Guia de implantação do Microsoft Sentinel

Este artigo apresenta as atividades que ajudam você a planejar, implantar e ajustar sua implantação do Microsoft Sentinel.

Planejar e preparar uma visão geral

Esta seção apresenta as atividades e os pré-requisitos que ajudam você a planejar e preparar antes de implantar o Microsoft Sentinel.

A fase de planejamento e preparação é normalmente executada por um arquiteto SOC ou funções relacionadas.

Passo Detalhes
1. Planear e preparar uma visão geral e pré-requisitos Analise os pré-requisitos de locatário do Azure.
2. Planejar a arquitetura do espaço de trabalho Projete seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel. Considere parâmetros como:

- Se você usará um único locatário ou vários locatários
- Quaisquer requisitos de conformidade que você tenha para coleta e armazenamento de dados
- Como controlar o acesso aos dados do Microsoft Sentinel

Reveja estes artigos:

1. Projetar a arquitetura do espaço de trabalho
3. Revise exemplos de designs de espaço de trabalho
4. Prepare-se para vários espaços de trabalho
3. Priorize conectores de dados Determine quais fontes de dados você precisa e os requisitos de tamanho de dados para ajudá-lo a projetar com precisão o orçamento e o cronograma da implantação.

Você pode determinar essas informações durante a revisão do caso de uso da sua empresa ou avaliando um SIEM atual que você já tem em vigor. Se você já tiver um SIEM em vigor, analise seus dados para entender quais fontes de dados fornecem mais valor e devem ser ingeridas no Microsoft Sentinel.
4. Planejar funções e permissões Use o RBAC (controle de acesso baseado em função) do Azure para criar e atribuir funções em sua equipe de operações de segurança para conceder acesso apropriado ao Microsoft Sentinel. As diferentes funções oferecem controle refinado sobre o que os usuários do Microsoft Sentinel podem ver e fazer. As funções do Azure podem ser atribuídas diretamente no espaço de trabalho ou em uma assinatura ou grupo de recursos ao qual o espaço de trabalho pertence, que o Microsoft Sentinel herda.
5. Planeie os custos Comece a planejar seu orçamento, considerando as implicações de custo para cada cenário planejado.

Certifique-se de que seu orçamento cobre o custo da ingestão de dados para o Microsoft Sentinel e o Azure Log Analytics, quaisquer playbooks que serão implantados e assim por diante.

Descrição geral da implementação

A fase de implantação é normalmente executada por um analista SOC ou funções relacionadas.

Passo Detalhes
1. Habilite o Microsoft Sentinel, integridade, auditoria e conteúdo Habilite o Microsoft Sentinel, habilite o recurso de integridade e auditoria e habilite as soluções e o conteúdo que você identificou de acordo com as necessidades da sua organização.

Para integrar ao Microsoft Sentinel usando a API, consulte a versão mais recente com suporte do Sentinel Onboarding States.
2. Configurar conteúdo Configure os diferentes tipos de conteúdo de segurança do Microsoft Sentinel, que permitem detetar, monitorar e responder a ameaças à segurança em seus sistemas: conectores de dados, regras de análise, regras de automação, playbooks, pastas de trabalho e listas de observação.
3. Configurar uma arquitetura entre espaços de trabalho Se seu ambiente exigir vários espaços de trabalho, agora você pode configurá-los como parte de sua implantação. Neste artigo, você aprenderá a configurar o Microsoft Sentinel para se estender por vários espaços de trabalho e locatários.
4. Habilitar a Análise de Comportamento de Usuários e Entidades (UEBA) Habilite e use o recurso UEBA para agilizar o processo de análise.
5. Configure a retenção de dados interativa e de longo prazo Configure a retenção de dados interativa e de longo prazo para garantir que sua organização retenha os dados importantes a longo prazo.

Ajuste e revisão: lista de verificação para pós-implantação

Analise a lista de verificação pós-implantação para ajudá-lo a garantir que seu processo de implantação esteja funcionando conforme o esperado e que o conteúdo de segurança implantado esteja funcionando e protegendo sua organização de acordo com suas necessidades e casos de uso.

A fase de ajuste fino e revisão é normalmente realizada por um engenheiro SOC ou funções relacionadas.

Passo Ações
Rever incidentes e processos de incidentes - Verifique se os incidentes e o número de incidentes que você está vendo refletem o que realmente está acontecendo em seu ambiente.
- Verifique se o processo de incidentes do seu SOC está funcionando para lidar com incidentes de forma eficiente: Você atribuiu diferentes tipos de incidentes a diferentes camadas/camadas do SOC?

Saiba mais sobre como navegar e investigar incidentes e como trabalhar com tarefas de incidentes.
Revisar e ajustar regras de análise - Com base na sua análise de incidentes, verifique se suas regras de análise são acionadas conforme o esperado e se as regras refletem os tipos de incidentes em que você está interessado.
- Lide com falsos positivos, usando automação ou modificando regras de análise agendadas.
- O Microsoft Sentinel fornece recursos integrados de ajuste fino para ajudá-lo a analisar suas regras de análise. Analise esses insights internos e implemente recomendações relevantes.
Revise regras e playbooks de automação - Semelhante às regras de análise, verifique se suas regras de automação estão funcionando conforme o esperado e reflitam os incidentes com os quais você está preocupado e interessado.
- Verifique se seus playbooks estão respondendo a alertas e incidentes conforme o esperado.
Adicionar dados a listas de observação Verifique se as suas listas de observação estão atualizadas. Se alguma alteração tiver ocorrido em seu ambiente, como novos usuários ou casos de uso, atualize suas listas de observação de acordo.
Rever os níveis de compromisso Analise as camadas de compromisso que você configurou inicialmente e verifique se elas refletem sua configuração atual.
Acompanhe os custos de ingestão Para controlar os custos de ingestão, use uma destas pastas de trabalho:
- A pasta de trabalho Relatório de Uso do Espaço de Trabalho fornece as estatísticas de consumo, custo e uso de dados do seu espaço de trabalho. A pasta de trabalho fornece o status de ingestão de dados do espaço de trabalho e a quantidade de dados gratuitos e faturáveis. Você pode usar a lógica da pasta de trabalho para monitorar a ingestão e os custos de dados e para criar exibições personalizadas e alertas baseados em regras.
- A pasta de trabalho Microsoft Sentinel Cost oferece uma visão mais focada dos custos do Microsoft Sentinel, incluindo dados de ingestão e retenção, dados de ingestão para fontes de dados qualificadas, informações de faturamento de aplicativos lógicos e muito mais.
Ajuste as regras de coleta de dados (DCRs) - Verifique se seus DCRs refletem suas necessidades de ingestão de dados e casos de uso.
- Se necessário, implemente a transformação do tempo de ingestão para filtrar dados irrelevantes antes mesmo de serem armazenados pela primeira vez em seu espaço de trabalho.
Verifique as regras de análise em relação à estrutura MITRE Verifique sua cobertura MITRE na página MITRE do Microsoft Sentinel: Visualize as deteções já ativas em seu espaço de trabalho e as disponíveis para você configurar, para entender a cobertura de segurança da sua organização, com base nas táticas e técnicas da estrutura MITRE ATT&CK®.
Caça a atividades suspeitas Certifique-se de que seu SOC tenha um processo em vigor para caça proativa a ameaças. A caça é um processo em que os analistas de segurança procuram ameaças não detetadas e comportamentos maliciosos. Ao criar uma hipótese, pesquisar dados e validar essa hipótese, eles determinam no que agir. As ações podem incluir a criação de novas deteções, novas informações sobre ameaças ou a criação de um novo incidente.

Neste artigo, você analisou as atividades em cada uma das fases que ajudam a implantar o Microsoft Sentinel.

Dependendo da fase em que você está, escolha as próximas etapas apropriadas:

Quando terminar a implantação do Microsoft Sentinel, continue a explorar os recursos do Microsoft Sentinel revisando os tutoriais que abrangem tarefas comuns:

Consulte o guia operacional do Microsoft Sentinel para conhecer as atividades SOC regulares que recomendamos que você realize diariamente, semanalmente e mensalmente.