geral do seu aplicativo registrado.After registration succeeds, copy and save the Application (client) ID and Directory (tenant) ID values from the Overview page of your registered app.

Em seguida, conceda permissões para que a TIP ou a solução personalizada se conectem à API tiIndicators do Microsoft Graph e enviem indicadores de ameaça.Next, grant permissions for the TIP or custom solution to connect to the Microsoft Graph tiIndicators API and send threat indicators. Um administrador global do Azure AD também deve conceder consentimento ao aplicativo para sua organização.An Azure AD Global Administrator must also grant consent to the app for your organization.

  1. Selecione permissões de API na navegação à esquerda do aplicativo de solução TIP ou personalizado registrado e, em seguida, selecione Adicionar uma permissão.Select API permissions from the left navigation of your registered TIP or custom solution app, and then select Add a permission.

  2. Na página de permissões da API de solicitação, selecione O Gráfico do Microsofte selecione permissões de aplicativo.On the Request API permissions page, select Microsoft Graph, and then select Application permissions.

  3. Pesquise e selecione ThreatIndicators.ReadWrite.OwnedBye selecione Adicionar permissões.Search for and select ThreatIndicators.ReadWrite.OwnedBy, and then select Add permissions.

    Permissões ao aplicativo

  4. Selecione o consentimento do <grant para o seu inquilino> na página de permissões de API do aplicativo para conceder consentimento para sua organização.Select Grant admin consent for <your tenant> on the app's API permissions page to grant consent for your organization. Se você não tiver a função de Administrador Global em sua conta, este botão será desativado.If you don't have the Global Administrator role on your account, this button is disabled. Peça a um administrador global de sua organização para executar essa etapa.Ask a Global Administrator from your organization to perform this step. Uma vez que o consentimento é concedido ao seu aplicativo, você deve ver uma marca de verificação verde em Status.Once consent is granted to your app, you should see a green check mark under Status.

    Conceder consentimento do aplicativo

  5. Depois que as permissões e o consentimento forem concedidos, selecione Certificados & segredos da navegação à esquerda do seu aplicativo e selecione Novo segredo do cliente.After permissions and consent are granted, select Certificates & secrets from the left navigation of your app, and select New client secret.

  6. Selecione Adicionar para obter uma chave de API secreta para o seu aplicativo.Select Add to get a secret API key for your app.

    Obter segredo do cliente

    Certifique-se de copiar e salvar o segredo do cliente agora, porque você não pode recuperar o segredo uma vez que você navegar para longe desta página.Be sure to copy and save the client secret now, because you can't retrieve the secret once you navigate away from this page.

Em sua tip ou solução personalizada integrada, insira o ID de aplicativo (cliente), iD do diretório (inquilino) e os valores secretos do cliente que você salvou.In your integrated TIP or custom solution, input the Application (client) ID, Directory (tenant) ID, and client secret values you saved. Defina o Azure Sentinel como alvo e defina uma ação para cada indicador.Set Azure Sentinel as the target, and set an action for each indicator. O alerta é a ação mais relevante para a maioria dos usos do Azure Sentinel.Alert is the most relevant action for most Azure Sentinel uses. A API do Microsoft Graph tiIndicators agora envia indicadores de ameaça para o Azure Sentinel, que estão disponíveis para todos os espaços de trabalho do Azure Sentinel em sua organização.The Microsoft Graph tiIndicators API now sends threat indicators to Azure Sentinel, which are available to all Azure Sentinel workspaces in your organization.

Finalmente, habilite o conector de dados azure Sentinel Threat Intelligence Platforms, para importar os indicadores de ameaça que sua TIP ou solução personalizada envia através da API do Microsoft Graph tiIndicators:Finally, enable the Azure Sentinel Threat Intelligence Platforms data connector, to import the threat indicators your TIP or custom solution sends via the Microsoft Graph tiIndicators API:

  1. No portal Azure,procure e selecione o Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.
  2. Selecione o espaço de trabalho onde deseja importar os indicadores de ameaça da sua DICA ou solução personalizada.Select the workspace where you want to import the threat indicators from your TIP or custom solution.
  3. Selecione conectores de dados da navegação à esquerda, procure e selecione Plataformas de Inteligência de Ameaças (Preview) e selecione Abrir a página do conector.Select Data connectors from the left navigation, search for and select Threat Intelligence Platforms (Preview), and select Open connector page.
  4. Uma vez que você já completou as etapas de registro e configuração, selecione Conectar.Since you already completed the registration and configuration steps, select Connect.

Em poucos minutos, os indicadores de ameaça de tip ou soluções personalizadas devem começar a fluir para o espaço de trabalho do Azure Sentinel.Within a few minutes, your TIP or custom solution threat indicators should begin flowing into the Azure Sentinel workspace.

Crie uma regra de análise a partir de um modeloCreate an Analytics rule from a template

Este exemplo usa o modelo de regra chamado TI map IP entity to AzureActivity, que compara quaisquer indicadores de ameaça do tipo endereço IP com todos os eventos de endereço IP do Azure Activity.This example uses the rule template called TI map IP entity to AzureActivity, which compares any IP address-type threat indicators with all your Azure Activity IP address events. Qualquer correspondência gera um alerta de segurança e um incidente correspondente para investigação por sua equipe de operações de segurança.Any match generates a security alert and a corresponding incident for investigation by your security operations team.

O exemplo pressupõe que você tenha usado um ou ambos os conectores de dados de inteligência de ameaças para importar indicadores de ameaça e o conector de dados Azure Activity para importar seus eventos de nível de assinatura do Azure.The example assumes you have used one or both of the threat intelligence data connectors to import threat indicators, and the Azure Activity data connector to import your Azure subscription-level events. Você precisa de ambos os tipos de dados para usar essa regra de análise com sucesso.You need both data types to use this analytics rule successfully.

  1. No portal Azure,procure e selecione o Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Selecione o espaço de trabalho onde você importou indicadores de ameaça com o conector de dados de inteligência de ameaças.Select the workspace where you've imported threat indicators with either threat intelligence data connector.

  3. Na navegação à esquerda, selecione Analytics.In the left navigation, select Analytics.

  4. Na guia Modelos de regra, procure e selecione a entidade IP do mapa TI (Regra (Visualização) para AzureActivitye selecione Criar regra.On the Rule templates tab, search for and select the rule (Preview) TI map IP entity to AzureActivity, and then select Create rule.

  5. No primeiro assistente de regra analítica - Crie uma nova regra a partir da página do modelo, certifique-se de que o status da regra está definido como Ativadoe altere o nome ou a descrição da regra se quiser.On the first Analytic rule wizard - Create new rule from template page, make sure the rule Status is set to Enabled, and change the rule name or description if you like. Selecione A seguir: Defina a lógica da regra.Select Next: Set rule logic.

    Criar regra de análise

    A página lógica de regra contém a consulta para a regra, as entidades para mapear, o agendamento de regras e o número de resultados de consulta que geram um alerta de segurança.The rule logic page contains the query for the rule, entities to map, rule scheduling, and the number of query results that generate a security alert. As configurações do modelo são executadas uma vez por hora, identifica quaisquer IoCs de endereço IP que correspondam a quaisquer endereços IP de eventos do Azure e gera alertas de segurança para todas as partidas.The template settings run once an hour, identifies any IP address IoCs that match any IP addresses from Azure events, and generates security alerts for all matches. Você pode manter essas configurações, ou alterar qualquer uma delas para atender às suas necessidades.You can keep these settings, or change any of them to meet your needs. Quando terminar, selecione Next: Incident settings (Preview).When you're finished, select Next: Incident settings (Preview).

  6. Em Configurações de Incidente (Visualização), certifique-se de que criar incidentes a partir de alertas acionados por esta regra de análise está definido como Ativadoe selecione Next: Resposta automatizada.Under Incident settings (Preview), make sure that Create incidents from alerts triggered by this analytics rule is set to Enabled, and select Next: Automated response.

    Esta etapa permite configurar a automação para acionar quando a regra gera um alerta de segurança.This step lets you configure automation to trigger when the rule generates a security alert. A automação no Azure Sentinel usa playbooks, alimentados pelo Azure Logic Apps.Automation in Azure Sentinel uses Playbooks, powered by Azure Logic Apps. Para obter mais informações, consulte Tutorial: Configure respostas automatizadas de ameaças no Azure Sentinel.For more information, see Tutorial: Set up automated threat responses in Azure Sentinel. Para este exemplo, basta selecionar Next: Reviewe, após revisar as configurações, selecione Criar.For this example, just select Next: Review, and after reviewing the settings, select Create.

Sua regra é ativada imediatamente quando criada e, em seguida, aciona o cronograma regular daqui para frente.Your rule activates immediately when created, and then triggers on the regular schedule going forward.

Exibir e editar o Manual de Trabalho de Inteligência de AmeaçasView and edit the Threat Intelligence Workbook

  1. No portal Azure,procure e selecione o Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Selecione o espaço de trabalho onde você importou indicadores de ameaça com o conector de dados de inteligência de ameaças.Select the workspace where you've imported threat indicators with either threat intelligence data connector.

  3. Na navegação à esquerda, selecione Workbooks.In the left navigation, select Workbooks.

  4. Procure e selecione a carteira de trabalho intitulada Threat Intelligence.Search for and select the workbook titled Threat Intelligence.

  5. Certifique-se de ter os dados e conexões necessários como mostrado e, em seguida, selecione Salvar.Make sure you have the necessary data and connections as shown, and then select Save.

    Livro de Trabalho de Inteligência de Ameaças

    Na janela popup, selecione um local e selecione OK.In the popup window, select a location, and then select OK. Esta etapa salva a carteira de trabalho para que você possa modificá-la e salvar suas alterações.This step saves the workbook so you can modify it and save your changes.

  6. Selecione Exibir a caderneta de trabalho salva para abrir a caderneta de trabalho e consulte os gráficos padrão que o modelo fornece.Select View saved workbook to open the workbook and see the default charts the template provides.

Para editar a agenda, selecione Editar na barra de ferramentas na parte superior da página.To edit the workbook, select Edit in the toolbar at the top of the page. Você pode selecionar Editar ao lado de qualquer gráfico para editar a consulta e as configurações desse gráfico.You can select Edit next to any chart to edit the query and settings for that chart.

Para adicionar um novo gráfico que mostra indicadores de ameaça por tipo de ameaça:To add a new chart that shows threat indicators by threat type:

  1. Selecione Editar na parte superior da página, role até a parte inferior da página e selecione Adicionare, em seguida, selecione Adicionar consulta.Select Edit at the top of the page, scroll to the bottom of the page and select Add, and then select Add query.

  2. Em Consulta de log analytics logspace logs, digite a seguinte consulta:Under Log Analytics workspace Logs Query, enter the following query:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Selecione o gráfico Barra na lista de imagens de visualização e selecione 'Editar' Feito.Select Bar chart in the Visualization dropdown, and then select Done editing.

  4. No topo da página, selecione 'Editar' Feito e, em seguida, selecione o ícone Salvar para salvar seu novo gráfico e carteira de trabalho.At the top of the page, select Done editing and then select the Save icon to save your new chart and workbook.

    Novo gráfico da carteira de trabalho

Próximas etapasNext steps

Visite o Azure Sentinel no GitHub para ver contribuições da comunidade em geral e da Microsoft.Visit Azure Sentinel on GitHub to see contributions by both the community at large and by Microsoft. Aqui você encontrará novas idéias, modelos e conversas sobre todas as áreas de recursos do Azure Sentinel.Here you'll find new ideas, templates, and conversations about all the feature areas of Azure Sentinel.

As anotações do Azure Sentinel são baseadas em livros de trabalho do Azure Monitor, por isso estão disponíveis extensas documentações e modelos.Azure Sentinel workbooks are based on Azure Monitor workbooks, so extensive documentation and templates are available. Um ótimo lugar para começar é criar relatórios interativos com as bancadas do Azure Monitor.A great place to start is Create interactive reports with Azure Monitor workbooks. Há uma rica comunidade de usuários de livros de trabalho do Azure Monitor no GitHub,onde você pode baixar modelos adicionais e contribuir com seus próprios modelos.There is a rich community of Azure Monitor workbook users on GitHub, where you can download additional templates and contribute your own templates.