Controlar a migração de Microsoft Sentinel com um livro

À medida que o centro de operações de segurança (SOC) da sua organização processa quantidades crescentes de dados, é essencial planear e monitorizar o seu estado de implementação. Embora possa controlar o seu processo de migração através de ferramentas genéricas, como o Microsoft Project, Microsoft Excel, Microsoft Teams ou Azure DevOps, estas ferramentas não são específicas do controlo de migração de informações de segurança e gestão de eventos (SIEM). Para o ajudar a controlar, fornecemos um livro dedicado no Microsoft Sentinel denominado Implementação e Migração do Microsoft Sentinel.

O livro ajuda-o a:

• Visualizar o progresso da migração
• Implementar e controlar origens de dados
• Implementar e monitorizar regras e incidentes de análise
• Implementar e utilizar livros
• Implementar e efetuar automatização
• Implementar e personalizar a análise comportamental de utilizadores e entidades (U E B A)

Este artigo descreve como controlar a migração com o livro implementação e migração do Microsoft Sentinel, como personalizar e gerir o livro e como utilizar os separadores do livro para implementar e monitorizar conectores de dados, análise, incidentes, manuais de procedimentos, regras de automatização, U E B A e gestão de dados. Saiba mais sobre como utilizar livros do Azure Monitor no Microsoft Sentinel.

Implementar o conteúdo do livro e ver o livro

Para obter o livro, instale primeiro o item autónomo a partir do Hub de conteúdos no Microsoft Sentinel.

1. No hub de conteúdo do Microsoft Sentinel, filtre o conteúdo listado por Livros do tipo = Conteúdoe, em seguida, introduza migração na barra de pesquisa.

2. Nos resultados da pesquisa, selecione o livro Microsoft Sentinel Implementação e Migração e, em seguida, selecione Instalar. Microsoft Sentinel implementa o livro e guarda o livro no seu ambiente.

3. Em Microsoft Sentinel, em Gestão de ameaças, selecioneModelos> de Livros.

4. Selecione o livro Microsoft Sentinel Implementação e Migração e Ver modelo.

Implementar a lista de observação

O próximo passo consiste em implementar a lista de observação relacionada a partir do repositório do GitHub Microsoft Sentinel.

1. No Microsoft Sentinel repositório do GitHub, selecione a pasta DeploymentandMigration e selecione Deploy to Azure (Implementar no Azure) para iniciar a implementação do modelo no Azure.
2. Indique o Microsoft Sentinel grupo de recursos e o nome da área de trabalho.
3. Selecione Rever e criar.
4. Depois de validar as informações, selecione Criar.

Atualizar a lista de observação com ações de implementação e migração

Este passo é crucial para o processo de configuração de controlo. Se ignorar este passo, o livro não reflete os itens para controlo.

Para atualizar a lista de observação com ações de implementação e migração:

1. No portal Azure ou Microsoft Defender, selecione Microsoft Sentinel e, em seguida, selecione Lista de observação.
2. Selecione a lista de observação com o alias Implementação .
3. Em seguida, selecione Atualizar lista de > observação editar itens da lista de observação.
4. Forneça as informações para as ações necessárias para a implementação e migração.
5. Seleccione Guardar.

Agora, pode ver a lista de observação no livro do controlador de migração. Saiba como gerir listas de observação.

Além disso, a sua equipa pode atualizar ou concluir tarefas durante o processo de implementação. Para resolver estas alterações, atualize as ações existentes ou adicione novas ações à medida que identifica novos casos de utilização ou define novos requisitos. Para atualizar ou adicionar ações, edite a Lista de observação de implementação que implementou. Para simplificar o processo, no livro, selecione Editar Lista de Observação de Implementação para abrir a lista de observação diretamente a partir do livro.

Ver estado da implementação

Para ver rapidamente o progresso da implementação, no livro Implementação e Migração do Microsoft Sentinel, selecione Implementação e desloque-se para baixo para localizar o Resumo do progresso. Esta área apresenta o estado da implementação, incluindo as seguintes informações:

• Dados de relatórios de tabelas
• Número de tabelas a reportar dados
• Número de registos comunicados e que tabelas reportam os dados de registo
• Número de regras ativadas vs. regras não ativadas
• Livros recomendados implementados
• Número total de livros implementados
• Número total de manuais de procedimentos implementados

Implementar e monitorizar conectores de dados

Para monitorizar os recursos implementados e implementar novos conectores, no livro Implementação e Migração do Microsoft Sentinel, selecione Monitor de Conectores > de Dados. A vista Monitorização lista:

• Tendências de ingestão atuais
• Tabelas a ingerir dados
• Quantidade de dados que cada tabela está a comunicar
• Relatórios de pontos finais com o Agente Azure Monitor (AMA)
• Regras de recolha de dados no grupo de recursos e os dispositivos ligados às regras
• Estado de funcionamento do conector de dados (alterações e falhas)
• Registos de estado de funcionamento dentro do intervalo de tempo especificado

Para configurar um conector de dados:

1. Selecione a vista Configurar .
2. Selecione o botão com o nome do conector que pretende configurar.
3. Configure o conector no ecrã de estado do conector que é aberto. Se não conseguir encontrar um conector de que precisa, selecione o nome do conector para abrir a galeria de conectores ou a galeria de soluções.

Implementar e monitorizar análises e incidentes

Quando os dados são comunicados na área de trabalho, configure e monitorize as regras de análise. No livro Microsoft Sentinel Implementação e Migração, selecione o separador Análise para ver todos os modelos e listas de regras implementadas. Esta vista indica que regras estão atualmente a ser utilizadas e a frequência com que as regras geram incidentes.

Se precisar de mais cobertura, selecione Rever cobertura mitre abaixo da tabela à esquerda. Utilize esta opção para definir que áreas recebem mais cobertura e que regras são implementadas, em qualquer fase do projeto de migração.

Quando implementa as regras de análise e o conector de produtos do Defender está configurado para enviar os alertas, monitorize a criação de incidentes e a frequência em Resumo da Implementação > do progresso. Esta área apresenta métricas relativas à geração de alertas por produto, título e classificação, para indicar o estado de funcionamento do SOC e quais os alertas que requerem mais atenção. Se os alertas estiverem a gerar demasiado volume, regresse ao separador Análise para modificar a lógica.

Implementar e utilizar livros

Para visualizar informações sobre a ingestão de dados e deteções que Microsoft Sentinel efetua, no livro Implementação e Migração do Microsoft Sentinel, selecione Livros. Semelhante ao separador Conectores de Dados , utilize as vistas Monitorizar e Configurar para ver informações de monitorização e configuração.

Seguem-se algumas tarefas úteis a realizar no separador Livros :

• Para ver uma lista de todos os livros no ambiente e quantos livros estão implementados, selecione Monitorizar.

• Para ver um livro específico no livro implementação e migração do Microsoft Sentinel, selecione um livro e, em seguida, selecione Abrir Livro Selecionado.

  

• Se ainda não implementou livros, selecione Configurar para ver uma lista de livros frequentemente utilizados e recomendados. Se um livro não estiver listado, selecione Ir para a Galeria de Livros ou Aceda ao Hub de Conteúdos para implementar o livro relevante.

  

Implementar e monitorizar manuais de procedimentos e regras de automatização

Quando configura a ingestão de dados, as deteções e as visualizações, pode agora analisar a automatização. No livro implementação e migração do Microsoft Sentinel, selecione Automatização para ver os manuais de procedimentos implementados e para ver que manuais de procedimentos estão atualmente ligados a uma regra de automatização. Se existirem regras de automatização, o livro realça as seguintes informações sobre cada regra:

• Name
• Estado
• Ação ou ações da regra
• A última data em que a regra foi modificada e o utilizador que modificou a regra
• A data em que a regra foi criada

Para ver, implementar e testar a automatização na secção atual do livro, selecione Implementar recursos de automatização no canto inferior esquerdo.

Saiba mais sobre Microsoft Sentinel capacidades SOAR para manuais de procedimentos e regras de automatização.

Implementar e monitorizar o U E B A

Uma vez que os relatórios de dados e as deteções ocorrem ao nível da entidade, é essencial monitorizar o comportamento e as tendências das entidades. Para ativar a funcionalidade U E B A no Microsoft Sentinel, no livro Implementação e Migração do Microsoft Sentinel, selecione UEBA. Aqui, pode personalizar as linhas cronológicas de entidades para páginas de entidades e ver que tabelas relacionadas com entidades são preenchidas com dados.

Para ativar o U E B A:

1. Selecione Ativar UEBA acima da lista de tabelas.
2. Para ativar o U E B A, selecione Ativado.
3. Selecione as origens de dados que pretende utilizar para gerar informações.
4. Selecione Aplicar.

Depois de ativar o U E B A, monitorize e certifique-se de que Microsoft Sentinel está a gerar dados U E B A.

Para personalizar a linha cronológica:

1. Selecione Personalizar Linha Cronológica da Entidade acima da lista de tabelas.
2. Crie um item personalizado ou selecione um dos modelos de configuração inicial.
3. Para implementar o modelo e concluir o assistente, selecione Criar.

Saiba mais sobre o U E B A ou saiba como personalizar a linha cronológica.

Configurar e gerir o ciclo de vida dos dados

Quando implementa ou migra para Microsoft Sentinel, é essencial gerir a utilização e o ciclo de vida dos registos recebidos. No livro Implementação e Migração do Microsoft Sentinel, selecione Gestão de Dados para ver e configurar a retenção de tabelas e o arquivo.

Ver informações sobre:

• Tabelas configuradas para ingestão de registos básica
• Tabelas configuradas para ingestão de camadas analíticas
• Tabelas configuradas para serem arquivadas
• Tabelas na retenção predefinida da área de trabalho

Para modificar a política de retenção existente para tabelas:

1. Selecione a vista Tabelas de Retenção Predefinidas .
2. Selecione a tabela que pretende modificar e selecione Retenção de Atualizações. Edite as seguintes informações conforme necessário:
   • Retenção atual na área de trabalho
   • Retenção atual no arquivo
   • Número total de dias em que os dados residem no ambiente
3. Edite o valor TotalRetention para definir um novo número total de dias em que os dados devem existir no ambiente.

O valor ArchiveRetention é calculado ao subtrair o valor TotalRetention do valor InteractiveRetention . Se precisar de ajustar a retenção da área de trabalho, a alteração não afeta as tabelas que incluem arquivos configurados e os dados não são perdidos. Se editar o valor InteractiveRetention e o valor TotalRetention não for alterado, Azure Log Analytics ajusta a retenção de arquivo para compensar a alteração.

Se preferir fazer alterações na IU, selecione Retenção de Atualizações na IU para abrir a página relevante.

Saiba mais sobre a gestão do ciclo de vida dos dados.

Ativar sugestões e instruções de migração

Para ajudar no processo de implementação e migração, o livro inclui sugestões que explicam como utilizar os diferentes separadores e ligações para recursos relevantes. As sugestões baseiam-se Microsoft Sentinel documentação de migração e são relevantes para o seu SIEM atual. Para ativar sugestões e instruções, no livro Implementação e Migração do Microsoft Sentinel, no canto superior direito, defina Descrições e Instrução como Sim.

Passos seguintes

Neste artigo, aprendeu a controlar a migração com o livro Implementação e Migração do Microsoft Sentinel.

• Migrar regras de deteção do ArcSight
• Migrar regras de deteção do Splunk
• Migrar regras de deteção do QRadar