Início Rápido: Introdução à versão prévia do Azure SentinelQuickstart: Get started with Azure Sentinel Preview

Importante

No momento, o Azure Sentinel está em versão prévia pública.Azure Sentinel is currently in public preview. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.Certain features might not be supported or might have constrained capabilities. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Neste guia de início rápido, você aprenderá a ser rapidamente capaz de exibir e monitorar o que está acontecendo em seu ambiente usando o Azure Sentinel.In this quickstart you will learn how to quickly be able to view and monitor what's happening across your environment using Azure Sentinel. Depois de conectar suas fontes de dados ao Azure Sentinel, você obtém visualização e análise instantâneas de dados para que possa saber o que está acontecendo em todas as suas fontes de dados conectadas.After you connected your data sources to Azure Sentinel, you get instant visualization and analysis of data so that you can know what's happening across all your connected data sources. O Azure Sentinela oferece painéis que oferecem toda a potência de ferramentas já disponíveis no Azure, assim como tabelas e gráficos feitos para fornecer análise para seus logs e consultas.Azure Sentinel gives you dashboards that provide you with the full power of tools already available in Azure as well as tables and charts that are built in to provide you with analytics for your logs and queries. Você pode usar painéis internos ou criar um novo painel com facilidade, seja do zero ou com base em um painel existente.You can either use built-in dashboards or create a new dashboard easily, from scratch or based on an existing dashboard.

Obter visualizaçãoGet visualization

Para visualizar e obter uma análise do que está acontecendo em seu ambiente, primeiro, dê uma olhada no painel de visão geral para ter uma ideia da postura de segurança da organização.To visualize and get analysis of what's happening on your environment, first, take a look at the overview dashboard to get an idea of the security posture of your organization. É possível clicar em cada elemento desses blocos para fazer busca detalhada nos dados brutos dos quais são criados.You can click on each element of these tiles to drill down to the raw data from which they are created. Para ajudar a reduzir o ruído e minimizar o número de alertas que você precisa analisar e investigar, o Azure Sentinel usa uma técnica de fusão para correlacionar alertas a incidentes.To help you reduce noise and minimize the number of alerts you have to review and investigate, Azure Sentinel uses a fusion technique to correlate alerts into incidents. Incidentes são grupos de alertas relacionados que, juntos, criam um incidente acionável que você pode investigar e resolver.incidents are groups of related alerts that together create an actionable incident that you can investigate and resolve.

  • No portal do Microsoft Azure, selecione o Azure Sentinel e, depois, selecione o workspace que deseja monitorar.In the Azure portal, select Azure Sentinel and then select the workspace you want to monitor.

    Visão geral do Azure Sentinel

  • A barra de ferramentas na parte superior informa quantos eventos você obteve no período selecionado e compara com as 24 horas anteriores.The toolbar across the top tells you how many events you got over the time period selected, and it compares it to the previous 24 hours. A barra de ferramentas informa quantos alertas foram disparados com base nesses eventos (o número pequeno representa a mudança nas últimas 24 horas) e informa, para esses eventos, quantos estão abertos, em andamento e fechados.The toolbar tells you from these events, the alerts that were triggered (the small number represents change over the last 24 hours), and then it tells you for those events, how many are open, in progress, and closed. Verifique se não houve um aumento ou queda significativa no número de eventos.Check to see that there isn't a dramatic increase or drop in the number of events. Se houve uma queda, é possível que uma conexão tenha parado de se reportar ao Azure Sentinel.If there is a drop, it could be that a connection stopped reporting to Azure Sentinel. Se houve um aumento, pode ter ocorrido algo suspeito.If there is an increase, something suspicious may have happened. Verifique se há novos alertas.Check to see if you have new alerts.

    Funil do Azure Sentinel

O corpo principal da página de visão geral fornece insight rápido sobre o status de segurança do workspace:The main body of the overview page gives insight at a glance into the security status of your workspace:

  • Eventos e alertas ao longo do tempo: Lista o número de eventos e quantos alertas foram criados com base nesses eventos.Events and alerts over time: Lists the number of events and how many alerts were created from those events. Se você vir um pico incomum, deverá ver alertas para ele. Caso haja algo incomum em que houve um pico nos eventos, mas você não viu alertas, isso pode ser motivo de preocupação.If you see a spike that's unusual, you should see alerts for it - if there's something unusual where there is a spike in events but you don't see alerts, it might be cause for concern.

  • Eventos mal-intencionados em potencial: Quando se detecta tráfego de fontes que são conhecidas como mal-intencionadas, o Azure Sentinel alerta no mapa.Potential malicious events: When traffic is detected from sources that are known to be malicious, Azure Sentinel alerts you on the map. Se você vir cor de laranja, trata-se de tráfego de entrada: alguém está tentando acessar sua organização de um endereço IP mal-intencionado conhecido.If you see orange, it is inbound traffic: someone is trying to access your organization from a known malicious IP address. Se você vir uma atividade de saída (vermelha), significará que dados da sua rede estão saindo da organização para um endereço IP mal-intencionado conhecido.If you see Outbound (red) activity, it means that data from your network is being streamed out of your organization to a known malicious IP address.

    Mapa do Azure Sentinel

  • Incidentes recentes: Para exibir os incidentes recentes, a gravidade deles e o número de alertas associados com o incidente.Recent incidents: To view your recent incidents, their severity and the number of alerts associated with the incident. Se você vir um pico repentino em um tipo específico de alerta, poderá significar que um ataque ativo está em execução no momento.If you see as sudden peak in a specific type of alert, it could mean that there is an active attack currently running. Por exemplo, se você tiver um pico repentino de 20 eventos Pass-the-Hash do ATP do Azure, é possível que alguém esteja tentando atacá-lo no momento.For example, if you have a sudden peak of 20 Pass-the-hash events from Azure ATP, it's possible that someone is currently trying to attack you.

  • Anomalias na fonte de dados: Analistas de dados da Microsoft criaram modelos que pesquisam constantemente anomalias nos dados de suas fontes de dados.Data source anomalies: Microsoft's data analysts created models that constantly search the data from your data sources for anomalies. Se não houver anomalias, nada será exibido.If there aren't any anomalies, nothing is displayed. Se anomalias forem detectadas, você deverá examinar para ver o que aconteceu.If anomalies are detected, you should deep dive into them to see what happened. Por exemplo, clique no pico na atividade do Azure.For example, click on the spike in Azure Activity. É possível clicar em Gráfico para ver quando o pico aconteceu e, em seguida, filtrar por atividades que ocorreram durante esse período para ver o que causou o pico.You can click on Chart to see when the spike happened, and then filter for activities that occurred during that time period to see what caused the spike.

    Mapa do Azure Sentinel

Use painéis internosUse built-in dashboards

Painéis internos oferecem dados integrados de suas fontes de dados conectadas para permitir que você examine os eventos gerados nesses serviços.Built-in dashboards provide integrated data from your connected data sources to let you deep dive into the events generated in those services. Os painéis internos incluem a ID do Azure, eventos de atividades do Azure e locais, que podem ser dados de eventos do Windows de servidores, alertas de primeiros, de qualquer terceiro, incluindo logs de tráfego do firewall, Office 365 e protocolos inseguros com base em eventos do Windows.The built-in dashboards include Azure ID, Azure activity events, and on-premises, which can be data from Windows Events from servers, from first party alerts, from any third party including firewall traffic logs, Office 365, and insecure protocols based on Windows events.

  1. Em Configurações, selecione Painéis.Under Settings, select Dashboards. Em Instalados, você pode ver todos os painéis instalados.Under Installed, you can see all your installed dashboards. Em Todos, é possível ver a galeria inteira de painéis internos que estão disponíveis para instalação.Under All you can see the whole gallery of built-in dashboards that are available for installation.
  2. Pesquise um painel específico ver a lista inteira e a descrição do que cada um oferece.Search for a specific dashboard to see the whole list and description of what each offers.
  3. Supondo que você usa o Azure AD, para começar a usar o Azure Sentinel, recomendamos que instale pelo menos os painéis a seguir:Assuming you use Azure AD, to get up and running with Azure Sentinel, we recommend that you install at least the following dashboards:
    • Azure AD: Use uma ou ambas as opções a seguir:Azure AD: Use either or both of the following:

      • As entradas do Azure AD analisam as entradas ao longo do tempo para ver se há anomalias.Azure AD sign-ins analyzes sign-ins over time to see if there are anomalies. Esse painel fornece entradas com falha por aplicativos, dispositivos e locais para que você possa perceber rapidamente se acontecer algo incomum.This dashboard provides failed sign-ins by applications, devices, and locations so that you can notice, at a glance if something unusual happens. Preste atenção a várias entradas com falha.Pay attention to multiple failed sign-ins.
      • Os logs de auditoria do Azure AD analisam as atividades administrativas, como alterações em usuários (adicionar, remover etc.), criação de grupo e modificações.Azure AD audit logs analyzes admin activities, such as changes in users (add, remove, etc.), group creation, and modifications.
    • Adicione um painel para seu firewall.Add a dashboard for your firewall. Por exemplo, adicione o painel Palo Alto.For example, add the Palo Alto dashboard. O painel analisa o tráfego do firewall, fornecendo correlações entre eventos de ameaças e dados do firewall, além de realçar os eventos suspeitos em entidades.The dashboard analyzes your firewall traffic, providing you with correlations between your firewall data and threat events, and highlights suspicious events across entities. Os painéis fornecem informações sobre tendências no tráfego e permitem fazer busca detalhada e filtrar os resultados.Dashboards provides you with information about trends in your traffic and lets you drill down into and filter results.

      Painel Pal Alto

Para personalizar os painéis, edite a consulta principal botão.You can customize the dashboards either by editing the main query button. É possível clicar no botão botão para acessar o Log Analytics e editar a consulta encontrada. Você também pode selecionar as reticências (...) e selecionar Personalizar dados do bloco, o que permite editar o filtro de tempo principal ou remover os blocos específicos do painel.You can click the button button to go to Log Analytics to edit the query there, and you can select the ellipsis (...) and select Customize tile data, which enables you to edit the main time filter, or remove the specific tiles from the dashboard.

Para obter mais informações sobre como trabalhar com consultas, confira Tutorial: Dados visuais no Log AnalyticsFor more information on working with queries, see Tutorial: Visual data in Log Analytics

Adicionar um novo blocoAdd a new tile

Se quiser adicionar um novo bloco, você poderá adicioná-lo a um painel existente, seja um criado por você ou um painel interno do Azure Sentinel.If you want to add a new tile, you can add it to an existing dashboard, either one that you create or an Azure Sentinel built-in dashboard.

  1. No Log Analytics, crie um bloco usando as instruções encontradas em Tutorial: Dados visuais no Log Analytics.In Log Analytics, create a tile using the instructions found in Tutorial: Visual data in Log Analytics.
  2. Após a criação do bloco, em Fixar, selecione o painel em que deseja que o bloco apareça.After the tile is created, under Pin, select the dashboard in which you want the tile to appear.

Criar novos painéisCreate new dashboards

Você pode criar um novo painel do zero ou usar um painel interno como base para o novo painel.You can create a new dashboard from scratch or use a built-in dashboard as the basis for your new dashboard.

  1. Para criar um novo painel do zero, selecione Painéis e, em seguida, +Novo painel.To create a new dashboard from scratch, select Dashboards and then +New dashboard.

  2. Selecione a assinatura em que o painel foi criado e lhe dê um nome descritivo.Select the subscription the dashboard is created in and give it a descriptive name. Cada painel é um recurso do Azure como qualquer outro. Você pode atribuir funções (RBAC) para definir e limitar quem pode acessar.Each dashboard is an Azure resource like any other, and you can assign it roles (RBAC) to define and limit who can access.

  3. Para permitir que apareça em seus painéis para fixar visualizações, você precisa compartilhá-lo.To enable it to show up in your dashboards to pin visualizations to, you have to share it. Clique em Compartilhar e em Gerenciar usuários.Click Share and then Manage users.

  4. Use Verificar acesso e Atribuições de função como faria para qualquer outro recurso do Azure.Use the Check access and Role assignments as you would for any other Azure resource. Para obter mais informações, confira Compartilhar painéis do Azure usando RBAC.For more information, see Share Azure dashboards by using RBAC.

Exemplos de novos painéisNew dashboard examples

A consulta de exemplo a seguir permite que você compare as tendências de tráfego de diferentes semanas.The following sample query enables you to compare trends of traffic across weeks. Você pode alternar facilmente em qual fornecedor do dispositivo e fonte de dados executa a consulta.You can easily switch which device vendor and data source you run the query on. Este exemplo usa o SecurityEvent do Windows. É possível mudá-lo para ser executado no AzureActivity ou no CommonSecurityLog em qualquer outro firewall.This example uses SecurityEvent from Windows, you can switch it to run on AzureActivity or CommonSecurityLog on any other firewall.

 |where DeviceVendor = = "Palo Alto Networks":
  // week over week query
  SecurityEvent
  | where TimeGenerated > ago(14d)
  | summarize count() by bin(TimeGenerated, 1d)
  | extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Talvez você queira criar uma consulta que incorpore dados de várias fontes.You might want to create a query that incorporates data from multiples sources. Você pode criar uma consulta que examina os logs de auditoria do Azure Active Directory para novos usuários que acabaram de ser criados e, em seguida, verifica os logs do Azure para ver se o usuário começou a fazer alterações na atribuição de função no prazo de 24 horas após a criação.You can create a query that looks at Azure Active Directory audit logs for new users that were just created, and then checks your Azure logs to see if the user started making role assignment changes within 24 hours of creation. A atividade suspeita apareceria neste painel:That suspicious activity would show up on this dashboard:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Você pode criar painéis diferentes com base na função da pessoa que examina os dados e em que ela está procurando.You can create different dashboards based on role of person looking at the data and what they're looking for. Pode, por exemplo, criar um painel para seu administrador de rede que inclua os dados do firewall.For example, you can create a dashboard for your network admin that includes the firewall data. Também pode criar painéis com base na frequência com a qual deseja observá-los, se há coisas que você deseja revisar diariamente e outros itens que deseja verificar uma vez por hora, por exemplo. É possível que queira examinar as entradas no Azure AD a cada hora em busca de anomalias.You can also create dashboards based on how frequently you want to look at them, whether there are things you want to review daily, and others items you want to check once an hour, for example, you might want to look at your Azure AD sign-ins every hour to search for anomalies.

Criar detecçõesCreate new detections

Gere detecções nas fontes de dados que você conectou ao Azure Sentinel para investigar ameaças em sua organização.Generate detections on the data sources that you connected to Azure Sentinel to investigate threats in your organization.

Quando você criar uma detecção, aproveite as detecções internas criadas por pesquisadores de segurança da Microsoft que são personalizadas para as fontes de dados conectadas.When you create a new detection, leverage the built-in detections crafted by Microsoft security researchers that are tailored to the data sources you connected.

  1. Na comunidade do GitHub, acesse a pasta Detecções e selecione as pastas relevantes.In the GitHub community go to the Detections folder and select the relevant folders. pastas relevantesrelevant folders

  2. Acesse a guia Análise e selecione Adicionar.Go to the Analytics tab and select add. criar regra no Log Analyticscreate rule in Log Analytics

  3. Copie todos os parâmetros para a regra e clique em Criar.Copy all parameters to the rule and click Create. criar regra de alertacreate alert rule

Próximas etapasNext steps

Neste início rápido, você aprendeu como começar a usar o Azure Sentinel.In this quickstart, you learned how to get started using Azure Sentinel. Continue com o tutorial sobre como detectar ameaças.Continue to the tutorial for how to detect threats.

Detecte ameaças para automatizar suas respostas às ameaças.Detect threats to automate your responses to threats.