Tutorial: Detectar ameaças com o Azure Sentinel PreviewTutorial: Detect threats with Azure Sentinel Preview

Importante

No momento, o Azure Sentinel está em versão prévia pública.Azure Sentinel is currently in public preview. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.Certain features might not be supported or might have constrained capabilities. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Depois de conectar suas fontes de dados ao Azure Sentinel, você deseja ser notificado quando algo suspeito acontecer.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Para permitir que você faça isso, o Azure Sentinel permite que você crie regras de alerta avançadas, que geram incidentes que você pode atribuir e usar para investigar profundamente as anomalias e ameaças em seu ambiente.To enable you to do this, Azure Sentinel lets you create advanced alert rules, that generate incidents that you can assign and use to deeply investigate anomalies and threats in your environment.

Este tutorial ajuda você a detectar ameaças com o Azure Sentinel.This tutorial helps you detect threats with Azure Sentinel.

  • Criar regras de detecçãoCreate detection rules
  • Automatizar as respostas a ameaçasAutomate threat responses

Criar regras de detecçãoCreate detection rules

Para investigar incidentes, primeiro você precisa criar regras de detecção.To investigate incidents, you first have to create detection rules.

Observação

Os alertas gerados no Azure Sentinel estão disponíveis por meio do Microsoft Graph Security.Alerts generated in Azure Sentinel are available through Microsoft Graph Security. Consulte a documentação de alertas de segurança do Microsoft Graph para obter mais detalhes e parceiros de integração.Refer to the Microsoft Graph Security alerts documentation for further details and integration partners.

As regras de detecção baseiam-se nos tipos de ameaças e anomalias que podem ser suspeitas em seu ambiente que você deseja conhecer imediatamente, garantindo que elas sejam apresentadas, investigadas e corrigidas.Detection rules are based on the types of threats and anomalies that could be suspicious in your environment that you want to know about right away, ensuring they are surfaced, investigated, and remediated.

  1. No portal do Azure em Azure Sentinel, selecione análise.In the Azure portal under Azure Sentinel, select Analytics.

    Análise

  2. Na barra de menus superior, clique em + Adicionar.In the top menu bar, click +Add.

    Criar regra de alerta

  3. Em criar regra de alerta, forneça um nome descritivo e defina a severidade conforme necessário.Under Create alert rule, provide a descriptive name, and set the Severity as necessary.

  4. Crie a consulta no Log Analytics e cole-a no campo definir regra de alerta .Create the query in Log Analytics, and then paste it into the Set alert rule field. Aqui está um exemplo de consulta que alertaria quando um número anormal de recursos for criado na atividade do Azure.Here's a sample query that would alert you when an anomalous number of resources is created in Azure Activity.

     AzureActivity
     | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
     | where ActivityStatus == "Succeeded"
     | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Observação

    O comprimento da consulta deve ter entre 1 e 10000 caracteres e não pode conter "Search *" e "Union *".The query length should be between 1 to 10000 characters and cannot contain “search *” and “union *”.

  5. Na seção mapeamento de entidade , use os campos em tipo de entidade para mapear as colunas em sua consulta para os campos de entidade reconhecidos pelo Azure sentinela.In the Entity mapping section, use the fields under Entity type to map the columns in your query to entity fields recognized by Azure Sentinel. Para cada campo, mapeie a coluna relevante na consulta que você criou em Log Analytics, para o campo de entidade apropriado.For each field, map the relevant column in the query you created in Log Analytics, to the appropriate entity field. Selecione o nome da coluna relevante na Propriedade.Select the relevant column name under the Property. Cada entidade inclui vários campos, por exemplo, SID, GUID, etc. Você pode mapear a entidade de acordo com qualquer um dos campos, não apenas a entidade de nível superior.Each entity includes multiple fields, for example SID, GUID, etc. You can map the entity according to any of the fields, not just the upper level entity.

  6. Defina condições de gatilho de alerta em gatilho de alerta.Define alert trigger conditions under Alert trigger. Isso define as condições que disparam o alerta.This defines the conditions that trigger the alert.

  7. Defina a frequência para a frequência com que a consulta é executada-com frequência a cada 5 minutos ou com pouca frequência como uma vez por dia.Set the Frequency for how often the query is run - as frequently as every 5 minutes or as infrequently as once a day.

  8. Defina o período para controlar a janela de tempo para a quantidade de dados em que a consulta é executada, por exemplo, pode ser executada a cada hora em 60 minutos de dados.Set the Period to control the time window for how much data the query runs on - for example, it can run every hour across 60 minutes of data.

  9. Você também pode definir a supressão.You can also set the Suppression. A supressão é útil quando você deseja impedir que alertas duplicados sejam disparados para o mesmo incidente.Suppression is useful when you want to stop duplicate alerts from being triggered for the same incident. Dessa forma, você pode impedir que os alertas sejam disparados durante um período específico.In this way, you can stop alerts from being triggered during a specific period. Isso pode ajudá-lo a evitar alertas duplicados para o mesmo incidente e permitir que você omita alertas consecutivos por um período de tempo.This can help you avoid duplicate alerts for the same incident and allow you to suppress consecutive alerts for a period of time. Por exemplo, se a frequência de agendamento de alerta for definida como 60 minutos e o período de agendamento de alerta for definido como duas horas, e os resultados da consulta ultrapassarem o limite definido, ele disparará um alerta duas vezes, uma vez quando for detectado primeiro nos últimos 60 minutos, e novamente quando estiver nos primeiros 60 minutos de 2 horas de dados sendo amostrados.For example, if the Alert scheduling Frequency is set to 60 minutes, and the Alert scheduling Period is set to two hours, and the query results surpassed the defined threshold, it will trigger an alert twice, once when it is first detected over the last 60 minutes, and again when it is in the first 60 minutes of the 2-hours of data being sampled. Recomendamos que, se um alerta for disparado, a supressão deve ser para o tempo definido no período de alerta.We recommend that if an alert is triggered, the suppression should be for the amount of time set in the alert period. Em nosso exemplo, talvez você queira definir a supressão por 60 minutos, para que os alertas sejam disparados apenas para eventos que ocorreram durante a hora mais recente.In our example, you might want to set suppression for 60 minutes, so that alerts are only triggered for events that happened during the most recent hour.

  10. Depois de colar sua consulta no campo definir regra de alerta , você pode ver imediatamente uma simulação do alerta em simulação de alerta de lógica para que você possa entender a quantidade de dados que será gerada em um intervalo de tempo específico para o alerta Você criou.After you paste your query into the Set alert rule field, you can immediately see a simulation of the alert under Logic alert simulation so that you can gain understanding of how much data will be generated over a specific time interval for the alert you created. Isso dependerá do que você definiu para frequência e limite.This will depend on what you set for Frequency and Threshold. Se você perceber que, em média, seu alerta será disparado com muita frequência, você desejará definir o número de resultados como mais alto para que esteja acima da sua linha de base média.If you see that on average, your alert will be triggered too frequently, you will want to set the number of results higher so that it's above your average baseline.

  11. Clique em criar para inicializar sua regra de alerta.Click Create to initialize your alert rule. Depois que o alerta é criado, é criado um incidente que contém o alerta.After the alert is created, an incident is created that contains the alert. Você pode ver as regras de detecção definidas como linhas na guia análise de segurança . Você também pode ver o número de correspondências para cada regra-os alertas disparados.You can see the defined detection rules as rows in the Security Analytics tab. You can also see the number of matches for each rule - the alerts triggered. Nessa lista, você pode habilitar, desabilitar ou excluir cada regra.From this list you can enable, disable, or delete each rule. Você também pode selecionar com o botão direito do mouse nas reticências (...) no final da linha de cada alerta para editar, desabilitar, clonar, mostrar correspondências ou excluir uma regra.You can also right-select the ellipsis (...) at the end of the row for each alert to edit, disable, clone, show matches, or delete a rule. A página análise é uma galeria de todas as suas regras de alerta ativas, incluindo modelos que você habilita e regras de alerta que você cria com base em modelos.The Analytics page is a gallery of all your active alert rules, including templates you enable and alert rules you create based on templates.

  12. Os resultados das regras de alerta podem ser vistos na página incidentes , na qual você pode fazer a triagem, investigar incidentese corrigir as ameaças.The results of the alert rules can be seen in the incidents page, where you can triage, investigate incidents, and remediate the threats.

Automatizar as respostas a ameaçasAutomate threat responses

As equipes SIEM/SOC podem ser inundadas com alertas de segurança regularmente.SIEM/SOC teams can be inundated with security alerts on a regular basis. O volume de alertas gerados é tão grande que os administradores de segurança disponíveis estão sobrecarregados.The volume of alerts generated is so huge, that available security admins are overwhelmed. Muito frequentemente, isso gera situações em que muitos alertas não podem ser investigados, deixando a organização vulnerável a ataques que passam despercebidos.This results all too often in situations where many alerts can't be investigated, leaving the organization vulnerable to attacks that go unnoticed.

Muitos desses alertas, se não a maioria, estão em conformidade com os padrões recorrentes que podem ser resolvidos por ações de correção específicas e definidas.Many, if not most, of these alerts conform to recurring patterns that can be addressed by specific and defined remediation actions. O Azure Sentinel já permite que você defina sua correção nos guias estratégicos.Azure Sentinel already enables you to define your remediation in playbooks. Também é possível definir a automação em tempo real como parte da definição de guia estratégico para permitir a automatização completa de uma resposta definida a alertas de segurança específicos.It is also possible to set real-time automation as part of your playbook definition to enable you to fully automate a defined response to particular security alerts. Com a automação em tempo real, as equipes de resposta podem reduzir significativamente a carga de trabalho automatizando completamente as respostas de rotina a tipos recorrentes de alertas, permitindo que você se concentre mais em alertas exclusivos, análise de padrões, busca de ameaças e muito mais.Using real-time automation, response teams can significantly reduce their workload by fully automating the routine responses to recurring types of alerts, allowing you to concentrate more on unique alerts, analyzing patterns, threat hunting, and more.

Para automatizar as respostas:To automate responses:

  1. Escolha o alerta para o qual você deseja automatizar a resposta.Choose the alert for which you want to automate the response.

  2. No menu de navegação do workspace do Azure Sentinel, selecione Análise.From the Azure Sentinel workspace navigation menu, select Analytics.

  3. Selecione o alerta que você deseja automatizar.Select the alert you want to automate.

  4. Na página Editar regra de alerta, em Automação em tempo real, escolha o Guia estratégico disparado que deve ser executado quando a regra de alerta for correspondente.In the Edit alert rule page, under Real-time automation, choose the Triggered playbook you want to run when this alert rule is matched.

  5. Clique em Salvar.Select Save.

    automação em tempo real

Além disso, você pode corrigir manualmente um alerta executando um guia estratégico de dentro do alerta, clicando em Exibir guias estratégicos e, em seguida, selecionando um guia estratégico para executar.In addition, you can manually remediate an alert by running a playbook from inside the alert, by clicking View playbooks and then selecting a playbook to run. Para saber como criar um novo guia estratégico ou editar um existente, consulte trabalhando com guias estratégicos no Azure Sentinel.To learn how to create a new playbook or edit an existing one, see Working with playbooks in Azure Sentinel.

Próximas etapasNext steps

Neste tutorial, você aprendeu a começar a detectar ameaças usando o Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Para saber como automatizar suas respostas a ameaças, como responder a ameaças usando guias estratégicos automatizados.To learn how to automate your responses to threats, how to respond to threats using automated playbooks.

Responda às ameaças para automatizar suas respostas a ameaças.Respond to threats to automate your responses to threats.