Auditoria e monitoramento de integridade no Microsoft Sentinel
O Microsoft Sentinel é um serviço essencial para melhorar e proteger a segurança dos ativos tecnológicos e de informação da sua organização. Portanto, você vai querer ter certeza de que ele está sempre funcionando sem problemas e sem interferência.
Você deseja verificar se os diversos elementos móveis do serviço estão sempre funcionando conforme o esperado e se ele não está sendo manipulado por ações não autorizadas, seja por usuários internos ou externos. Você também pode configurar notificações de desvios de integridade ou ações não autorizadas para serem enviadas às partes interessadas relevantes que podem responder ou aprovar uma resposta. Por exemplo, você pode configurar condições para disparar o envio de emails ou mensagens do Microsoft Teams às equipes de operações, gerentes ou diretores, emitir novos tíquetes em seu sistema de tíquetes e assim por diante.
Este artigo descreve como os recursos de monitoramento e auditoria de integridade do Microsoft Sentinel permitem monitorar a atividade de alguns dos principais recursos do serviço e inspecionar logs de ações do usuário dentro do serviço.
Armazenamento de dados de integridade e auditoria
Os dados de integridade e auditoria são coletados em duas tabelas no workspace do Log Analytics: SentinelHealth e SentinelAudit
Os dados de auditoria são coletados na tabela SentinelAudit.
Os dados de integridade são coletados na tabela SentinelHealth, que captura eventos que registram cada vez que uma regra de automação é executada e os resultados finais dessas execuções. A tabela SentinelHealth inclui:
- Se as ações iniciadas na regra são bem-sucedidas ou falham e se os guias estratégicos são chamados pela regra.
- Os eventos que registram o gatilho sob demanda (manual ou baseado em API) de guias estratégicos, incluindo as identidades que os dispararam, e os resultados finais dessas execuções
A tabela SentinelHealth não inclui um registro da execução do conteúdo de um guia estratégico, somente se o guia estratégico foi iniciado com êxito. Um log das ações executadas em um guia estratégico, que são fluxos de trabalho dos Aplicativos Lógicos, é listado na tabela AzureDiagnostics. O AzureDiagnostics oferece uma visão completa da integridade da automação quando usada em conjunto com os dados do SentinelHealth.
A maneira mais comum de usar esses dados é consultando essas tabelas. Para obter melhores resultados, elabore suas consultas nas funções predefinidas nessas tabelas, em _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações feitas no esquema das próprias tabelas.
A tabela SentinelHealth não é faturável e não gera cobranças pela ingestão de dados de saúde. A tabela SentinelAudit é faturável e, como em outras áreas do Microsoft Sentinel, os custos incorridos dependem do volume de log, que pode ser afetado pelo número de atividades e alterações feitas nas regras relacionadas. Para obter mais informações, consulte Planejar os custos e entender os preços e a cobrança do Microsoft Sentinel.
Importante
As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Perguntas para verificar a integridade do serviço e os dados de auditoria
Use as seguintes perguntas para orientar o monitoramento dos dados de integridade e auditoria do Microsoft Sentinel:
O conector de dados está sendo executado corretamente?
O conector de dados está recebendo dados? Por exemplo, se você instruiu o Microsoft Sentinel a executar uma consulta a cada cinco minutos, convém verificar se essa consulta está sendo executada, como ela está sendo executada e se há riscos ou vulnerabilidades relacionados à consulta.
Uma regra de automação foi executada conforme o esperado?
Sua regra de automação foi executada quando deveria — ou seja, quando as condições dela foram atendidas? Todas as ações na regra de automação foram executadas com êxito?
A regra de análise foi executada conforme o esperado?
Sua regra de análise foi executada quando deveria e gerou resultados? Se você espera ver incidentes específicos em sua fila, mas isso não acontece, é desejável saber se a regra foi executada mas não encontrou nada (ou coisas suficientes) ou se simplesmente não foi executada.
Foram feitas alterações não autorizadas em uma regra de análise?
Algo mudou na regra? Você não conseguiu os resultados esperados de sua regra de análise e não teve nenhum problema de integridade. Você deseja ver se alguma alteração não planejada foi feita na regra e, em caso afirmativo, quais alterações foram feitas, por quem, de onde e quando.
Fluxo de monitoramento de integridade e auditoria
Para começar a coletar dados de integridade e auditoria, você precisa habilitar o monitoramento de integridade e auditoria nas configurações do Microsoft Sentinel. Em seguida, você pode se aprofundar nos dados de integridade e auditoria coletados pelo Microsoft Sentinel:
| Atividade | Mais informações |
|---|---|
| Execute consultas nas tabelas de dados SentinelHealth e SentinelAudit da página Microsoft Sentinel Logs. | |
| Use as pastas de trabalho de auditoria e monitoramento de integridade fornecidas no Microsoft Sentinel. | |
| Use as ferramentas de gerenciamento de execução do Microsoft Sentinel para monitorar e otimizar a execução de regras de análise agendadas | |
| Exporte os dados para vários destinos, como seu espaço de trabalho do Log Analytics, arquivamento em uma conta de armazenamento e muito mais. |
Conteúdo relacionado
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel
- Monitore a integridade de suas regras e manuais de automação
- Monitore a integridade dos seus conectores de dados
- Monitore a integridade e a integridade de suas regras analíticas
- Monitore a integridade do sistema SAP
- Os esquemas de tabela SentinelHealth e SentinelAudit.