Aprimorando ameaças no Sentinel
Certifique-se de que o Azure Security Center esteja devidamente configurado para sua assinatura do Azure. Isso envolve ativar as políticas de segurança relevantes, definir as configurações de monitoramento e habilitar a coleta de dados de segurança.
Conhecendo o Microsoft Sentinel e seus recursos
Utilize o Microsoft Sentinel para criar regras de detecção de ameaças e consultas personalizadas. Essas regras e consultas podem ser baseadas em padrões de tráfego suspeito, atividades anômalas ou outros indicadores de comprometimento. Clique em "Microsoft Sentinel" para iniciarmos.
Clique em "Create Microsoft Sentinel".
Selecione o Workspace de Log Analitycs que deseja vincular o Azure Sentinel.
Clique em "OK".
O Microsoft Sentinel Content Hub é um recurso que oferece uma coleção de consultas, regras, painéis e outros tipos de conteúdo pré-criado para auxiliar na detecção de ameaças e na análise de segurança. Ele acelera a implementação e o uso eficaz do Microsoft Sentinel em seu ambiente de segurança. Clique em "Content Hub".
Vamos pesquisar pelo Azure Firewall.
Clique em "Install" para iniciarmos a instalação deste conector.
Integrar o Azure Firewall com o Microsoft Sentinel pode oferecer uma solução eficaz para segurança de rede e detecção de ameaças. Clique em "Create" para iniciarmos a instalação deste conector.
Selecione sua assinatura, região e grupo de recursos que desejar e clique em "Review e Create".
Caso seja validado, clique em "Create".
Pronto! Azure Firewall para Sentinel está instalado.
Volte para o "Microsoft Sentinel".
Clique no "Log Analytics Workspace":
Clique em "Content Hub"
O Azure DDoS Protection protege aplicativos e serviços hospedados no Azure contra ataques DDoS. Ele detecta e mitiga automaticamente ataques volumétricos e baseados em aplicativos, ajudando a manter recursos online e disponíveis. Digite Azure DDoS e clique em "Install"
Clique em "Create":
O Azure DDos para Sentinel está instalado.
Clique em "Analytics":
Veja que você já terá uma visão melhor dos logs contidos no Workspace, separado por categorias para uma melhor análise e mitigação.
Os conectores de dados no Azure Sentinel são essenciais para trazer informações para o serviço. Clique em "Data Conectors" e digite "Azure Firewall".
O "Hunting" no contexto do Azure Sentinel se refere à atividade de proativamente procurar anomalias, comportamentos suspeitos ou atividades maliciosas nos dados de segurança coletados de várias fontes. É uma abordagem proativa de detecção de ameaças que complementa as regras de detecção tradicionais.. Clique em "Hunting" e depois pesquise por "Azure Firewall"
Em Hunting podemos encontrar logs mais profundos como portas incomuns dentro do ambiente, primeiro acesso de um determinado IP, entre outras informações. Clique em "Workbooks".
Workbooks no Azure Sentinel ajudam a transformar dados brutos em insights, dando uma visão mais clara do cenário de segurança. No campo de pesquisa, digite "Azure Firewall"
Veja abaixo os excelentes Dashboard para facilitar a visão de segurança da organização. Os Workgroups são excelentes para uma visualização mais amigável. Abaixo a opção de "Time Range":
Em filtros, você poderá escolher os recursos desejados para a visualização do Dashboard.
Digite "Azure WAF" para visualizarmos os dashboard para esse recurso.
Veja que excelente essa visão abaixo. São eventos do WAF em tempo real e que ainda podem ser filtrados para consultas.
Dashboard com triggers:
Dashboard para análise de regras.
Vamos veriifcar agora os resultados do Workbook para o DDos Protection.
O dashboard para Azure DDoS são sensacionais e essa é a visão que poderá ter com o Workbook para DDoS.
Acompanhamento de protocolos, Drop Reasons, Continent of orign, entre outros.
Raw DDoS mitigation logs:
Raw DDoS flow logs:
O Microsoft Sentinel é uma plataforma de gerenciamento e resposta a incidentes de segurança projetada para ajudar as organizações a detectar, investigar e responder a ameaças cibernéticas. Ele oferece uma série de recursos poderosos para fortalecer a postura de segurança de uma organização:
Coleta de Dados Unificada: O Sentinel permite a coleta de dados de várias fontes, incluindo logs de segurança, eventos de rede e atividades do usuário, tanto do ambiente local quanto da nuvem.
Análise Avançada: Com a linguagem de consulta Kusto Query Language (KQL), você pode analisar e correlacionar dados para identificar padrões, anomalias e ameaças potenciais.
Detecção de Ameaças: O Sentinel oferece regras de detecção pré-construídas e personalizáveis, além da capacidade de criar consultas avançadas para identificar atividades suspeitas ou maliciosas.
Inteligência Contra Ameaças: Ele é integrado ao Microsoft Threat Intelligence para fornecer informações atualizadas sobre ameaças conhecidas em todo o mundo.
Automatização de Resposta: O Sentinel suporta playbooks automatizados que permitem acionar ações automáticas em resposta a eventos de segurança.
Workbooks Personalizados: Os workbooks permitem criar visualizações personalizadas para analisar dados de segurança e incidentes, proporcionando insights acionáveis.
Escalabilidade e Flexibilidade: Ele se baseia na infraestrutura escalável do Azure e pode se adaptar às necessidades de organizações de todos os tamanhos.
Integração com Ecossistema Microsoft: Ele se integra perfeitamente com outras soluções Microsoft, como Azure Security Center e Microsoft 365 Defender.
Hunting e Investigação de Ameaças: O Sentinel permite a caça proativa a ameaças, ajudando a identificar atividades suspeitas não detectadas por regras tradicionais.
Melhoria Contínua: A Microsoft continua a aprimorar o Sentinel com atualizações regulares, introduzindo novos recursos e aprimorando a eficácia da plataforma.
Esperamos que esse artigo tenha ajudado os profissionais de segurança que utilizam os serviços online da Microsoft.
