Treinamento de aumento de habilidade do Microsoft Sentinel
Este artigo orienta você em um treinamento de nível 400 para ajudá-lo a se aprimorar no Microsoft Sentinel. O treinamento é composto por 21 módulos individuais que apresentam documentação relevante do produto, postagens em blogs e outros recursos.
Os módulos listados aqui são divididos em cinco partes seguindo o ciclo de vida de um SOC (centro de operações de segurança):
- Módulo 0: Outras opções de aprendizagem e suporte
- Módulo 1: introdução ao Microsoft Azure Sentinel
- Módulo 2: como o Microsoft Sentinel é usado?
Parte 2: arquitetura e implantação
- Módulo 3: workspace e arquitetura de locatário
- Módulo 4: coleta de dados
- Módulo 5: gerenciamento de logs
- Módulo 6: Enriquecimento: inteligência contra ameaças, listas de observação e muito mais
- Módulo 7: transformação de log
- Módulo 8: migração
- Módulo 9: Modelo e normalização de informações SIEM avançados
- Módulo 10: Linguagem de Consulta Kusto
- Módulo 11: análise
- Módulo 12: Implementação do SOAR
- Módulo 13: pastas de trabalho, relatórios e visualização
- Módulo 14: notebooks
- Módulo 15: casos de uso e soluções
- Módulo 16: um dia na vida de um analista do SOC, gerenciamento de incidentes e investigação
- Módulo 17: busca
- Módulo 18: UEBA (análise do comportamento de usuários e de entidades)
- Módulo 19: monitorando a integridade do Microsoft Sentinel
- Módulo 20: estendendo e integrando usando APIs do Microsoft Sentinel
- Módulo 21: Crie seu próprio Machine Learning
Parte 1: visão geral
Módulo 0: outras opções de aprendizado e suporte
Este treinamento de habilidades é um treinamento de nível 400 baseado no treinamento do Microsoft Sentinel Ninja. Se você não quiser se aprofundar tanto ou tiver um problema específico para resolver, outros recursos podem ser mais adequados:
- Embora o treinamento de qualificação seja extenso, ele naturalmente tem que seguir um roteiro e não pode se expandir em todos os tópicos. Consulte a documentação referenciada para obter informações sobre cada artigo.
- Agora você pode se certificar com a nova certificação SC-200: Microsoft Security Operations Analyst, que abrange o Microsoft Sentinel. Para uma visão mais ampla e de nível superior do pacote de segurança da Microsoft, você também pode considerar SC-900: Microsoft Security, Compliance, and Identity Fundamentals ou AZ-500: Microsoft Azure Security Technologies.
- Se você já estiver familiarizado com o Microsoft Sentinel, acompanhe as novidades ou participe do programa Microsoft Cloud Security Private Community para ter uma visão antecipada dos próximos lançamentos.
- Você tem uma ideia de recurso para compartilhar conosco? Conte-nos por meio da página de voz do usuário do Microsoft Sentinel.
- Você é um cliente principal? Você pode querer o Workshop de conceitos básicos do Microsoft Sentinel, local ou remoto, de quatro dias. Entre em contato com o gerente de conta de sucesso do cliente para obter mais detalhes.
- Você tem um problema específico? Pergunte (ou responda a outras pessoas) na Comunidade Técnica do Microsoft Sentinel. Ou você pode enviar sua pergunta ou problema por e-mail para nós em MicrosoftSentinel@microsoft.com.
Módulo 1: introdução ao Microsoft Azure Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças. Para obter mais informações, consulte O que é o Microsoft Azure Sentinel?.
Se você deseja obter uma visão geral inicial dos recursos técnicos do Microsoft Sentinel, a última apresentação do Ignite é um bom ponto de partida. Você também pode achar útil o Guia de início rápido do Microsoft Sentinel (é necessário o registro no site).
Você encontrará uma visão geral mais detalhada neste webinar do Microsoft Sentinel: YouTube, MP4 ou apresentação.
Por fim, você mesmo quer experimentar? O Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4 ou apresentação) oferece uma maneira fácil de começar. Para saber como começar, revise a documentação de integração ou assista ao vídeo de configuração e configuração do Microsoft Sentinel do Insight.
Saiba mais com outros usuários
Milhares de organizações e provedores de serviços estão usando o Microsoft Sentinel. Como de costume com os produtos de segurança, a maioria das organizações não anuncia isto publicamente. De qualquer forma, aqui estão alguns deles:
- Encontre casos de uso público pelos clientes.
- Stuart Gregg, Gerente de Operações de Segurança da ASOS, publicou um blog muito mais detalhado de sua experiência com o Microsoft Sentinel, com foco em busca.
Aprenda com os analistas
- Azure Sentinel foi o número um no Forrester Wave e o número um em estratégia
- Microsoft nomeou um visionário no Quadrante Mágico do Gartner 2021 para o SIEM para o Microsoft Sentinel
Módulo 2: como o Microsoft Sentinel é usado?
Muitas empresas usam o Microsoft Sentinel como seu SIEM principal. A maioria dos módulos neste curso aborda esse caso de uso. Neste módulo, apresentamos algumas maneiras adicionais de usar o Microsoft Sentinel.
Como parte da pilha de segurança da Microsoft
Use o Microsoft Sentinel, o Microsoft Defender para Nuvem e o Microsoft Defender XDR juntos para proteger suas cargas de trabalho da Microsoft, incluindo Windows, Azure e Office:
- Leia mais sobre nossa solução SIEM+XDR abrangente combinando o Microsoft Sentinel e o Microsoft Defender XDR.
- Leia a bússola de segurança do Azure (agora Práticas recomendadas de segurança da Microsoft) para entender o plano da Microsoft para suas operações de segurança.
- Leia e veja como essa configuração ajuda a detectar e responder a um ataque do WebShell: blog ou demonstração em vídeo.
- Assista ao webinar: Melhor juntos | Detecção, investigação e resposta de ataque de OT e IoT"
Para monitorar suas cargas de trabalho de várias nuvens
A nuvem é (ainda) nova e muitas vezes não é monitorada tão extensivamente quanto as cargas de trabalho locais. Leia esta apresentação para saber como o Microsoft Sentinel pode ajudá-lo a fechar a lacuna de monitoramento de nuvem entre suas nuvens.
Lado a lado com seu SIEM existente
Por um período de transição ou um prazo mais longo, se você estiver usando o Microsoft Sentinel para suas cargas de trabalho na nuvem, poderá usar o Microsoft Sentinel junto com o SIEM existente. Você também pode estar usando ambos com um sistema de tíquete, como o Service Now.
Para obter mais informações sobre a migração de outro SIEM para o Microsoft Sentinel, assista ao webinar de migração: YouTube, MP4 ou apresentação.
Há três cenários comuns para implantação lado a lado:
Se você tiver um sistema de tíquete em seu SOC, uma melhor prática é enviar alertas ou incidentes de ambos os sistemas SIEM para um sistema de tíquete, como o Service Now. Um exemplo é o uso da sincronização bidirecional de incidentes do Microsoft Sentinel com o ServiceNow ou o envio de alertas enriquecidos com eventos de suporte do Microsoft Sentinel para SIEMs de terceiros.
Pelo menos inicialmente, muitos usuários enviam alertas do Microsoft Sentinel para seu SIEM local. Leia sobre como fazer isso no Envio de alertas enriquecidos com eventos de suporte do Microsoft Sentinel para SIEMs de terceiros.
Com o tempo, à medida que o Microsoft Sentinel aborda mais cargas de trabalho, é comum reverter isso e enviar alertas do SIEM local para o Microsoft Sentinel. Para fazer isso:
- Para o Splunk, consulte Enviar dados e eventos notáveis do Splunk para o Microsoft Sentinel.
- Para QRadar, consulte Envio de violações do QRadar para o Microsoft Sentinel.
- Para o ArcSight, consulte o encaminhamento do CEF (Common Event Format).
Você também pode enviar os alertas do Microsoft Sentinel para seu SIEM de terceiros ou sistema de tíquetes usando a API de Segurança do Microsoft Graph. Essa abordagem é mais simples, mas não permite o envio de outros dados.
Para MSSPs
Como ele elimina o custo de configuração e é independente de localização, o Microsoft Sentinel é uma escolha popular para fornecer SIEM como um serviço. Você encontrará uma lista de provedores de serviços de segurança (MSSPs) gerenciados por membros da MISA (Microsoft Intelligent Security Association) que usam o Microsoft Sentinel. Muitos outros MSSPs, especialmente os regionais e menores, usam o Microsoft Sentinel, mas não são membros da MISA.
Para iniciar sua jornada como MSSP, leia os manuais técnicos do Microsoft Sentinel para MSSPs. Mais informações sobre o suporte ao MSSP estão incluídas no próximo módulo, que abrange a arquitetura de nuvem e o suporte a vários locatários.
Parte 2: arquitetura e implantação
Embora a "Parte 1: Visão geral" ofereça maneiras de começar a usar o Microsoft Sentinel em questão de minutos, antes de iniciar uma implantação de produção, é importante criar um plano.
Esta seção orienta você pelas áreas a serem consideradas ao arquitetar sua solução e fornece diretrizes sobre como implementar seu design:
- Workspace e arquitetura de locatário
- Coleta de dados
- Gerenciamento de Log
- Aquisição de inteligência de ameaças
Módulo 3: workspace e arquitetura de locatário
Uma instância do Microsoft Sentinel é chamada de workspace. O workspace é o mesmo que um workspace do Log Analytics e oferece suporte a qualquer recurso do Log Analytics. Você pode pensar no Microsoft Sentinel como uma solução que adiciona recursos SIEM em um workspace do Log Analytics.
Vários workspaces geralmente são necessários e podem atuar juntos como um único sistema do Microsoft Sentinel. Um caso de uso especial é fornecer um serviço usando o Microsoft Sentinel (por exemplo, por um MSSP (Managed Security Service Provider) ou por um Global SOC em uma grande organização).
Para saber mais sobre como usar vários workspaces como um sistema Microsoft Sentinel, consulte Estender o Microsoft Sentinel entre espaços de trabalho e locatários ou assista ao webinar: YouTube, MP4 ou apresentação.
Ao usar vários workspaces, considere o seguinte:
- Um driver importante para usar vários workspaces é a residência de dados. Para obter mais informações, consulte Residência de dados do Microsoft Sentinel.
- Para implantar o Microsoft Sentinel e gerenciar o conteúdo com eficiência em vários workspaces, gerencie o Microsoft Sentinel como código usando a tecnologia de integração contínua/entrega contínua (CI/CD). Uma prática recomendada para o Microsoft Sentinel é habilitar a implantação contínua. Para obter mais informações, consulte Habilitar implantação contínua de forma nativa com repositórios do Microsoft Sentinel.
- Ao gerenciar vários espaços de trabalho como um MSSP, convém proteger a propriedade intelectual do MSSP no Microsoft Sentinel.
O Guia Estratégico Técnico do Microsoft Sentinel para MSSPs fornece diretrizes detalhadas para muitos desses tópicos e também é útil para grandes organizações, não apenas para MSSPs.
Módulo 4: coleta de dados
A base de um SIEM é coletar telemetria: eventos, alertas e informações de enriquecimento contextual, como inteligência de ameaças, dados de vulnerabilidade e informações de ativos. Aqui está uma lista de fontes para consultar:
- Leia Conectores de dados do Microsoft Sentinel.
- Vá para Localizar seu conector de dados do Microsoft Sentinel para ver todos os conectores de dados compatíveis e prontos para uso. Você encontrará links para procedimentos de implantação genéricos e etapas adicionais necessárias para conectores específicos.
- Cenários de coleta de dados: saiba mais sobre métodos de coleta, como Logstash/CEF/WEF. Outros cenários comuns são restrição de permissões para tabelas, filtragem de logs, coleta de logs da Amazon Web Services (AWS) ou Google Cloud Platform (GCP), logs brutos do Microsoft 365 e assim por diante. Tudo pode ser encontrado no webinar "Cenários de coleta de dados": YouTube, MP4 ou apresentação.
A primeira informação que você verá para cada conector é seu método de ingestão de dados. O método que aparece é um link para um dos seguintes procedimentos genéricos de implantação, que contém a maioria das informações necessárias para conectar suas fontes de dados ao Microsoft Sentinel:
| Método de ingestão de dados | Artigo associado |
|---|---|
| Integração de serviço a serviço do Azure | Conectar aos serviços do Azure, Windows, Microsoft e Amazon |
| CEF (Formato Comum de Evento) via Syslog | Obter logs formatados por CEF do seu dispositivo ou aparelho no Microsoft Sentinel |
| API do coletor de dados do Microsoft Sentinel | Conectar sua fonte de dados à API do Coletor de Dados do Microsoft Sentinel para ingerir dados |
| Azure Functions e a API REST | Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados |
| syslog | Colete dados de fontes baseadas em Linux usando Syslog |
| Logs personalizados | Coletar dados em formatos de log personalizados no Microsoft Sentinel usando o agente do Log Analytics |
Se sua origem não estiver disponível, você poderá criar um conector personalizado. Os conectores personalizados usam a API de ingestão e, portanto, são semelhantes às fontes diretas. Com mais frequência, você implementa conectores personalizados usando os Aplicativos Lógicos do Azure, que oferecem uma opção sem código, ou o Azure Functions.
Módulo 5: gerenciamento de logs
A primeira decisão de arquitetura a ser considerada ao configurar o Microsoft Sentinel é quantos espaços de trabalho e quais usar. Outras decisões importantes de arquitetura de gerenciamento de logs a serem consideradas incluem:
- Onde e por quanto tempo reter dados.
- Como gerenciar melhor o acesso aos dados e protegê-los.
Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel
Para começar, assista ao webinar "Gerenciar seu ciclo de vida de log com novos métodos para ingestão, arquivamento, pesquisa e restauração".
Este conjunto de recursos contém:
- Camada de ingestão básica: um novo tipo de preço para logs do Azure Monitor que permite xonsumir logs a um custo menor. Esses dados são retidos no espaço de trabalho por apenas oito dias.
- Camada de armazenamento de arquivos: O Azure Monitor Logs expandiu sua capacidade de retenção de dois para sete anos. Com essa nova camada, você pode reter dados por até sete anos em um estado arquivado de baixo custo.
- Trabalhos de pesquisa:Tarefas de pesquisa que executam KQL limitado para localizar e retornar todos os logs relevantes. Esses trabalhos pesquisam dados na camada de análise, na camada básica e nos dados arquivados.
- Restauração de dados: Um novo recurso que permite escolher uma tabela de dados e um intervalo de tempo para que você possa restaurar dados no espaço de trabalho por meio de uma tabela de restauração.
Para obter mais informações sobre esses novos recursos, consulte Ingerir, arquivar, pesquisar e restaurar dados no Microsoft Sentinel.
Opções alternativas de retenção fora da plataforma Microsoft Sentinel
Se você deseja reter dados por mais de dois anos ou reduzir o custo de retenção, considere usar o Azure Data Explorer para retenção de longo prazo de logs do Microsoft Sentinel. Consulte os slides do webinar, a gravação de webinar ou o blog.
Deseja informações mais detalhadas? Assista ao webinar "Aprimorando a amplitude e a cobertura da caça a ameaças com suporte a ADX, mais tipos de entidade e integração MITRE atualizada".
Se você preferir outra solução de retenção de longo prazo, confira Exportar do espaço de trabalho do Microsoft Sentinel/Log Analytics para o Armazenamento do Azure e Hubs de Eventos ou Mover logs para o armazenamento de longo prazo usando os Aplicativos Lógicos do Azure. A vantagem de usar Aplicativos Lógicos do Azure é que ele pode exportar dados históricos.
Por fim, você pode definir períodos de retenção refinados usando configurações de retenção em nível de tabela. Para obter mais informações, consulte Configurar retenção de dados e políticas de arquivamento nos logs do Azure Monitor (visualização).
Log de Segurança
Use o controle de acesso baseado em função de recursos (RBAC) ou RBAC em nível de tabela para permitir que várias equipes usem um único workspace.
Se necessário, exclua o conteúdo do cliente de seus workspaces.
Saiba como auditar consultas de espaço de trabalho e uso do Microsoft Sentinel usando consultas e pastas de trabalho de alertas.
Use links privados para garantir que os logs nunca saiam de sua rede privada.
Cluster dedicado
Use um cluster de workspace dedicado se a ingestão de dados projetado for igual ou superior a 500 GB por dia. Com um cluster dedicado, você pode proteger recursos para seus dados do Microsoft Sentinel, o que permite um melhor desempenho de consulta para grandes conjuntos de dados.
Módulo 6: enriquecimento: inteligência de ameaças, listas de observação e muito mais
Uma das funções importantes de um SIEM é aplicar informações contextuais ao fluxo de eventos, o que permite detecção, priorização de alertas e investigação de incidentes. As informações contextuais incluem, por exemplo, inteligência de ameaças, inteligência de IP, informações de host e usuário e listas de observação.
O Microsoft Sentinel fornece ferramentas abrangentes para importar, gerenciar e usar inteligência contra ameaças. Para outros tipos de informações contextuais, o Microsoft Sentinel fornece listas de observação e outras soluções alternativas.
Inteligência contra ameaças
A inteligência de ameaças é um componente importante de um SIEM. Assista ao webinar "Explore o poder da inteligência contra ameaças no Microsoft Sentinel".
No Microsoft Sentinel, você pode integrar a inteligência de ameaças usando os conectores internos dos servidores TAXII (Trusted Automated eXchange of Indicator Information) ou por meio da API de segurança do Microsoft Graph. Para obter mais informações, consulte Integração de inteligência de ameaças no Microsoft Sentinel. Para obter mais informações sobre como importar inteligência contra ameaças, consulte as seções Módulo 4: coleta de dados.
Depois de importada, a inteligência de ameaças é usada extensivamente em todo o Microsoft Sentinel. Os recursos a seguir se concentram no uso de inteligência de ameaças:
Visualize e gerencie a inteligência de ameaças importada em Logs na nova área Threat Intelligence do Microsoft Sentinel.
Use os modelos de regras de análise de inteligência de ameaças integrados para gerar alertas e incidentes de segurança usando sua inteligência de ameaças importada.
Visualize informações importantes sobre sua inteligência de ameaças no Microsoft Sentinel usando a pasta de trabalho de inteligência de ameaças.
Assista ao webinar "Automatize seus esforços de triagem do Microsoft Sentinel com o RiskIQ Threat Intelligence": YouTube ou apresentação.
Com pouco tempo? Assista a sessão ignite (28 minutos).
Deseja informações mais detalhadas? Assista ao webinar "Aprofundamento em inteligência de ameaças": YouTube, MP4 ou apresentação.
Watchlists e outros mecanismos de pesquisa
Para importar e gerenciar qualquer tipo de informação contextual, o Microsoft Sentinel fornece listas de observação. Ao usar listas de observação, você pode fazer upload de tabelas de dados no formato CSV e usá-las em suas consultas KQL. Para obter mais informações, consulte Usar listas de observação no Microsoft Sentinel ou assista o webinar "Usar listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.
Use as watchlists como auxílio nos seguintes cenários:
Investigue ameaças e responda a incidentes rapidamente: importe rapidamente endereços IP, hashes de arquivos e outros dados de arquivos CSV. Depois de importar os dados, use os pares nome-valor da inspeção para junções e filtros em regras de alerta, busca de ameaças, pastas de trabalho, notebooks e consultas em geral.
Importe dados de negócios como uma lista de observação: por exemplo, importe listas de usuários com acesso privilegiado ao sistema ou funcionários demitidos. Em seguida, use a watchlist para criar listas de permitidos e listas de bloqueados a fim de detectar ou impedir que esses usuários façam logon na rede.
Reduza a fadiga do alerta: crie listas de permissões para suprimir alertas de um grupo de usuários, como usuários de endereços IP autorizados que executam tarefas que normalmente disparam o alerta. Impeça que eventos benignos se tornem alertas.
Enriqueça dados de eventos : use listas de observação para enriquecer seus dados de eventos com combinações de nome-valor derivadas de fontes de dados externas.
Além das listas de observação, você pode usar o operador de dados externos KQL, logs personalizados e funções KQL para gerenciar e consultar informações de contexto. Cada um dos quatro métodos tem seus prós e contras, e você pode ler mais sobre as comparações entre eles na postagem do blog "Implementação de pesquisas no Microsoft Sentinel". Embora cada método seja diferente, usar as informações resultantes em suas consultas é semelhante e permite alternar facilmente entre eles.
Para obter ideias sobre como usar listas de observação fora das regras analíticas, consulte Utilizar listas de observação para impulsionar a eficiência durante as investigações do Microsoft Sentinel.
Assista ao webinar "Usar listas de observação para gerenciar alertas, reduzir a fadiga de alertas e melhorar a eficiência do SOC": YouTube ou apresentação.
Módulo 7: transformação de log
O Microsoft Sentinel dá suporte a dois novos recursos para ingestão e transformação de dados. Esses recursos, fornecidos pelo Log Analytics, atuam nos seus dados antes mesmo de serem armazenados no seu workspace. Os recursos são:
API de consumo de logs: use-a para enviar logs de formato personalizado de qualquer fonte de dados para seu workspace do Log Analytics e, em seguida, armazene esses logs em determinadas tabelas padrão específicas ou em tabelas com formato personalizado que você cria. Você pode realizar o consumo real desses logs usando chamadas diretas de API. Você pode usar as regras de coleta de dados do Azure Monitor para definir e configurar esses fluxos de trabalho.
Transformações de dados do workspace para logs padrão: ele usa regras de coleta de dados para filtrar dados irrelevantes, enriquecer ou marcar seus dados ou ocultar informações confidenciais ou pessoais. Você pode configurar a transformação de dados no momento do consumo para os seguintes tipos de conectores de dados integrados:
- Conectores de dados baseados no agente Azure Monitor (AMA) (com base no novo agente Azure Monitor)
- Conectores de dados baseados no agente de monitoramento da Microsoft (MMA) (com base no agente de logs do Azure Monitor herdado)
- Conectores de dados que usam configurações de diagnóstico
- Conectores de dados de serviço a serviço
Para obter mais informações, consulte:
- Transformar ou personalizar dados no momento da ingestão no Microsoft Sentinel
- Encontrar o conector de dados do Microsoft Azure Sentinel
Módulo 8: migração
Em muitos casos (se não a maioria), você já tem um SIEM e precisa migrar para o Microsoft Sentinel. Embora possa ser um bom momento para recomeçar e repensar sua implementação de SIEM, faz sentido utilizar alguns dos ativos que você já construiu em sua implementação atual. Assista ao webinar "Melhores práticas para converter regras de detecção" (do Splunk, QRadar e ArcSight para o Azure Microsoft Sentinel): YouTube, MP4, apresentação ou blog.
Você também pode estar interessado nos seguintes recursos:
- Splunk Search Processing Language (SPL) para mapeamentos KQL
- Exemplos de mapeamento de regra do ArcSight e do QRadar
Módulo 9: normalização e modelo de informações SIEM avançado
Trabalhar com vários tipos de dados e tabelas juntos pode ser um desafio. Você deve se familiarizar com esses tipos de dados e esquemas enquanto escreve e usa um conjunto exclusivo de regras de análise, pastas de trabalho e consultas de busca. A correlação entre os tipos de dados necessários para investigação e busca também pode ser complicada.
O modelo de informações Advanced SIEM (ASIM) fornece uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas. O ASIM está alinhado com o modelo de informações comuns do OSSEM (Metadados de Eventos de Segurança de Código Aberto), promovendo a normalização independente de fornecedores em todo o setor. Assista ao webinar "Advanced SIEM information model (ASIM): Now built into Microsoft Sentinel": YouTube ou apresentação.
A implementação atual é baseada na normalização do tempo de consulta, que usa funções KQL:
Os esquemas normalizados abrangem conjuntos padrão de tipos de eventos previsíveis que são fáceis de trabalhar e criam recursos unificados. O esquema define quais campos devem representar um evento, uma convenção de nomenclatura de coluna normalizada e um formato padrão para os valores de campo.
- Assista ao webinar "Entendendo a normalização no Microsoft Sentinel": YouTube ou apresentação.
- Assista ao webinar "Insights sobre analisadores de normalização e conteúdo normalizado do Microsoft Sentinel": YouTube, MP3 ou apresentação.
Os analisadores mapeiam os dados existentes para os esquemas normalizados. Você implementa analisadores usando funções KQL. Assista ao webinar "Estender e gerenciar ASIM: desenvolvendo, testando e implantando analisadores": YouTube ou apresentação.
O conteúdo de cada esquema normalizado inclui regras de análise, pastas de trabalho e consultas de busca. Esse conteúdo funciona em todos os dados normalizados sem a necessidade de criar conteúdo específico da origem.
O uso da ASIM oferece os seguintes benefícios:
Detecção entre fontes: as regras analíticas normalizadas funcionam entre fontes locais e na nuvem. As regras detectam ataques, como força bruta ou viagens impossíveis entre sistemas, incluindo Okta, AWS e Azure.
Permite conteúdo agnóstico de origem: a cobertura de conteúdo integrado e personalizado usando ASIM se expande automaticamente para qualquer fonte que suporte ASIM, mesmo que a fonte tenha sido adicionada após a criação do conteúdo. Por exemplo, a análise de eventos de processo dá suporte a qualquer fonte que um cliente possa usar para trazer os dados, incluindo o Microsoft Defender for Endpoint, Windows Events e Sysmon. Estamos prontos para adicionar o Sysmon para Linux e WEF quando ele for lançado.
Suporte para as fontes personalizadas na análise interna
Facilidade de uso: analistas que aprendem as ASIM acham muito mais simples escrever consultas porque os nomes de campo são sempre os mesmos.
Saiba mais sobre o ASIM
Aproveite esses recursos:
Assista ao webinar "Entendendo a normalização no Azure Sentinel": YouTube ou apresentação.
Assista ao webinar "Insights sobre analisadores de normalização e conteúdo normalizado do Microsoft Sentinel": YouTube, MP3 ou apresentação.
Assista ao webinar ASIM de Turbocharging: Assegurar que a normalização ajuda o desempenho, não o afeta : YouTube, MP4, Apresentação.
Leia a documentação do ASIM.
Implantar ASIM
Implante os analisadores das pastas começando com "ASIM*" na pasta analisadores no GitHub.
Ativar regras analíticas que usam ASIM. Procure normal na galeria de modelos para encontrar alguns deles. Para obter a lista completa, use esta pesquisa do GitHub.
Usar o ASIM
Use consultas ASIM quando estiver usando KQL na tela de log.
Grave suas próprias regras de análise usando ASIM ou converta as regras existentes.
Grave analisadores para suas fontes personalizadas para torná-las compatíveis com o ASIM e participarem da análise interna.
Parte 3: criando conteúdo
O que é conteúdo do Microsoft Sentinel?
O valor da segurança do Microsoft Sentinel é uma combinação de seus recursos internos e sua capacidade de criar recursos personalizados e personalizar os integrados. Entre os recursos integrados, há User and Entity Behavior Analytics (UEBA), machine learning ou regras de análise prontas para uso. Os recursos personalizados geralmente são chamados de "conteúdo" e incluem regras analíticas, consultas de busca, pastas de trabalho, manuais e assim por diante.
Nesta seção, agrupamos os módulos que ajudam você a aprender a criar esse conteúdo ou modificar o conteúdo interno de acordo com suas necessidades. Começamos com KQL, a língua franca do Azure Microsoft Sentinel. Os módulos a seguir discutem um dos alicerces do conteúdo, como regras, guias estratégicos e pastas de trabalho. Eles terminam discutindo casos de uso, que abrangem elementos de diferentes tipos que abordam objetivos de segurança específicos, como detecção de ameaças, pesquisa ou governança.
Módulo 10: linguagem de Consulta Kusto
A maioria dos recursos do Microsoft Sentinel usa a KQL ou Linguagem de Consulta Kusto. Ao pesquisar em seus logs, gravar regras, criar consultas de busca ou criar pastas de trabalho, você usa KQL.
A próxima seção sobre regras de gravação explica como usar KQL no contexto específico das regras SIEM.
A jornada recomendada para aprender o Microsoft Sentinel KQL
Curso KQL do Pluralsight – noções básicas
Deve aprender kql: uma série KQL de 20 partes que orienta você através dos conceitos básicos da criação de sua primeira regra de análise (inclui uma avaliação e um certificado)
O Laboratório KQL do Microsoft Sentinel: um laboratório interativo que ensina KQL com foco no que você precisa para o Microsoft Sentinel:
- Módulo de aprendizagem (SC-200 parte 4)
- URL de apresentação ou laboratório
- Uma versão do Jupyter Notebooks, que permite testar as consultas no notebook
- Webinar de aprendizagem: YouTube, MP4
- Revisão do webinar de soluções de laboratório: YouTube, MP4
Webinar "Otimizando o desempenho de consultas KQL do Microsoft Sentinel do Azure": YouTube, MP4 ou apresentação
"Usando o ASIM em suas consultas KQL": YouTube, apresentação
Webinar "Estrutura KQL para Microsoft Sentinel: capacitando você para se tornar conhecedor de KQL": YouTube ou apresentação
À medida que aprende KQL, você também pode achar úteis as seguintes referências:
Módulo 11: análise
Gravando regras de análise agendada
Com o Microsoft Sentinel, você pode usar modelos de regras integrados, personalizar os modelos para seu ambiente ou criar regras personalizadas. O núcleo das regras é uma consulta KQL; no entanto, há muito mais do que isso para configurar em uma regra.
Para aprender o procedimento para criar regras, consulte Criar regras de análise personalizadas para detectar ameaças. Para saber como gravar regras (ou seja, o que deve entrar em uma regra, focando em KQL para regras), assista ao webinar: MP4, YouTube, Apresentação.
As regras de análise SIEM têm padrões específicos. Saiba como implementar regras e gravar KQL para esses padrões:
Regras de correlação: Consulte Usando listas e o operador "in" ou usando o operador "join"
Agregação: Consulte Usando listas e o operador "in" ou um padrão mais avançado de manipulação de janelas deslizantes
Pesquisas: pesquisas combinadas parciais, regulares ou aproximadas
Tratamento de falsos positivos
Eventos atrasados: são um fato em qualquer SIEM e são difíceis de enfrentar. O Microsoft Sentinel pode ajudar a reduzir os atrasos em suas regras.
Use funções KQL como blocos de construção: Enriqueça os eventos de segurança do Windows com funções parametrizadas.
A postagem do blog "Investigações de armazenamento de blob e arquivo" fornece um exemplo passo a passo de como escrever uma regra analítica útil.
Usar análise interna
Antes de embarcar em sua própria redação de regras, considere aproveitar os recursos de análise integrados. Eles não exigem muito de você, mas vale a pena saber sobre eles:
Usar os modelos de regra agendados internos. Antes de embarcar em sua própria redação de regras, considere aproveitar os recursos de análise integrados. Certifique-se de implantar os modelos para os conectores de dados que você conecta, que estão listados na guia Próximas etapas do conector de dados.
Saiba mais sobre os recursos machine learning do Microsoft Sentinel: YouTube, MP4 ou apresentação.
Obtenha a lista de detecções de ataque de vários estágios avançadas do Microsoft Sentinel (Fusion), que são habilitadas por padrão.
Assista ao webinar "Detecções de aprendizado de máquina de fusão com regras de análise programadas": YouTube, MP4 ou apresentação.
Saiba mais sobre as anomalias de aprendizado de máquina SOC integradas do Microsoft Sentinel.
Assista ao webinar "Anomalias de aprendizado de máquina SOC personalizadas e como usá-las": YouTube, MP4 ou apresentação.
Assista ao webinar "Detecções de aprendizado de máquina de fusão para ameaças emergentes e IU de configuração": YouTube ou apresentação.
Módulo 12: Implementação do SOAR
Em SIEMs modernos, como o Microsoft Sentinel, o SOAR compõe todo o processo desde o momento em que um incidente é acionado até sua resolução. Esse processo começa com uma investigação de incidente e continua com uma resposta automatizada. A postagem no blog "Como usar o Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automação" fornece uma visão geral dos casos de uso comuns para SOAR.
As regras de automação são o ponto de partida para a automação do Microsoft Sentinel. Eles fornecem um método leve de tratamento centralizado e automatizado de incidentes, incluindo supressão, tratamento de falsos positivos e atribuição automática.
Para fornecer recursos robustos de automação baseados em fluxo de trabalho, as regras de automação usam manuais de Aplicativos Lógicos do Azure. Para saber mais:
Assista ao webinar Libere os truques Jedi de automação e crie guias estratégicos de Aplicativos Lógicos com maestria: YouTube, MP4, Apresentação.
Leia sobre Aplicativos Lógicos, que é a tecnologia principal que impulsiona os guias estratégicos do Microsoft Sentinel.
Consulte o conector dos Aplicativos Lógicos do Microsoft Sentinel, o link entre os Aplicativos Lógicos e o Microsoft Sentinel.
Você encontrará dezenas de manuais úteis na pasta Playbooks no site do Microsoft Sentinel GitHub ou lerá um manual usando uma lista de observação para informar um proprietário de assinatura sobre um alerta para um passo a passo de manual.
Módulo 13: pastas de trabalho, relatórios e visualização
Pastas de trabalho
Como o centro nervoso de seu SOC, o Microsoft Sentinel é necessário para visualizar as informações que ele coleta e produz. Use as pastas de trabalho para visualizar dados no Microsoft Sentinel.
Para saber como criar pastas de trabalho, leia a documentação de pastas de trabalho do Azure ou assista ao treinamento de pastas de trabalho de Billy York (e o texto que as acompanha).
Os recursos mencionados não são específicos do Microsoft Sentinel. Eles se aplicam a pastas de trabalho em geral. Para saber mais sobre pastas de trabalho no Microsoft Sentinel, assista ao webinar: YouTube, MP4 ou apresentação. Leia a documentação.
As pastas de trabalho podem ser interativas e habilitar muito mais do que apenas gráficos. Com pastas de trabalho, você pode criar aplicativos ou módulos de extensão para o Microsoft Sentinel para complementar sua funcionalidade integrada. Você também pode usar pastas de trabalho para estender os recursos do Microsoft Sentinel. Aqui estão alguns exemplos de tais aplicativos:
A Pasta de Trabalho dos Insights de Investigação fornece uma abordagem alternativa para investigar incidentes.
A visualização de gráfico de colaborações externas do Teams permite a busca de uso arriscado do Teams.
A pasta de trabalho do mapa de viagens dos usuários permite que você investigue alertas de geolocalização.
O guia de implementação da pasta de trabalho de protocolos inseguros do Microsoft Sentinel, aprimoramentos recentes e vídeo de visão geral) ajuda a identificar o uso de protocolos inseguros em sua rede.
Por fim, saiba como integrar informações de qualquer fonte usando chamadas de API em uma pasta de trabalho.
Você encontrará dezenas de livros de trabalho na pasta Workbooks no Microsoft Sentinel GitHub. Algumas delas também estão disponíveis na galeria de pastas de trabalho do Microsoft Sentinel.
Relatórios e outras opções de visualização
As pastas de trabalho podem servir para relatórios. Para recursos de relatórios mais avançados, como agendamento e distribuição de relatórios ou tabelas dinâmicas, você pode usar:
Power BI, que se integra nativamente com Azure Monitor Logs e Microsoft Sentinel.
Excel, que pode usar o Azure Monitor Logs e o Microsoft Sentinel como fonte de dados, e veja o vídeo "Integrar logs de Azure Monitor e Excel com Azure Monitor".
Os notebooks Jupyter, um tópico que será abordado posteriormente no módulo de caça, também são uma ótima ferramenta de visualização.
Módulo 14: notebooks
Os notebooks Jupyter são totalmente integrados ao Microsoft Sentinel. Embora considerado uma ferramenta importante na caixa de ferramentas do caçador e discutido nos webinars na seção de busca abaixo, seu valor é muito mais amplo. Os notebooks podem servir para visualização avançada, como guia de investigação e para automação sofisticada.
Para entender melhor os notebooks, assista ao vídeo Introdução aos notebooks. Comece a usar o webinar de notebooks (YouTube, MP4 ou apresentação) ou leia a documentação. A série Microsoft Sentinel Notebooks Ninja é uma série de treinamento contínuo para aprimorar suas habilidades em notebooks.
Uma parte importante da integração é implementada pelo MSTICPy, que é uma biblioteca Python desenvolvida por nossa equipe de pesquisa para ser usada com notebooks Jupyter. Ela adiciona interfaces do Microsoft Sentinel e funcionalidades de segurança sofisticadas aos seus notebooks.
Módulo 15: casos de uso e soluções
Com conectores, regras, manuais e pastas de trabalho, você pode implementar casos de uso, que é o termo SIEM para um pacote de conteúdo destinado a detectar e responder a uma ameaça. Você pode implantar casos de uso integrados do Microsoft Sentinel ativando as regras sugeridas ao conectar cada conector. Uma solução é um grupo de casos de uso que abordam um domínio de ameaça específico.r.
O webinar "Tackling Identity" (YouTube, MP4 ou apresentação) explica o que é um caso de uso e como abordar seu design e apresenta vários casos de uso que abordam coletivamente ameaças de identidade.
Outra área de solução relevante é proteger o trabalho remoto. Veja nossa sessão do Ignite sobre como proteger o trabalho remoto e leia mais sobre os seguintes casos de uso específicos:
Microsoft Teams procurando casos de uso e visualização em gráfico de colaborações externas do Microsoft Teams
Monitoramento do Zoom com o Microsoft Sentinel: conectores personalizados, regras analíticas e consultas de busca.
Monitoramento da Área de Trabalho Virtual do Azure com o Microsoft Sentinel: use eventos de segurança do Windows, logs de entrada do Microsoft Entra, Microsoft Defender XDR para Pontos de Extremidade e logs de diagnóstico da Área de Trabalho Virtual do Azure para detectar e procurar ameaças da Área de Trabalho Virtual do Azure.
Monitore o Microsoft Intune usando consultas e pasta de trabalho.
E, finalmente, com foco nos ataques recentes, aprenda a monitorar a cadeia de suprimentos de software com o Microsoft Sentinel.
As soluções do Microsoft Azure Sentinel fornecem descoberta no produto, implantação em etapa única e habilitação de produtos, domínios e/ou cenários verticais de ponta a ponta no Microsoft Azure Sentinel. Para obter mais informações, consulte Sobre o conteúdo e as soluções do Microsoft Sentinel e assista ao webinar "Crie suas próprias soluções do Microsoft Sentinel": YouTube ou apresentação.
Parte 4: operando
Módulo 16: Tratamento de incidentes
Depois de construir seu SOC, você precisa começar a usá-lo. O webinar "o dia na vida de um analista de SOC" (YouTube, MP4 ou apresentação) mostra como usar o Microsoft Sentinel no SOC para fazer a triagem, investigar e responder a incidentes.
Para ajudar a permitir que suas equipes colaborem perfeitamente em toda a organização e com partes interessadas externas, consulte Integração com o Microsoft Teams diretamente do Microsoft Sentinel. E assista ao webinar "Diminua o MTTR (Mean Time to Respond) do seu SOC integrando o Microsoft Sentinel com o Microsoft Teams".
Talvez você também queira ler o artigo da documentação sobre a investigação de incidentes. Como parte da investigação, você também usará as páginas de entidade para obter mais informações sobre entidades relacionadas ao incidente ou identificadas como parte de sua investigação.
A investigação de incidentes no Microsoft Sentinel vai além da funcionalidade principal de investigação de incidentes. Você pode criar ferramentas de investigação adicionais usando pastas de trabalho e notebooks. Os notebooks são discutidos na próxima seção, Módulo 17:Pesquisa. Você também pode criar mais ferramentas de investigação ou modificar as existentes de acordo com suas necessidades específicas. Os exemplos incluem:
A Pasta de Trabalho dos Insights de Investigação fornece uma abordagem alternativa para investigar incidentes.
Os notebooks aprimoram a experiência de investigação. Leia Por que usar o Jupyter para investigações de segurança?, e saiba como investigar usando os notebooks Microsoft Sentinel e Jupyter:
Módulo 17: busca
Embora a maior parte da discussão até agora tenha se concentrado na detecção e no gerenciamento de incidentes, a busca é outro caso de uso importante para o Microsoft Sentinel. A busca é uma busca proativa por ameaças em vez de uma resposta reativa aos alertas.
O painel de busca é atualizado constantemente. Ele mostra todas as consultas que foram escritas pela equipe de analistas de segurança da Microsoft e quaisquer consultas extras que você criou ou modificou. Cada consulta fornece uma descrição do que está procurando e em que tipo de dados é executado. Esses modelos são agrupados por suas várias táticas. Os ícones à direita categorizam o tipo de ameaça, como acesso inicial, persistência e exfiltração. Para saber mais, confira Buscar ameaças com o Microsoft Azure Sentinel.
Para entender mais sobre o que é a caça e como o Microsoft Sentinel a suporta, assista ao webinar introdutório "Caça a ameaças": YouTube, MP4 ou apresentação. O webinar começa com uma atualização sobre novos recursos. Para saber mais sobre a busca, comece no slide 12. O vídeo do YouTube já está definido para começar por aí.
Embora o webinar introdutório se concentre em ferramentas, a caça tem tudo a ver com segurança. Nosso webinar da equipe de pesquisa de segurança (YouTube, MP4 ou apresentação) se concentra em como realmente buscar.
O webinar de acompanhamento, "Caça a ameaças da AWS usando o Microsoft Sentinel" (YouTube, MP4 ou apresentação) orienta o ponto ao mostrar um cenário de busca de ponta a ponta em um ambiente de destino de alto valor.
Por fim, você pode aprender como fazer a busca pós-comprometimento do SolarWinds com o Microsoft Sentinel e a busca do WebShell, motivado pelas vulnerabilidades mais recentes nos servidores locais do Microsoft Exchange.
Módulo 18: UEBA (análise do comportamento de usuários e de entidades)
O recém-lançado módulo Microsoft Sentinel User and Entity Behavior Analytics (UEBA) permite que você identifique e investigue ameaças dentro de sua organização e seu impacto potencial, sejam eles provenientes de uma entidade comprometida ou de um insider mal-intencionado.
À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais básicos das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Por meio de várias técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Além disso, ele também pode descobrir a confidencialidade relativa de ativos específicos, identificar grupos de ativos de pares e avaliar o possível impacto dos ativos comprometidos (o "raio de transmissão" deles). Munido dessas informações, você pode priorizar efetivamente a investigação e o tratamento de incidentes.
Saiba mais sobre o UEBA assistindo ao webinar (YouTube, MP4 ou apresentação) e leia sobre o uso do UEBA para investigações em seu SOC.
Para saber mais sobre as atualizações mais recentes, assista ao webinar "Futuro da Análise Comportamental de Entidade de Usuários no Microsoft Sentinel".
Módulo 19: monitorando a integridade do Microsoft Sentinel
Parte da operação de um SIEM é garantir que ele funcione sem problemas e seja uma área em evolução no Azure Microsoft Sentinel. Use o seguinte para monitorar a integridade do Microsoft Sentinel:
Meça a eficiência de suas operações de segurança (vídeo).
A tabela de dados do Microsoft Sentinel Health fornece informações sobre desvios de integridade, como eventos de falha mais recentes por conector ou conectores com alterações de estados de sucesso a falhas, que você pode usar para criar alertas e outras ações automatizadas. Para obter mais informações, confira Monitorar a integridade dos seus conectores de dados. Assista ao vídeo "Pasta de trabalho de monitoramento de integridade de conectores de dados". E receba notificações sobre anomalias.
Monitore os agentes usando a solução de integridade dos agentes (somente Windows) e a tabela Heartbeat (Linux e Windows).
Monitore seu espaço de trabalho do Log Analytics: YouTub, MP4 ou apresentação, incluindo execução de consulta e integridade de ingestão.
O gerenciamento de custos também é um procedimento operacional importante no SOC. Use o Manual de Alerta de Custo de Ingestão para garantir que você esteja sempre ciente de qualquer aumento de custo.
Parte 5: avançado
Módulo 20: Estendendo e integrando usando as APIs do Microsoft Sentinel
Como um SIEM nativo da nuvem, o Microsoft Sentinel é um sistema que prioriza a API. Cada recurso pode ser configurado e usado por meio de uma API, permitindo fácil integração com outros sistemas e estendendo o Microsoft Sentinel com seu próprio código. Se a API parecer intimidadora para você, não se preocupe. O que estiver disponível usando a API também está disponível usando o PowerShell.
Para saber mais sobre as APIs do Microsoft Sentinel, assista ao pequeno vídeo introdutório e leia a postagem do blog. Para um mergulho mais profundo, assista ao webinar "Estendendo e integrando o Sentinel (APIs)" (YouTube, MP4 ou apresentação) e leia a postagem do blog Estendendo o Microsoft Sentinel: APIs, integração e automação de gerenciamento.
Módulo 21: Crie seu próprio aprendizado de máquina
O Microsoft Sentinel fornece uma ótima plataforma para implementar seus próprios algoritmos de aprendizado de máquina. Chamamos isso de modelo de aprendizado de máquina Faça você mesmo ou BYO ML. BYO ML é destinado a usuários avançados. Se você estiver procurando por análise comportamental integrada, use nossas regras de análise de aprendizado de máquina ou módulo UEBA ou escreva suas próprias regras de análise baseadas em KQL de análise comportamental.
Para começar a trazer seu próprio aprendizado de máquina para o Microsoft Sentinel, assista ao vídeo "Crie seu próprio modelo de aprendizado de máquina" e leia as detecções de modelo de aprendizado de máquina Crie suas próprias detecções de modelo de aprendizado de máquina no Azure Sentinel SIEM imerso em IA. Você também pode consultar a documentação do BYO ML.
Próximas etapas
- Atividades de pré-implantação e pré-requisitos para implantar o Microsoft Sentinel
- Início Rápido: conectar-se ao Microsoft Sentinel
- Novidades no Microsoft Sentinel