Implementar Sentinela Azure

Concluído

Para além de avaliar e resolver problemas com a configuração de segurança do seu ambiente híbrido, a Contoso deve também monitorizar novos problemas e ameaças e responder adequadamente. O Azure Sentinel é simultaneamente uma solução SIEM e SOAR que é projetada para ambientes híbridos.

Nota

As soluções SIEM fornecem armazenamento e análise de registos, eventos e alertas que outros sistemas geram, e pode configurar estas soluções para elevar os seus próprios alertas. As soluções SOAR suportam a remediação de vulnerabilidades e a automatização geral de processos de segurança.

O que é Sentinel?

Sentinela satisfaz as necessidades tanto das soluções SIEM como da SOAR através de:

  • Recolhendo dados em utilizadores, dispositivos, apps e infraestruturas baseados na nuvem e no local.
  • Usando a IA para identificar atividade suspeita.
  • Detetando ameaças com menos falsos positivos.
  • Respondendo a incidentes de forma rápida e automática.

Pré-requisitos para Sentinela

Para ativar o Sentinel, você precisará:

  • Um espaço de trabalho log analytics.

    Dica

    O Sentinel não pode usar o mesmo espaço de trabalho do Log Analytics que o Security Center.

  • Permissões de colaboradores ou maiores na subscrição e grupo de trabalho para o seu espaço de trabalho Sentinel.

  • Permissões apropriadas sobre quaisquer recursos que ligue ao Sentinel.

Ligações de dados

O Sentinel pode ligar-se de forma nativa ao Security Center, fornecendo cobertura para os seus servidores de nuvem e no local. Além disso, o suporte à ligação de dados sentinel inclui:

  • Ligações de serviço a serviço nativo. A Sentinel integra-se de forma nativa a estes serviços Azure e não-Azure:
    • Registos de atividade do Azure
    • Registos de auditoria da AD Azure
    • Azure AD Identity Protection
    • Azure Advanced Threat Protection (Azure ATP)
    • AWS CloudTrail
    • Microsoft Cloud App Security
    • Servidores DNS
    • Microsoft 365
    • Defender ATP
    • Firewall de aplicações Web da Microsoft
    • Firewall do Windows Defender
    • Eventos de segurança do Windows
  • Ligações de solução externa através de APIs. O Sentinel pode ligar-se a fontes de dados através de APIs para as seguintes soluções:
    • Barracuda
    • Barracuda CloudGen Firewall
    • Citrix Analytics para Segurança
    • F5 BIG-IP
    • Forcepoint DLP
    • squadra tecnologias secRMM
    • Symantec ICDx
    • Zimperium
  • Ligações de solução externa através de um agente. O Sentinel pode ligar-se através de um agente a fontes de dados que suportem o protocolo Syslog. O agente Sentinel pode instalar-se diretamente em dispositivos ou num servidor Linux que possa receber eventos de outros dispositivos. O suporte à ligação através de um agente inclui os seguintes dispositivos e soluções:
    • Firewalls, proxies de Internet e pontos finais
    • Soluções de prevenção de perda de dados (DLP)
    • Máquinas DNS
    • Servidores Linux
    • Outros fornecedores de cloud

Permissões

O acesso no Sentinel é gerido através de funções de controlo de acesso baseado em funções (RBAC). Estas funções dão-lhe a capacidade de gerir o que os utilizadores podem observar e fazer dentro do Sentinel:

  • Papéis globais. As funções globais incorporadas do Azure — Proprietário, Colaborador e Leitor — concedem acesso a todos os recursos Azure, incluindo Sentinel e Log Analytics.
  • Papéis específicos do Sentinel. Os papéis incorporados específicos do Sentinel são:
    • Azure Sentinel Reader. Esta função pode obter dados, incidentes, dashboards e informações sobre os recursos do Sentinel.
    • Azure Sentinel Responder. Este papel tem todas as capacidades do papel do Azure Sentinel Reader e também pode gerir incidentes.
    • Azure Sentinel Colaborador. Além das capacidades do papel de Azure Sentinel Responder, este papel pode criar e editar dashboards, regras de análise e outros recursos Sentinel.
  • Outros papéis. Log Analytics Contributor e Log Analytics Reader são funções incorporadas que são específicas do Log Analytics. Estas funções concedem permissões apenas ao espaço de trabalho Log Analytics. Se não tiver as funções global de Contribuinte ou Proprietário, precisará do papel de Contribuinte de Aplicação Lógica para criar e executar playbooks em resposta a alertas.

Implementar Sentinela Azure

Para implementar o Sentinel:

  1. No portal Azure, procure e selecione Azure Sentinel.

  2. Na lâmina de espaço de trabalho Azure Sentinel, selecione Connect workspace e, em seguida, escolha o espaço de trabalho apropriado.

  3. Selecione Add Azure Sentinel. O espaço de trabalho é modificado para incluir sentinela.

  4. Na lâmina Azure Sentinel, nos guias de & de notícias, selecione o separador Iniciar.

    Uma imagem da lâmina do Azure Sentinel. O administrador selecionou a página de guias de & notícias, iniciar o separador.

  5. Selecione Connect para começar a recolher dados.

  6. Selecione o conector apropriado. Por exemplo, selecione Azure Security Center.

  7. Selecione Abrir a página do conector.

  8. Reveja as informações pré-requisitos e, quando estiver pronto, selecione Connect.

    Uma imagem da lâmina dos conectores Azure Sentinel Data. O administrador selecionou o separador Instruções.

O que é SIEM?

As soluções SIEM armazenam e analisam dados de registo que provêm de fontes externas. Você conecta fontes de dados da Azure e fontes externas na sua organização, incluindo recursos no local. O Azure Sentinel fornece então um dashboard padrão que o ajuda a analisar e visualizar esses eventos. O dashboard apresenta dados sobre o número de eventos que recebeu, o número de alertas gerados a partir desses dados e o estado de quaisquer incidentes criados a partir desses alertas.

O Sentinel utiliza deteções incorporadas e personalizadas para alertá-lo para potenciais ameaças — à segurança, por exemplo, tentativas de aceder à organização do Contoso a partir de fora da sua infraestrutura ou quando os dados de Contoso parecem ser enviados para um endereço IP malicioso conhecido. Também permite criar incidentes com base nestes alertas.

O Sentinel fornece-lhe livros de trabalho incorporados e personalizados para o ajudar a analisar os dados recebidos. Os livros de trabalho são relatórios interativos que incluem consultas de registo, texto, métricas e outros dados. As regras de criação de incidentes da Microsoft permitem-lhe criar incidentes a partir de alertas que outros serviços como o Azure Security Center geram.

Implementar a funcionalidade SIEM no Sentinel:

  • Ativar o Azure Sentinel.
  • Criar uma ligação de dados.
  • Crie uma regra personalizada que gere um alerta.

O que é SOAR?

As soluções SOAR permitem-lhe gerir ou orquestrar a análise de dados que recolheu sobre ameaças à segurança, coordenar a sua resposta a essas ameaças e criar respostas automatizadas. As capacidades soar do Azure Sentinel estão intimamente ligadas à sua funcionalidade SIEM.

Utilize as seguintes boas práticas para implementar o SOAR no Sentinel:

  • Quando cria regras de análise que levantam alertas, também as configura para criar incidentes.
  • Use os incidentes para gerir o processo de investigação e resposta.
  • Alertas relacionados com o grupo para um incidente.

Investigar incidentes

No Sentinel, pode rever quantos incidentes estão abertos, quantos estão a ser trabalhados e quantos estão fechados. Pode até reabrir incidentes fechados. Pode obter os detalhes de um incidente, como quando ocorreu e o seu estado. Também pode adicionar notas a um incidente e alterar o seu estatuto para que o progresso seja mais fácil de compreender. Os incidentes podem ser atribuídos a utilizadores específicos.

Responda a alertas com livros de segurança

O Sentinel permite-lhe utilizar livros de segurança para responder a alertas. Os manuais de procedimentos de segurança são coleções de procedimentos baseados no Azure Logic Apps que são executados em resposta a um alerta. Pode executar estes livros de segurança manualmente em resposta à sua investigação de um incidente, ou pode configurar um alerta para executar um livro de jogadas automaticamente.

Leitura adicional

Pode saber mais ao consultar os seguintes documentos: