Parte 1: Sentinel e suas configurações

Publicado em por chesleysilva

Falamos recentemente sobre alguns SIEMs de mercado, e vamos fazer uma serie de postagens sobre os principais SIEMs e como podemos configurar cada um deles.

Não vou entrar em aspectos de analises ou Hunts, mas, vamos explorar a ferramenta! cada processo de analise deve ser bem trabalhado antes de ser posto em produção.

Hoje vamos falar sobre o Microsoft Sentinel e em Breve sobre o Qradar da IBM!

  1. Configurando o ambiente para o Microsoft Sentinel
    1. Recursos do Microsoft Sentinel
    2. Configurando o Microsoft Sentinel
    3. Criação do Espaço de Trabalho do Microsoft Sentinel

Configurando o ambiente para o Microsoft Sentinel

O Microsoft Sentinel representa um serviço de Gerenciamento de Eventos e Informações de Segurança (SIEM) integralmente hospedado na nuvem, disponibilizado pela Microsoft. Esta solução apresenta um nível notável de escalabilidade, sendo capaz de oferecer monitoramento de segurança de alto padrão e capacidade de detecção de ameaças tanto para ambientes locais quanto para ambientes em nuvem.

O Sentinel foi construído sobre a sólida plataforma Azure, o que o coloca em posição de alavancar as capacidades dos serviços Azure de forma sinérgica. Como exemplo, destacamos a integração com o Microsoft Azure Active Directory (Azure AD), o Azure Security Center e o Azure Machine Learning. Essa integração possibilita a entrega de uma abordagem de segurança inteligente e abrangente.

Vamos analisar mais detalhadamente como esses elementos se unem para fortalecer a segurança:

  1. Microsoft Azure Active Directory (Azure AD): O Sentinel se integra ao Azure AD para aprimorar a autenticação e autorização, permitindo uma gestão mais eficaz das identidades e acessos dos usuários, resultando em um controle mais rígido sobre as atividades na rede.
  2. Azure Security Center: O Azure Security Center oferece insights avançados sobre ameaças e vulnerabilidades, ajudando a identificar e mitigar riscos rapidamente. O Sentinel se beneficia dessa integração para fornecer informações acionáveis e alertas em tempo real.
  3. Azure Machine Learning: A incorporação da capacidade de aprendizado de máquina (Machine Learning) através do Azure Machine Learning permite ao Sentinel aprimorar suas capacidades de detecção de ameaças. Ele pode aprender com padrões de tráfego, comportamento de usuário e outras variáveis para identificar atividades suspeitas.

Ao adotar o Microsoft Sentinel, as organizações podem obter uma visão mais ampla e profunda de sua postura de segurança, automatizar respostas a ameaças em tempo real e adotar uma abordagem mais proativa para proteger seus ativos críticos de forma inteligente e holística.

Recursos do Microsoft Sentinel

O Microsoft Sentinel oferece um conjunto abrangente de recursos essenciais para o campo da cibersegurança. Abaixo, destacamos os principais recursos técnicos que caracterizam o Sentinel:

  1. Coleta de Dados Altamente Flexível: O Sentinel possui uma capacidade robusta de coleta de dados provenientes de diversas fontes. Além dos recursos internos do Azure e Office 365, o serviço suporta mais de 130 conectores de dados prontos para uso. Isso viabiliza a aquisição de informações provenientes de uma ampla gama de fontes, incluindo sistemas de terceiros, enriquecendo assim o contexto da análise de segurança.
  2. Detecção Avançada de Ameaças com Aprendizado de Máquina: O Sentinel emprega algoritmos de aprendizado de máquina de última geração para realizar detecção de ameaças e anomalias em tempo real. Além das regras pré-definidas, o serviço permite uma personalização profunda das regras de detecção de ameaças, tornando possível atender às demandas específicas de segurança de qualquer organização.
  3. Orquestração e Automação de Resposta a Incidentes: O Sentinel capacita organizações a automatizar respostas a incidentes de segurança, possibilitando ações imediatas diante de ameaças. Integração perfeita com playbooks pré-configurados automatiza tarefas de resposta, como o bloqueio de endereços IP suspeitos ou a desativação de contas de usuário comprometidas.
  4. Análise Avançada de Segurança: O Sentinel oferece uma gama de ferramentas analíticas avançadas para permitir que organizações obtenham uma compreensão profunda de sua postura de segurança. Painéis de controle pré-construídos proporcionam uma visão abrangente das atividades de segurança, incluindo incidentes, alertas e vulnerabilidades, permitindo análises de tendências e identificação proativa de riscos.
  5. Integração Profunda com os Serviços Azure: O Sentinel está completamente integrado com os serviços Azure, como o Azure Active Directory, Azure Security Center e Azure Machine Learning. Essa integração permite que as organizações tirem pleno proveito da potência desses serviços em prol da aprimoração de sua postura de segurança. O Azure Security Center, por exemplo, fornece informações críticas sobre ameaças e vulnerabilidades, enquanto o Azure Machine Learning contribui com análises preditivas e comportamentais para a detecção de atividades suspeitas.

Em resumo, o Microsoft Sentinel é uma ferramenta de cibersegurança de última geração que capacita as organizações a coletar, detectar, responder e analisar dados de segurança em tempo real, aproveitando o poder do aprendizado de máquina e a integração com os serviços Azure para proteger suas infraestruturas e ativos críticos.

Configurando o Microsoft Sentinel

Neste artigo, iremos abordar de forma detalhada como realizar as seguintes tarefas no contexto do Microsoft Sentinel, com foco na configuração e criação de ambientes seguros:

  • Criação do Espaço de Trabalho do Microsoft Sentinel
  • Adição do Microsoft Sentinel a um Espaço de Trabalho

Criação do Espaço de Trabalho do Microsoft Sentinel

Começaremos por explicar o passo a passo para a criação do espaço de trabalho do Microsoft Sentinel. Este é o ponto de partida essencial para o gerenciamento de eventos e informações de segurança em seu ambiente. Abordaremos os pré-requisitos e as etapas necessárias para configurar o espaço de trabalho de maneira eficiente.

  1. Criar o espaço de trabalho do Microsoft Sentinel
  2. Navegue até o  Portal do Azure  e faça login com sua conta.
  3. Na barra de pesquisa superior, digite  Sentinel  e clique em  Microsoft Sentinel .

Na tela do Microsoft Sentinel, clique em  Criar

Na página Criar espaço de trabalho do Log Analytics, preencha o formulário da seguinte forma:

Instruções para Configuração:

Escolha da Assinatura: Opte pela assinatura do Azure na qual deseja implementar o ambiente do Microsoft Sentinel.

Seleção do Grupo de Recursos: Escolha entre utilizar um grupo de recursos existente ou crie um novo grupo de recursos.

Definição da Região: No menu suspenso, selecione a região do Azure que melhor atenda às suas necessidades. Por exemplo, você pode escolher “EastUS”.

Nomeação do Espaço de Trabalho: Atribua um nome ao espaço de trabalho do Microsoft Sentinel. É importante notar que o nome do espaço de trabalho deve consistir em um conjunto de caracteres composto por 4 a 63 letras, dígitos ou ‘-‘ (traço). O traço não deve ser colocado como o primeiro ou o último caractere do nome.

A implantação começará. Quando estiver concluído em um ou dois minutos, seu espaço de trabalho do Microsoft Sentinel estará pronto para uso

Na proxima postagem vamos explorar a configuração de conectores e como eles funcionam.

aguardo vocês na proxima!

Deixe um comentário