fbpx
microsoft-sentinel-siem-microsoft
dezembro 11, 2019

investigando incidentes com o Azure Sentinel (SIEM Microsoft)

Salve galera. Wellington Agápto por aqui. Hoje eu trouxe um rápido tutorial com o tema: Investigando incidentes com o Azure Sentinel.

 

O que é o Azure Sentinel?

O Microsoft Azure Sentinel é uma solução escalonável e nativa de nuvem para gerenciamento de eventos e informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR) .O Azure Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.

O Azure Sentinel permite que você crie regras de alerta avançados, que geram incidentes que você pode atribuir e investigar. Um incidente é criado com base em regras analíticas que você criou na página análise . As propriedades relacionadas aos alertas, como severidade e status, são definidas no nível do incidente. Depois de permitir que o Azure Sentinel saiba quais tipos de ameaças você está procurando e como encontrá-las, você pode monitorar ameaças detectadas investigando incidentes.

 

Como investigar incidentes no Azure Sentinel?

A página incidentes permite que você saiba quantos incidentes você tem, quantos estão abertos, quantos você definiu em andamento e quantos estão fechados.

Selecione incidentes. A página incidentes permite que você saiba quantos incidentes você tem, quantas estão abertas, quantos você definiu em andamentoe quantas estão fechadas. Para cada incidente, você pode ver a hora em que ocorreu e o status do incidente. Examine a severidade para decidir quais incidentes tratar primeiro.

 

Para iniciar uma investigação, selecione um incidente específico. À direita, você pode ver informações detalhadas para o incidente, incluindo sua gravidade, o resumo do número de entidades envolvidas, os eventos brutos que dispararam esse incidente e a ID exclusiva do incidente.

investigando-incidente-no-sentinel-02

Os incidentes podem ser atribuídos a um usuário específico. Para cada incidente, você pode atribuir um proprietário, definindo o campo proprietário do incidente . Todos os incidentes começam como não atribuídos. Você também pode adicionar comentários para que outros analistas possam entender o que você investigou e quais são suas preocupações em relação ao incidente.

 

Se aprofundando na investigação 

Para se aprofundar na investigação você pode utilizar o Investigation Graph. O investigation graph ajuda você a entender o escopo e a identificar a causa raiz de uma possível ameaça à segurança correlacionando os dados relevantes com qualquer entidade envolvida. Você pode aprofundar-se e investigar qualquer entidade apresentada no grafo selecionando-a e escolhendo entre diferentes opções de expansão.

Para visualizar um incidente graph selecione um incidente e, em seguida, selecione investigar, ele vai te fornecer um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.

incidentea-sentinel-microsoft-03

incidentea-sentinel-microsoft-03

 

Quer tornar-se um especialista em produtos Microsoft?

Quer aprender mais sobre os produtos oferecidos pela Microsoft? O Microsoft Club possui tudo que você precisa saber para entrar no mercado de Cloud inscreva-se no Microsoft Club e confira.

× Dúvidas sobre cursos?