Acompanhe sua migração do Microsoft Sentinel com uma pasta de trabalho

Como o centro de operações de segurança (SOC) da sua organização lida com quantidades crescentes de dados, é essencial planejar e monitorar o status da implantação. Embora você possa acompanhar seu processo de migração usando ferramentas genéricas, como Microsoft Project, Microsoft Excel, Microsoft Teams ou Azure DevOps, essas ferramentas não são específicas para o rastreamento de migração de gerenciamento de eventos e informações de segurança (SIEM). Para ajudá-lo a rastrear, fornecemos uma pasta de trabalho dedicada no Microsoft Sentinel chamada Implantação e Migração do Microsoft Sentinel.

O livro ajuda-o a:

• Visualize o progresso da migração
• Implantar e rastrear fontes de dados
• Implantar e monitorar regras de análise e incidentes
• Implantar e utilizar pastas de trabalho
• Implantar e executar automação
• Implantar e personalizar análises comportamentais de usuários e entidades (U E B A)

Este artigo descreve como controlar sua migração com a pasta de trabalho de Implantação e Migração do Microsoft Sentinel, como personalizar e gerenciar a pasta de trabalho e como usar as guias da pasta de trabalho para implantar e monitorar conectores de dados, análises, incidentes, playbooks, regras de automação, U E B A e gerenciamento de dados. Saiba mais sobre como usar pastas de trabalho do Azure Monitor no Microsoft Sentinel.

Implantar o conteúdo da pasta de trabalho e exibir a pasta de trabalho

Para obter a pasta de trabalho, primeiro instale o item autônomo do hub de conteúdo no Microsoft Sentinel.

1. No hub de Conteúdo do Microsoft Sentinel, filtre o conteúdo listado por Pastas de Trabalho do tipo = Conteúdo e insira migração na barra de pesquisa.

2. Nos resultados da pesquisa, selecione a pasta de trabalho Microsoft Sentinel Deployment and Migration e selecione Instalar. O Microsoft Sentinel implanta a pasta de trabalho e salva a pasta de trabalho em seu ambiente.

3. No Microsoft Sentinel, em Gerenciamento de ameaças, selecione Modelos de pastas de>trabalho.

4. Selecione a pasta de trabalho Implantação e Migração do Microsoft Sentinel e o modelo Exibir.

Implantar a lista de observação

A próxima etapa é implantar a lista de observação relacionada a partir do repositório GitHub do Microsoft Sentinel.

1. No repositório GitHub do Microsoft Sentinel, selecione a pasta DeploymentandMigration e selecione Implantar no Azure para iniciar a implantação do modelo no Azure.
2. Forneça o grupo de recursos do Microsoft Sentinel e o nome do espaço de trabalho.
3. Selecione Rever e criar.
4. Depois que as informações forem validadas, selecione Criar.

Atualizar a lista de observação com ações de implantação e migração

Esta etapa é crucial para o processo de configuração de rastreamento. Se você ignorar esta etapa, a pasta de trabalho não refletirá os itens para acompanhamento.

Para atualizar a lista de observação com ações de implantação e migração:

1. No portal do Azure ou do Microsoft Defender, selecione Microsoft Sentinel e, em seguida, selecione Lista de observação.
2. Selecione a lista de observação com o alias de implantação .
3. Em seguida, selecione Atualizar lista > de observação, editar itens da lista de observação.
4. Fornecer as informações para as ações necessárias para a implantação e migração.
5. Selecione Guardar.

Agora você pode exibir a lista de observação na pasta de trabalho do rastreador de migração. Saiba como gerir listas de observação.

Além disso, sua equipe pode atualizar ou concluir tarefas durante o processo de implantação. Para resolver essas alterações, atualize as ações existentes ou adicione novas ações à medida que identifica novos casos de uso ou define novos requisitos. Para atualizar ou adicionar ações, edite a lista de observação de implantação que você implantou. Para simplificar o processo, na pasta de trabalho, selecione Editar lista de observação de implantação para abrir a lista de observação diretamente da pasta de trabalho.

Ver estado da implementação

Para visualizar rapidamente o progresso da implantação, na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione Implantação e role para baixo para localizar o Resumo do progresso. Esta área exibe o status da implantação, incluindo as seguintes informações:

• Tabelas que relatam dados
• Número de quadros que comunicam dados
• Número de logs relatados e quais tabelas relatam os dados de log
• Número de regras habilitadas versus regras não implantadas
• Pastas de trabalho recomendadas implantadas
• Número total de pastas de trabalho implantadas
• Número total de playbooks implantados

Implantar e monitorar conectores de dados

Para monitorar recursos implantados e implantar novos conectores, na pasta de trabalho Microsoft Sentinel Deployment and Migration , selecione Data Connectors > Monitor. O modo de exibição Monitor lista:

• Tendências atuais de ingestão
• Tabelas que ingerem dados
• Quantos dados cada tabela está relatando
• Relatórios de pontos de extremidade com o Azure Monitor Agent (AMA)
• Regras de coleta de dados no grupo de recursos e os dispositivos vinculados às regras
• Estado de funcionamento do conector de dados (alterações e falhas)
• Logs de integridade dentro do intervalo de tempo especificado

Para configurar um conector de dados:

1. Selecione a visualização Configurar .
2. Selecione o botão com o nome do conector que você deseja configurar.
3. Configure o conector na tela de status do conector que se abre. Se não conseguir encontrar o conector de que necessita, selecione o nome do conector para abrir a galeria de conectores ou a galeria de soluções.

Implante e monitore análises e incidentes

Quando os dados são relatados no espaço de trabalho, configure e monitore as regras de análise. Na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione a guia Análise para exibir todos os modelos e listas de regras implantadas. Esta vista indica quais as regras que estão atualmente a ser utilizadas e a frequência com que geram incidentes.

Se precisar de mais cobertura, selecione Rever a cobertura MITRE abaixo da tabela à esquerda. Use essa opção para definir quais áreas recebem mais cobertura e quais regras são implantadas, em qualquer estágio do projeto de migração.

Quando você implanta as regras de análise e o conector do produto Defender é configurado para enviar os alertas, monitore a criação de incidentes e a frequência em Resumo da implantação > do progresso. Esta área exibe métricas relativas à geração de alertas por produto, título e classificação, para indicar a integridade do SOC e quais alertas exigem mais atenção. Se os alertas estiverem gerando muito volume, retorne à guia Análise para modificar a lógica.

Implantar e utilizar pastas de trabalho

Para visualizar informações sobre a ingestão e as deteções de dados que o Microsoft Sentinel executa, na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione Pastas de trabalho. Semelhante à guia Conectores de Dados, use as exibições Monitor e Configurar para exibir informações de monitoramento e configuração.

Aqui estão algumas tarefas úteis para fazer na guia Pastas de trabalho:

• Para exibir uma lista de todas as pastas de trabalho no ambiente e quantas pastas de trabalho são implantadas, selecione Monitor.

• Para exibir uma pasta de trabalho específica na pasta de trabalho de Implantação e Migração do Microsoft Sentinel, selecione uma pasta de trabalho e, em seguida, selecione Abrir Pasta de Trabalho Selecionada.

  

• Se você ainda não implantou pastas de trabalho, selecione Configurar para exibir uma lista de pastas de trabalho comumente usadas e recomendadas. Se uma pasta de trabalho não estiver listada, selecione Ir para a Galeria de Pastas de Trabalho ou Ir para o Hub de Conteúdo para implantar a pasta de trabalho relevante.

  

Implante e monitore playbooks e regras de automação

Ao configurar a ingestão, deteções e visualizações de dados, agora você pode examinar a automação. Na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione Automação para exibir playbooks implantados e para ver quais playbooks estão atualmente conectados a uma regra de automação. Se existirem regras de automação, a pasta de trabalho destacará as seguintes informações sobre cada regra:

• Nome
• Status
• Ação ou ações da regra
• A última data em que a regra foi modificada e o usuário que modificou a regra
• A data em que a regra foi criada

Para exibir, implantar e testar a automação na seção atual da pasta de trabalho, selecione Implantar recursos de automação no canto inferior esquerdo.

Saiba mais sobre os recursos do Microsoft Sentinel SOAR para playbooks e regras de automação.

Implantar e monitorar U E B A

Como os relatórios e deteções de dados acontecem no nível da entidade, é essencial monitorar o comportamento e as tendências da entidade. Para habilitar o recurso U E B A no Microsoft Sentinel, na pasta de trabalho Implantação e Migração do Microsoft Sentinel, selecione UEBA. Aqui você pode personalizar as linhas do tempo da entidade para páginas de entidade e exibir quais tabelas relacionadas à entidade são preenchidas com dados.

Para habilitar U E B A:

1. Selecione Ativar UEBA acima da lista de tabelas.
2. Para ativar U E B A, selecione Ativado.
3. Selecione as fontes de dados que deseja usar para gerar insights.
4. Selecione Aplicar.

Depois de habilitar U E B A, monitore e verifique se o Microsoft Sentinel está gerando dados U E B A.

Para personalizar a linha do tempo:

1. Selecione Personalizar Linha do Tempo da Entidade acima da lista de tabelas.
2. Crie um item personalizado ou selecione um dos modelos prontos para uso.
3. Para implantar o modelo e concluir o assistente, selecione Criar.

Saiba mais sobre U E B A ou saiba como personalizar a linha do tempo.

Configurar e gerenciar o ciclo de vida dos dados

Quando você implanta ou migra para o Microsoft Sentinel, é essencial gerenciar o uso e o ciclo de vida dos logs de entrada. Na pasta de trabalho Microsoft Sentinel Deployment and Migration, selecione Gerenciamento de Dados para exibir e configurar a retenção e o arquivamento de tabelas.

Ver informação sobre:

• Tabelas configuradas para ingestão básica de logs
• Tabelas configuradas para ingestão de camadas de análise
• Tabelas configuradas para serem arquivadas
• Tabelas na retenção de espaço de trabalho padrão

Para modificar a política de retenção existente para tabelas:

1. Selecione o modo de exibição Tabelas de retenção padrão.
2. Selecione a tabela que deseja modificar e selecione Atualizar retenção. Edite as seguintes informações conforme necessário:
   • Retenção atual no espaço de trabalho
   • Retenção atual no arquivo
   • Número total de dias de vida dos dados no ambiente
3. Edite o valor TotalRetention para definir um novo número total de dias em que os dados devem existir no ambiente.

O valor ArchiveRetention é calculado subtraindo o valor TotalRetention do valor InteractiveRetention . Se você precisar ajustar a retenção do espaço de trabalho, a alteração não afetará as tabelas que incluem arquivos configurados e os dados não serão perdidos. Se você editar o valor InteractiveRetention e o valor TotalRetention não for alterado, o Azure Log Analytics ajustará a retenção de arquivo para compensar a alteração.

Se preferir fazer alterações na interface do usuário, selecione Atualizar retenção na interface do usuário para abrir a página relevante.

Saiba mais sobre o gerenciamento do ciclo de vida dos dados.

Ativar dicas e instruções de migração

Para ajudar no processo de implantação e migração, a pasta de trabalho inclui dicas que explicam como usar as diferentes guias e links para recursos relevantes. As dicas são baseadas na documentação de migração do Microsoft Sentinel e são relevantes para o seu SIEM atual. Para habilitar dicas e instruções, na pasta de trabalho Microsoft Sentinel Deployment and Migration , no canto superior direito, defina MigrationTips and Instruction como Yes.

Próximos passos

Neste artigo, você aprendeu como controlar sua migração com a pasta de trabalho Microsoft Sentinel Deployment and Migration .

• Migrar regras de deteção do ArcSight
• Migrar regras de deteção do Splunk
• Migrar regras de deteção do QRadar