O que é o Azure Sentinel?What is Azure Sentinel?

O Microsoft Azure Sentinel é uma solução escalonável e nativa de nuvem para gerenciamento de eventos e informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR) .Microsoft Azure Sentinel is a scalable, cloud-native, security information event management (SIEM) and security orchestration automated response (SOAR) solution. O Azure Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.Azure Sentinel delivers intelligent security analytics and threat intelligence across the enterprise, providing a single solution for alert detection, threat visibility, proactive hunting, and threat response.

O Azure Sentinel é sua exibição geral da empresa, amenizando o estresse de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos períodos de resolução.Azure Sentinel is your birds-eye view across the enterprise alleviating the stress of increasingly sophisticated attacks, increasing volumes of alerts, and long resolution timeframes.

  • Colete dados na escala de nuvem de todos os usuários, dispositivos, aplicativos e infraestrutura, local e em múltiplas nuvens.Collect data at cloud scale across all users, devices, applications, and infrastructure, both on-premises and in multiple clouds. 

  • Detecte ameaças não detectadas antes e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft.Detect previously undetected threats, and minimize false positives using Microsoft's analytics and unparalleled threat intelligence. 

  • Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft.Investigate threats with artificial intelligence, and hunt for suspicious activities at scale, tapping into years of cyber security work at Microsoft. 

  • Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.Respond to incidents rapidly with built-in orchestration and automation of common tasks.

Principais recursos do Azure Sentinel

Aproveitando a gama completa de serviços existentes do Azure, o Azure Sentinel incorpora nativamente bases comprovadas, como Log Analytics e Aplicativos Lógicos.Building on the full range of existing Azure services, Azure Sentinel natively incorporates proven foundations, like Log Analytics, and Logic Apps. O Azure Sentinel enriquece a investigação e a detecção com IA, além de oferecer o fluxo de inteligência da Microsoft contra ameaças e permitir que você use sua própria inteligência contra ameaças.Azure Sentinel enriches your investigation and detection with AI, and provides Microsoft's threat intelligence stream and enables you to bring your own threat intelligence.

Conecte-se a todos os seus dadosConnect to all your data

Para a integração do Azure Sentinel, você precisa primeiro se conectar às suas fontes de segurança.To on-board Azure Sentinel, you first need to connect to your security sources. O Azure Sentinel vem com uma série de conectores para soluções da Microsoft, disponíveis prontas para o uso e fornecendo integração em tempo real, incluindo soluções de Proteção contra Ameaças da Microsoft 365, e fontes do Microsoft 365, tais como Office 365, Azure AD, Azure ATP, Microsoft Cloud App Security e muito mais.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, and Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. Além disso, existem conectores internos no ecossistema de segurança mais amplo para soluções que não são da Microsoft.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Você também pode usar formato comum de eventos, Syslog ou API REST para conectar suas fontes de dados ao Azure Sentinel.You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel as well.

Coletores de dados

Observação

Esse serviço dá suporte ao gerenciamento de recursos delegados do Azure, que permite que os provedores de serviços entrem no próprio locatário para gerenciar assinaturas e grupos de recursos delegados pelos clientes.This service supports Azure delegated resource management, which lets service providers sign in to their own tenant to manage subscriptions and resource groups that customers have delegated. Para saber mais, confira Azure Lighthouse.For more info, see Azure Lighthouse.

Pastas de trabalhoWorkbooks

Depois de conectar suas fontes de dados ao Azure Sentinel, será possível monitorar os dados usando a integração do Azure Sentinel com as Pastas de Trabalho do Azure Monitor, que oferece versatilidade na criação de pastas de trabalho personalizadas.After you connected your data sources to Azure Sentinel, you can monitor the data using the Azure Sentinel integration with Azure Monitor Workbooks, which provides versatility in creating custom workbooks. Embora as Pastas de Trabalho sejam exibidas de maneiras diferentes no Azure Sentinel, pode ser útil para você ver como Criar relatórios interativos com as Pastas de Trabalho do Azure Monitor.While Workbooks are displayed differently in Azure Sentinel, it may be useful for you to see how to Create interactive reports with Azure Monitor Workbooks. O Azure Sentinel permite que você crie pastas de trabalho personalizadas em seus dados e também vem com modelos de pasta de trabalho internos para que você possa obter insights rapidamente em seus dados assim que você conectar uma fonte de dados.Azure Sentinel allows you to create custom workbooks across your data, and also comes with built-in workbook templates to allow you to quickly gain insights across your data as soon as you connect a data source.

Painéis

AnáliseAnalytics

Para ajudar a reduzir o ruído e a minimizar o número de alertas que você precisa examinar e investigar, o Azure Sentinel usa análise para correlacionar os alertas aos incidentes.To help you reduce noise and minimize the number of alerts you have to review and investigate, Azure Sentinel uses analytics to correlate alerts into incidents. Incidentes são grupos de alertas relacionados que, juntos, criam uma possível ameaça acionável que você pode investigar e resolver.Incidents are groups of related alerts that together create an actionable possible-threat that you can investigate and resolve. Use as regras de correlação internas no estado em que se encontram ou use-as como ponto de partida para criar suas próprias.Use the built-in correlation rules as-is, or use them as a starting point to build your own. O Azure Sentinel também fornece regras de aprendizado de máquina para mapear o comportamento da rede e, em seguida, buscar anomalias em todos os seus recursos.Azure Sentinel also provides machine learning rules to map your network behavior and then look for anomalies across your resources. Essas análises ligam os pontos, pois combinam alertas de baixa fidelidade sobre diferentes entidades em possíveis incidentes de segurança de alta fidelidade.These analytics connect the dots, by combining low fidelity alerts about different entities into potential high-fidelity security incidents.

Incidentes

Automação e orquestração de segurançaSecurity automation & orchestration

Automatize as tarefas comuns e simplifique a orquestração de segurança com guias estratégicos que se integram com os serviços do Azure, assim como com suas ferramentas existentes.Automate your common tasks and simplify security orchestration with playbooks that integrate with Azure services as well as your existing tools. Desenvolvida com base nos Aplicativos Lógicos do Azure, a solução de automação e orquestração do Azure Sentinel oferece uma arquitetura altamente extensível que possibilita a automação escalonável à medida que surgem novas tecnologias e ameaças.Built on the foundation of Azure Logic Apps, Azure Sentinel's automation and orchestration solution provides a highly-extensible architecture that enables scalable automation as new technologies and threats emerge. Para criar guias estratégicos com os Aplicativos Lógicos do Azure, você pode escolher em uma galeria crescente de guias estratégicos internos.To build playbooks with Azure Logic Apps, you can choose from a growing gallery of built-in playbooks. Eles incluem mais de 200 conectores para serviços como o Azure Functions.These include 200+ connectors for services such as Azure functions. Os conectores permitem que você aplique qualquer lógica personalizada em código, ServiceNow, Jira, Zendesk, solicitações HTTP, Microsoft Teams, Slack, Windows Defender ATP e Cloud App Security.The connectors allow you to apply any custom logic in code, ServiceNow, Jira, Zendesk, HTTP requests, Microsoft Teams, Slack, Windows Defender ATP, and Cloud App Security.

Por exemplo, se você usar o sistema de emissão de tíquetes do ServiceNow, poderá usar as ferramentas fornecidas para usar Aplicativos Lógicos do Azure a fim de automatizar os fluxos de trabalho e abrir um tíquete no ServiceNow cada vez que um evento específico é detectado.For example, if you use the ServiceNow ticketing system, you can use the tools provided to use Azure Logic Apps to automate your workflows and open a ticket in ServiceNow each time a particular event is detected.

Guias estratégicos

InvestigaçãoInvestigation

Em versão prévia no momento, as ferramentas de investigação profunda do Azure Sentinel ajudam a entender o escopo e a encontrar a causa raiz de uma possível ameaça à segurança.Currently in preview, Azure Sentinel deep investigation tools help you to understand the scope and find the root cause, of a potential security threat. Você pode escolher uma entidade no gráfico interativo para fazer perguntas interessantes para uma entidade específica, além de fazer uma busca detalhada nessa entidade e em suas conexões para chegar à causa raiz da ameaça.You can choose an entity on the interactive graph to ask interesting questions for a specific entity, and drill down into that entity and its connections to get to the root cause of the threat.

Investigação

BuscandoHunting

Use as ferramentas de pesquisa e consulta para buscas eficientes do Azure Sentinel, baseadas na estrutura MITRE, que permitem buscar proativamente ameaças à segurança nas fontes de dados de sua organização, antes do disparo de um alerta.Use Azure Sentinel's powerful hunting search-and-query tools, based on the MITRE framework, which enable you to proactively hunt for security threats across your organization’s data sources, before an alert is triggered. Depois de descobrir qual consulta de busca fornece insights de alto valor sobre possíveis ataques, crie também regras de detecção personalizadas baseadas na sua consulta e revele esses insights como alertas de incidentes de segurança para seus respondentes.After you discover which hunting query provides high-value insights into possible attacks, you can also create custom detection rules based on your query, and surface those insights as alerts to your security incident responders. É possível criar indicadores para eventos interessantes durante a busca. Assim, poderá retornar a eles posteriormente, compartilhá-los com outras pessoas e agrupá-los com outros eventos correlacionados para criar um incidente convincente para investigação.While hunting, you can create bookmarks for interesting events, enabling you to return to them later, share them with others, and group them with other correlating events to create a compelling incident for investigation.

Buscando

ComunidadeCommunity

A comunidade do Azure Sentinel é um recurso eficiente para automação e detecção de ameaças.The Azure Sentinel community is a powerful resource for threat detection and automation. Os analistas de segurança da Microsoft criam e adicionam constantemente novas pastas de trabalho, guias estratégicos, consultas de busca e muito mais, publicando-os na comunidade para uso em seu ambiente.Our Microsoft security analysts constantly create and add new workbooks, playbooks, hunting queries, and more, posting them to the community for you to use in your environment. É possível baixar o conteúdo de exemplo no repositório GitHub privado da comunidade para criar pastas de trabalho personalizadas, consultas de busca, notebooks e guias estratégicos para o Azure Sentinel.You can download sample content from the private community GitHub repository to create custom workbooks, hunting queries, notebooks, and playbooks for Azure Sentinel.

Comunidade

Próximas etapasNext steps