Auditoria e monitoramento de integridade no Microsoft Sentinel

O Microsoft Sentinel é um serviço essencial para avançar e proteger a segurança dos ativos tecnológicos e de informação da sua organização. Portanto, você vai querer ter certeza de que ele está sempre funcionando sem problemas e sem interferência. Você desejará garantir que as várias partes delicadas do serviço estejam sempre funcionando conforme o esperado e que o serviço não esteja sendo manipulado por ações não autorizadas, seja por usuários internos ou externos. Pode ser que você também queira configurar notificações de descompassos de integridade ou ações não autorizadas a serem enviadas aos stakeholders relevantes capazes de emitir ou aprovar uma resposta. Por exemplo, você pode configurar condições para disparar o envio de emails ou mensagens do Microsoft Teams às equipes de operações, gerentes ou diretores, emitir novos tíquetes em seu sistema de tíquetes e assim por diante.

Este artigo descreve como os recursos de monitoramento e auditoria de integridade do Microsoft Sentinel permitem monitorar a atividade de alguns dos principais recursos do serviço e inspecionar logs de ações do usuário dentro do serviço.

Descrição

Esta seção descreve a função e os casos de uso dos componentes de monitoramento e auditoria de integridade.

Armazenamento de dados

Os dados de integridade e auditoria são coletados em duas tabelas no workspace do Log Analytics:

• Os dados de integridade são coletados na tabela SentinelHealth.
• Os dados de auditoria são coletados na tabela SentinelAudit.

A maneira predominante de usar esses dados é consultando essas tabelas.

Para obter melhores resultados, você deve elaborar suas consultas nas funções predefinidas nessas tabelas, em _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações feitas no esquema das próprias tabelas.

Importante

• As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

• Ao monitorar a integridade dos guias estratégicos, você também precisará capturar eventos de diagnóstico dos Aplicativos Lógicos do Azure de seus guias estratégicos, além dos dados do SentinelHealth, para obter a visão completa da atividade do guia estratégico. Os dados de diagnóstico dos Aplicativos Lógicos do Azure são coletados na tabela AzureDiagnostics em seu workspace.

Casos de uso

Saúde

O conector de dados está sendo executado corretamente?

O conector de dados está recebendo dados? Por exemplo, se você instruiu o Microsoft Sentinel a executar uma consulta a cada cinco minutos, convém verificar se essa consulta está sendo executada, como ela está sendo executada e se há riscos ou vulnerabilidades relacionados à consulta.

Uma regra de automação foi executada conforme o esperado?

Sua regra de automação foi executada quando deveria — ou seja, quando as condições dela foram atendidas? Todas as ações na regra de automação foram executadas com êxito?

A regra de análise foi executada conforme o esperado?

Sua regra de análise foi executada quando deveria e gerou resultados? Se você espera ver incidentes específicos em sua fila, mas isso não acontece, é desejável saber se a regra foi executada mas não encontrou nada (ou coisas suficientes) ou se simplesmente não foi executada.

Audit

Foram feitas alterações não autorizadas em uma regra de análise?

Algo mudou na regra? Você não conseguiu os resultados esperados de sua regra de análise e não teve nenhum problema de integridade. Você deseja ver se alguma alteração não planejada foi feita na regra e, em caso afirmativo, quais alterações foram feitas, por quem, de onde e quando.

Como o Microsoft Sentinel apresenta dados de integridade e auditoria

Para começar a coletar dados de integridade e auditoria, você precisa habilitar o monitoramento de integridade e auditoria nas configurações do Microsoft Sentinel. Em seguida, você pode se aprofundar nos dados de integridade e auditoria coletados pelo Microsoft Sentinel:

• Execute consultas nas tabelas de dados SentinelHealth e SentinelAudit da folha Logs do Microsoft Sentinel.

  • Conectores de dados
  • Guias estratégicos e regras de automação (consulta de junção com o diagnóstico dos Aplicativos Lógicos do Azure)
  • Regras de análise

• Use as pastas de trabalho de monitoramento de integridade e auditoria fornecidas no Microsoft Sentinel.

  • Conectores de dados
  • Regras de automação e guias estratégicos
  • Regras de análise

• Use as ferramentas de gerenciamento de execução do Microsoft Sentinel para monitorar e otimizar a execução das regras de análise agendadas.

• Exporte os dados para vários destinos, como seu workspace do Log Analytics, arquivamento para uma conta de armazenamento e muito mais. Saiba mais sobre os destinos compatíveis para seus logs.

Próximas etapas

• Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras de automação e guias estratégicos.
• Monitore a integridade de seus conectores de dados.
• Monitore a integridade das suas regras de análise.
• Confira mais informações sobre os esquemas das tabelas SentinelHealth e SentinelAudit.

Consulte também:

• Uso da Solução Microsoft Sentinel para SAP Monitore sua integridade também.