Az - Defender

Reading time: 9 minutes

Microsoft Sentinel

Microsoft Sentinel é uma solução SIEM (Gerenciamento de Informações e Eventos de Segurança) e SOAR (Orquestração, Automação e Resposta de Segurança) nativa da nuvem no Azure​.

Ele agrega dados de segurança de toda uma organização (local e na nuvem) em uma única plataforma e usa análises integradas e inteligência de ameaças para identificar ameaças potenciais​. Sentinel aproveita serviços do Azure como Log Analytics (para armazenamento e consulta massiva de logs) e Logic Apps (para fluxos de trabalho automatizados) – isso significa que pode escalar sob demanda e integrar-se com as capacidades de IA e automação do Azure​.

Em essência, o Sentinel coleta e analisa logs de várias fontes, detecta anomalias ou atividades maliciosas, e permite que as equipes de segurança investiguem e respondam rapidamente a ameaças, tudo através do portal do Azure, sem precisar de infraestrutura SIEM local​.

Configuração do Microsoft Sentinel

Você começa ativando o Sentinel em um espaço de trabalho do Azure Log Analytics (o espaço de trabalho é onde os logs serão armazenados e analisados). Abaixo estão os passos de alto nível para começar:

1. Ativar o Microsoft Sentinel em um Espaço de Trabalho: No portal do Azure, crie ou use um espaço de trabalho Log Analytics existente e adicione o Microsoft Sentinel a ele. Isso implanta as capacidades do Sentinel em seu espaço de trabalho.
2. Conectar Fontes de Dados (Conectores de Dados): Uma vez que o Sentinel está ativado, conecte suas fontes de dados usando conectores de dados integrados. Seja logs do Entra ID, Office 365 ou até logs de firewall, o Sentinel começa a ingerir logs e alertas automaticamente. Isso é comumente feito criando configurações de diagnóstico para enviar logs para o espaço de trabalho de logs em uso.
3. Aplicar Regras de Análise e Conteúdo: Com os dados fluindo, ative regras de análise integradas ou crie regras personalizadas para detectar ameaças. Use o Content Hub para modelos de regras pré-embalados e workbooks que aceleram suas capacidades de detecção.
4. (Opcional) Configurar Automação: Configure automação com playbooks para responder automaticamente a incidentes—como enviar alertas ou isolar contas comprometidas—melhorando sua resposta geral.

Principais Recursos

• Logs: A aba Logs abre a interface de consulta do Log Analytics, onde você pode mergulhar profundamente em seus dados usando Kusto Query Language (KQL). Esta área é crucial para solução de problemas, análise forense e relatórios personalizados. Você pode escrever e executar consultas para filtrar eventos de log, correlacionar dados de diferentes fontes e até criar painéis ou alertas personalizados com base em suas descobertas. É o centro de exploração de dados brutos do Sentinel.
• Pesquisa: A ferramenta de Pesquisa oferece uma interface unificada para localizar rapidamente eventos de segurança, incidentes e até entradas de log específicas. Em vez de navegar manualmente por várias abas, você pode digitar palavras-chave, endereços IP ou nomes de usuários para puxar instantaneamente todos os eventos relacionados. Este recurso é particularmente útil durante uma investigação quando você precisa conectar rapidamente diferentes peças de informação.
• Incidentes: A seção Incidentes centraliza todos os alertas agrupados em casos gerenciáveis. O Sentinel agrega alertas relacionados em um único incidente, fornecendo contexto como severidade, cronologia e recursos afetados. Dentro de um incidente, você pode visualizar um gráfico de investigação detalhado que mapeia a relação entre alertas, facilitando a compreensão do escopo e impacto de uma ameaça potencial. O gerenciamento de incidentes também inclui opções para atribuir tarefas, atualizar status e integrar-se a fluxos de trabalho de resposta.
• Workbooks: Workbooks são painéis e relatórios personalizáveis que ajudam você a visualizar e analisar seus dados de segurança. Eles combinam vários gráficos, tabelas e consultas para oferecer uma visão abrangente de tendências e padrões. Por exemplo, você pode usar um workbook para exibir uma linha do tempo de atividades de login, mapeamento geográfico de endereços IP ou a frequência de alertas específicos ao longo do tempo. Workbooks são tanto pré-construídos quanto totalmente personalizáveis para atender às necessidades específicas de monitoramento de sua organização.
• Hunting: O recurso Hunting fornece uma abordagem proativa para encontrar ameaças que podem não ter acionado alertas padrão. Ele vem com consultas de hunting pré-construídas que se alinham a estruturas como MITRE ATT&CK, mas também permite que você escreva consultas personalizadas. Esta ferramenta é ideal para analistas avançados que buscam descobrir ameaças furtivas ou emergentes explorando dados históricos e em tempo real, como padrões de rede incomuns ou comportamento anômalo de usuários.
• Notebooks: Com a integração de Notebooks, o Sentinel aproveita Jupyter Notebooks para análises avançadas de dados e investigações automatizadas. Este recurso permite que você execute código Python diretamente contra seus dados do Sentinel, tornando possível realizar análises de aprendizado de máquina, construir visualizações personalizadas ou automatizar tarefas investigativas complexas. É particularmente útil para cientistas de dados ou analistas de segurança que precisam realizar análises aprofundadas além de consultas padrão.
• Comportamento de Entidade: A página Comportamento de Entidade usa Análise de Comportamento de Usuário e Entidade (UEBA) para estabelecer linhas de base para atividades normais em seu ambiente. Ela exibe perfis detalhados para usuários, dispositivos e endereços IP, destacando desvios do comportamento típico. Por exemplo, se uma conta normalmente de baixa atividade de repente exibe transferências de dados em alto volume, esse desvio será sinalizado. Esta ferramenta é crítica para identificar ameaças internas ou credenciais comprometidas com base em anomalias comportamentais.
• Inteligência de Ameaças: A seção de Inteligência de Ameaças permite que você gerencie e correlacione indicadores de ameaças externas—como endereços IP maliciosos, URLs ou hashes de arquivos—com seus dados internos. Ao integrar-se a feeds de inteligência externos, o Sentinel pode sinalizar automaticamente eventos que correspondem a ameaças conhecidas. Isso ajuda você a detectar e responder rapidamente a ataques que fazem parte de campanhas conhecidas mais amplas, adicionando mais uma camada de contexto aos seus alertas de segurança.
• MITRE ATT&CK: Na aba MITRE ATT&CK, o Sentinel mapeia seus dados de segurança e regras de detecção para a amplamente reconhecida estrutura MITRE ATT&CK. Esta visão ajuda você a entender quais táticas e técnicas estão sendo observadas em seu ambiente, identificar possíveis lacunas na cobertura e alinhar sua estratégia de detecção com padrões de ataque reconhecidos. Ela fornece uma maneira estruturada de analisar como os adversários podem estar atacando seu ambiente e ajuda a priorizar ações defensivas.
• Content Hub: O Content Hub é um repositório centralizado de soluções pré-embaladas, incluindo conectores de dados, regras de análise, workbooks e playbooks. Essas soluções são projetadas para acelerar sua implantação e melhorar sua postura de segurança, fornecendo configurações de melhores práticas para serviços comuns (como Office 365, Entra ID, etc.). Você pode navegar, instalar e atualizar esses pacotes de conteúdo, facilitando a integração de novas tecnologias ao Sentinel sem uma configuração manual extensa.
• Repositórios: O recurso Repositórios (atualmente em pré-visualização) permite controle de versão para seu conteúdo do Sentinel. Ele se integra a sistemas de controle de versão como GitHub ou Azure DevOps, permitindo que você gerencie suas regras de análise, workbooks, playbooks e outras configurações como código. Essa abordagem não apenas melhora o gerenciamento de mudanças e a colaboração, mas também facilita o retorno a versões anteriores, se necessário.
• Gerenciamento de Espaço de Trabalho: O gerenciador de Espaço de Trabalho do Microsoft Sentinel permite que os usuários gerenciem centralmente vários espaços de trabalho do Microsoft Sentinel dentro de um ou mais locatários do Azure. O espaço de trabalho Central (com o gerenciador de Espaço de Trabalho ativado) pode consolidar itens de conteúdo a serem publicados em escala para os espaços de trabalho Membros.
• Conectores de Dados: A página Conectores de Dados lista todos os conectores disponíveis que trazem dados para o Sentinel. Cada conector é pré-configurado para fontes de dados específicas (tanto da Microsoft quanto de terceiros) e mostra seu status de conexão. Configurar um conector de dados geralmente envolve alguns cliques, após os quais o Sentinel começa a ingerir e analisar logs dessa fonte. Esta área é vital porque a qualidade e a abrangência de seu monitoramento de segurança dependem da variedade e configuração de suas fontes de dados conectadas.
• Análises: Na aba Análises, você cria e gerencia as regras de detecção que alimentam os alertas do Sentinel. Essas regras são essencialmente consultas que são executadas em um cronograma (ou quase em tempo real) para identificar padrões suspeitos ou violações de limite em seus dados de log. Você pode escolher entre modelos integrados fornecidos pela Microsoft ou elaborar suas próprias regras personalizadas usando KQL. As regras de análise determinam como e quando os alertas são gerados, impactando diretamente como os incidentes são formados e priorizados.
• Watchlist: A watchlist do Microsoft Sentinel permite a coleta de dados de fontes de dados externas para correlação contra os eventos em seu ambiente do Microsoft Sentinel. Uma vez criada, aproveite as watchlists em sua pesquisa, regras de detecção, hunting de ameaças, workbooks e playbooks de resposta.
• Automação: As regras de automação permitem que você gerencie centralmente toda a automação do tratamento de incidentes. As regras de automação simplificam o uso da automação no Microsoft Sentinel e permitem que você simplifique fluxos de trabalho complexos para seus processos de orquestração de incidentes.