Você pode transmitir todos os eventos de segurança das máquinas Windows conectadas ao seu Microsoft Sentinel workspace usando o agente do Windows. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso fornece mais informações sobre a rede da sua organização e melhora seus recursos de operação de segurança.
Já escrevi o artigo aqui no site mostrando como implantar o Microsoft Sentinel, clique no link abaixo para conferir.
Como Implantar o Microsoft Sentinel – Jádson Alves (jadsonalves.com.br)
Passo a passo
- All Security Events – Todos os eventos de segurança do Windows e AppLocker.
- Common – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
- Minimal – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
- Custom – definindo consultas personalizadas usando Xpath
11 – Na tela Review + create clique em Create.
12 – Como podemos observar o Data Collection rule foi criada.
13 – No portal do Azure pesquise por Microsoft Sentinel, na tela Microsoft Sentinel selecione o workspace-sentinel.
14 – Na tela Microsoft Sentinel | Overview em Events and alerts over time percebam que temos o SECURITYEVENT, clique em SECURITYEVENT.
15 – O log analytics workspace será aberto e uma query para visualizar todos os Security Event será executada, abaixo temos os eventos de segurança da máquina virtual Windows “VM-Sentinel-Win”.
16 – De volta a tela Microsoft Sentinel | Overview em Threat management clique em Workbooks.
16 – Na tela Microsoft Sentinel | Workbooks selecione Identity & Access em seguida clique em View template.
Obtenha informações sobre operações de identidade e acesso coletando e analisando logs de segurança, usando os logs de auditoria e entrada para coletar informações sobre o uso de produtos da Microsoft.
Você pode visualizar anomalias e tendências em eventos de login de todos os usuários e máquinas. Esta pasta de trabalho também identifica entidades suspeitas de eventos de login e acesso.
17 – Na tela Identity & Access temos todas as informações relacionadas a autenticação na máquina virtual.
Percebam que tivemos várias tentativas de login na máquina virtual com contas “administrator, admin, test, student, azureuser,localadmin”.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.