Melhores práticas para o Microsoft Sentinel

Esta coleção de melhores práticas fornece orientações para utilizar ao implementar, gerir e utilizar o Microsoft Sentinel, incluindo ligações para outros artigos para obter mais informações.

Referências de melhores práticas

A documentação do Microsoft Sentinel tem orientações de melhores práticas espalhadas pelos nossos artigos. Para além do conteúdo fornecido neste artigo, consulte o seguinte para obter mais informações:

• Administração utilizadores:

  • As atividades de pré-implementação são um pré-requisito para a implementação do Microsoft Sentinel
  • Melhores práticas da arquitetura da área de trabalho do Microsoft Sentinel
  • Criar a arquitetura da área de trabalho do Microsoft Sentinel
  • Criações de amostra da área de trabalho do Microsoft Sentinel
  • Melhores práticas da recolha de dados
  • Custos e faturação do Microsoft Sentinel
  • Permissões no Microsoft Sentinel
  • Proteger a propriedade intelectual do MSSP no Microsoft Sentinel
  • Integração de informações sobre ameaças no Microsoft Sentinel
  • Conteúdos e soluções do Microsoft Sentinel
  • Auditar consultas e atividades do Microsoft Sentinel

• Analistas:

  • Manuais de procedimentos recomendados
  • Lidar com falsos positivos no Microsoft Sentinel
  • Procurar ameaças com o Microsoft Sentinel
  • Livros do Microsoft Sentinel utilizados frequentemente
  • Detetar ameaças imediatas
  • Criar regras de análise personalizadas para detetar ameaças
  • Utilizar o Jupyter Notebook para investigar ameaças de segurança

Para obter mais informações, veja também o nosso vídeo: Architecting SecOps for Success: Best Practices for Deploying Microsoft Sentinel (Arquitetar SecOps para o Sucesso: Melhores Práticas para Implementar o Microsoft Sentinel)

Atividades soc regulares a realizar

Agende regularmente as seguintes atividades do Microsoft Sentinel para garantir melhores práticas de segurança contínuas:

Tarefas diárias

• Triagem e investigação de incidentes. Reveja a página Incidentes do Microsoft Sentinel para verificar a existência de novos incidentes gerados pelas regras de análise atualmente configuradas e comece a investigar novos incidentes. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.

• Explorar consultas de investigação e marcadores. Explore os resultados de todas as consultas incorporadas e atualize as consultas e marcadores de investigação existentes. Gerar manualmente novos incidentes ou atualizar incidentes antigos, se aplicável. Para obter mais informações, consulte:

  • Criar automaticamente incidentes a partir de alertas de segurança da Microsoft
  • Procurar ameaças com o Microsoft Sentinel
  • Controlar os dados durante a investigação com o Microsoft Sentinel

• Regras analíticas. Reveja e ative as novas regras de análise conforme aplicável, incluindo regras recentemente lançadas ou recentemente disponíveis de conectores de dados recentemente ligados.

• Conectores de dados. Reveja o estado, a data e a hora do último registo recebido de cada conector de dados para garantir que os dados estão a fluir. Verifique a existência de novos conectores e reveja a ingestão para garantir que os limites definidos não foram excedidos. Para obter mais informações, veja Melhores práticas de recolha de dados e Ligar origens de dados.

• Agente do Log Analytics. Verifique se os servidores e estações de trabalho estão ligados ativamente à área de trabalho e resolva e corrija quaisquer ligações falhadas. Para obter mais informações, veja Descrição geral do Agente do Log Analytics.

• Falhas no manual de procedimentos. Verifique os estados de execução do manual de procedimentos e resolva quaisquer falhas. Para obter mais informações, consulte Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel.

Tarefas semanais

• Revisão de conteúdo de soluções ou conteúdo autónomo. Obtenha quaisquer atualizações de conteúdo para as suas soluções instaladas ou conteúdo autónomo a partir do Hub de conteúdos. Reveja novas soluções ou conteúdos autónomos que possam ser de valor para o seu ambiente, como regras de análise, livros, consultas de investigação ou manuais de procedimentos.

• Auditoria do Microsoft Sentinel. Reveja a atividade do Microsoft Sentinel para ver quem atualizou ou eliminou recursos, tais como regras de análise, marcadores, entre outros. Para obter mais informações, veja Auditar consultas e atividades do Microsoft Sentinel.

Tarefas mensais

• Reveja o acesso do utilizador. Reveja as permissões dos seus utilizadores e verifique se existem utilizadores inativos. Para obter mais informações, veja Permissões no Microsoft Sentinel.

• Revisão da área de trabalho do Log Analytics. Reveja que a política de retenção de dados da área de trabalho do Log Analytics ainda está alinhada com a política da sua organização. Para obter mais informações, veja Política de retenção de dados e Integrar Data Explorer do Azure para retenção de registos de longo prazo.

Integrar nos serviços de segurança da Microsoft

O Microsoft Sentinel é capacitado pelos componentes que enviam dados para a sua área de trabalho e torna-se mais forte através de integrações com outros serviços Microsoft. Quaisquer registos ingeridos em produtos como Microsoft Defender for Cloud Apps, Microsoft Defender para Endpoint e Microsoft Defender para Identidade permitem que estes serviços criem deteções e, por sua vez, fornecem essas deteções para o Microsoft Sentinel. Os registos também podem ser ingeridos diretamente no Microsoft Sentinel para fornecer uma imagem mais completa para eventos e incidentes.

Por exemplo, a imagem seguinte mostra como o Microsoft Sentinel ingere dados de outros serviços Microsoft e plataformas multi cloud e parceiros para fornecer cobertura para o seu ambiente:

Mais do que ingerir alertas e registos de outras origens, o Microsoft Sentinel também:

• Utiliza as informações ingeridas com machine learning que permitem uma melhor correlação de eventos, agregação de alertas, deteção de anomalias e muito mais.
• Cria e apresenta elementos visuais interativos através de livros, mostrando tendências, informações relacionadas e dados-chave utilizados para tarefas de administrador e investigações.
• Executa manuais de procedimentos para atuar em alertas, recolher informações, realizar ações em itens e enviar notificações para várias plataformas.
• Integra-se em plataformas de parceiros, como o ServiceNow e o Jira, para fornecer serviços essenciais para as equipas SOC.
• Ingere e obtém feeds de melhoramento de plataformas de inteligência sobre ameaças para trazer dados valiosos para investigação.

Gerir e responder a incidentes

A imagem seguinte mostra os passos recomendados num processo de resposta e gestão de incidentes.

As secções seguintes fornecem descrições de alto nível sobre como utilizar as funcionalidades do Microsoft Sentinel para a gestão de incidentes e a resposta ao longo do processo. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.

Utilizar a página Incidentes e o gráfico Investigação

Inicie qualquer processo de triagem para novos incidentes na página Incidentes do Microsoft Sentinel no Microsoft Sentinel e no Gráfico de Investigação.

Descubra entidades-chave, como contas, URLs, endereço IP, nomes de anfitriões, atividades, linha cronológica e muito mais. Utilize estes dados para compreender se tem um falso positivo à mão, caso em que pode fechar o incidente diretamente.

Todos os incidentes gerados são apresentados na página Incidentes , que serve como a localização central para a triagem e investigação antecipada. A página Incidentes lista o título, a gravidade e os alertas, registos e quaisquer entidades de interesse relacionadas. Os incidentes também fornecem um salto rápido para os registos recolhidos e quaisquer ferramentas relacionadas com o incidente.

A página Incidentes funciona em conjunto com o gráfico Investigação, uma ferramenta interativa que permite aos utilizadores explorar e aprofundar um alerta para mostrar o âmbito completo de um ataque. Em seguida, os utilizadores podem construir uma linha cronológica de eventos e descobrir a extensão de uma cadeia de ameaças.

Se descobrir que o incidente é um verdadeiro positivo, tome medidas diretamente a partir da página Incidentes para investigar registos, entidades e explorar a cadeia de ameaças. Depois de identificar a ameaça e criar um plano de ação, utilize outras ferramentas no Microsoft Sentinel e noutros serviços de segurança da Microsoft para continuar a investigar.

Lidar com incidentes com livros

Além de visualizar e apresentar informações e tendências, os livros do Microsoft Sentinel são ferramentas de investigação valiosas.

Por exemplo, utilize o livro Informações de Investigação para investigar incidentes específicos juntamente com quaisquer entidades e alertas associados. Este livro permite-lhe aprofundar as entidades ao mostrar registos, ações e alertas relacionados.

Lidar com incidentes com a investigação de ameaças

Ao investigar e procurar causas fundamentais, execute consultas de investigação de ameaças incorporadas e verifique os resultados de quaisquer indicadores de compromisso.

Durante uma investigação, ou depois de ter tomado medidas para remediar e erradicar a ameaça, utilize livestream para monitorizar, em tempo real, se existem eventos maliciosos persistentes ou se os eventos maliciosos continuam.

Lidar com incidentes com o comportamento da entidade

O comportamento da entidade no Microsoft Sentinel permite que os utilizadores analisem e investiguem ações e alertas de entidades específicas, como investigar contas e nomes de anfitriões. Para obter mais informações, consulte:

• Ativar o User and Entity Behavior Analytics (UEBA) no Microsoft Sentinel
• Investigar incidentes com dados UEBA
• Referência de melhoramentos da UEBA do Microsoft Sentinel

Lidar com incidentes com listas de observação e informações sobre ameaças

Para maximizar as deteções baseadas em informações sobre ameaças, certifique-se de que utiliza conectores de dados de informações sobre ameaças para ingerir indicadores de compromisso:

• Ligar origens de dados necessárias para os alertasde Mapa de Fusão e TI
• Ingerir indicadores das plataformas TAXII e TIP

Utilize indicadores de comprometimento nas regras de análise, ao investigar ameaças, investigar registos ou gerar mais incidentes.

Utilize uma lista de observação que combine dados de dados ingeridos e origens externas, como dados de melhoramento. Por exemplo, crie listas de intervalos de endereços IP utilizados pela sua organização ou funcionários recentemente terminados. Utilize listas de observação com manuais de procedimentos para recolher dados de melhoramento, como adicionar endereços IP maliciosos a listas de observação a utilizar durante a deteção, investigação de ameaças e investigações.

Durante um incidente, utilize listas de observação para conter dados de investigação e, em seguida, elimine-os quando a investigação estiver concluída para garantir que os dados confidenciais não permanecem em vista.

Passos seguintes

Para começar a utilizar o Microsoft Sentinel, consulte:

• A bordo do Microsoft Sentinel
• Obter visibilidade sobre os alertas