Como Implantar o Microsoft Sentinel

O Microsoft Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.

O Microsoft Sentinel é sua visão geral da empresa, amenizando o estresse de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos períodos para resolução.

  • Colete dados na escala de nuvem de todos os usuários, dispositivos, aplicativos e infraestrutura, local e em múltiplas nuvens.
  • Detecte ameaças que ainda não foram descobertas e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft.
  • Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft.
  • Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.

Microsoft Sentinel core capabilities

Aproveitando a gama completa de serviços existentes do Azure, o Microsoft Sentinel incorpora nativamente bases comprovadas, como o Log Analytics e os Aplicativos Lógicos. O Microsoft Sentinel enriquece a investigação e a detecção com IA, além de oferecer o fluxo de inteligência da Microsoft contra ameaças e permitir que você use sua própria inteligência contra ameaças.

Algumas opções disponíveis do Microsoft Sentinel:

  • Connect to all your data
  • Workbooks
  • Analytics
  • Security automation & orchestration
  • Investigation
  • Hunting
  • Notebooks
  • Community

Para maiores informações acesse o link abaixo:

What is Microsoft Sentinel? | Microsoft Docs

Pré-requisitos globais

  • Assinatura ativa do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • Log Analtics Workspace. Crie um Log Analytics Workspace.Por padrão, você pode ter um padrão de retenção de 30 dias no log analytics workspace e usado para o Microsoft Sentinel. Para garantir que você possa usar toda a extensão da funcionalidade do Microsoft Sentinel, eleve isso para 90 dias. Para obter mais informações, consulte Alterar o período de retenção.
  • Permissões:
    • Para ativar o Microsoft Sentinel, você precisa de permissões de contributor para a assinatura na qual reside o Microsoft Sentinel workspace.
    • Para usar o Microsoft Sentinel, você precisa de permissões de contributor ou reader no grupo de recursos a que o espaço de trabalho pertence.
    • Podem ser necessárias permissões adicionais para conectar fontes de dados específicas.

Passo a passo

Criar Log Analytics Workspace

Um  Log Analytics workspace é um ambiente exclusivo para dados de log do Azure Monitor. Cada espaço de trabalho tem seu próprio repositório e configuração de dados, e as origens de dados e soluções são configuradas para armazenar seus dados em um espaço de trabalho específico. Você precisa de um Log Analytics workspace se pretende coletar dados das seguintes fontes:

  • Recursos do Azure em sua assinatura;
  • Computadores locais monitorados pelo System Center Operations Manager;
  • Coletas de dispositivos do System Center Configuration Manager;
  • Diagnóstico ou dados de log do armazenamento do Azure;

01 – No portal do Azure abra o Cloud Shell e selecione Bash.

Execute o script abaixo para criar o Log Analytics Workspace.

az group create –name RG-Sentinel –location eastus
az monitor log-analytics workspace create –resource-group RG-Sentinel \
–workspace-name workspace-sentinel

02 – No portal do Azure pesquise por Log Analytics workspaces.

03 – Como podemos observar o Log Analytics workspace “workspace-sentinel” foi criado.

Vinculando storage account ao Log Analytics workspace

O Log Analytics se baseia no armazenamento do Azure em vários cenários. Esse uso normalmente é gerenciado de forma automática. No entanto, alguns casos exigem que você forneça e gerencie sua própria conta de armazenamento, também conhecida como conta de armazenamento gerenciada pelo cliente.

04 – Execute o script abaixo para criar um storage account do tipo StorageV2 com replicação Locally-redudant storage (LRS).

OBESERVAÇÃO: O script pode ser executa no PowerShell on-premises ou no Azure Cloud Shell.

# Variaveis
$resourceGroup = “RG-Sentinel”
$location = “EastUS”
$stoname = “stologanalitycssentnel”

# Criar Storage Account
New-AzStorageAccount -ResourceGroupName $resourceGroup `
-Name $stoname `
-Location $location `
-SkuName Standard_LRS `
-Kind StorageV2

05 – Como podemos observar na imagem abaixo o storage account foi criado com sucesso.

06 – No portal do Azure pesquise por Log analytics workspace.

07 – Na tela Log Analytics workspaces selecione o workspace-sentinel.

08 – Após selecionar o workspace-sentinel em Settings clique em Linked storage accounts.

09 – Selecione Custom logs & IIS logs a tela Link storage account será aberta, selecione o storage account que deseja adicionar, em seguida clique em Save.

10 – Como podemos observar o storage account foi adicionado ao Custom logs & IIS logs.

11 – O próximo passo é adicionar o storage account para Saved queries e Saved log alert queries, repita as configurações realizadas na etapa 9.

Configurando event logs e performance counters

Por padrão as máquinas virtuais que estão associadas ao Log Analytics workspace enviam todos os logs de eventos e contadores de performance para o log analitycs workspace, podemos alterar essa configuração para que seja apenas armazenado os logs necessários.

12 – Na tela do Log Analytics workspace “workspace-sentinel” em Settings clique em Agents configuration.

13 – Podemos pesquisar quais eventos queremos adicionar, para o nosso exemplo vamos adicionar o Microsoft-Windows-Security-Netlogon/OperationalMicrosoft-Windows-Windows Firewall With Advanced Security/FirewallMicrosoft-Windows-Diagnostics-Networking/OperationalMicrosoft-Windows-WindowsUpdateClient/Operational, também podemos selecionar qual tipo de evento vamos coletar se vai ser do Error, Warning e Information, vamos selecionar Error e Warning em seguida clique em Apply.

Observação: Adicione os logs de eventos e contadores de performance de acordo com a necessidade da sua organização.

14 – Em seguida clique em Windows performance counters e clique em + Add performance counter.

15 – Podemos pesquisar quais contadores de performance queremos adicionar, para o nosso exemplo vamos adicionar System(*)\Processes, Server(*)\Errors Logon, LogicalDisk(*)\% Free Space, Memory(*)\Available Bytes, MSAS12:Memory(*)\Memory Usage KB, em seguida clique em Apply.

16 – Como podemos observar as configurações de contadores de performance foram adicionadas.

17 – Em seguida clique em Linux performance counters e clique em + Add performance counter.

18 – Podemos pesquisar quais contadores de performance queremos adicionar, para o nosso exemplo vamos adicionar Logical Disk\% Used Space, Memory\% Used Memory, System\Users, em seguida clique em Apply.

19 –  Na tela Agents configuration clique em Syslog, em seguida clique em Add facility.

20 – Podemos pesquisar quais eventos queremos adicionar, para nosso exemplo vamos adicionar syslog, também podemos selecionar qual tipo de evento vamos coletar Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug, vamos selecionar Emergency, Alert, Critical, Error, Warning, em seguida clique em Apply.

Preço Log Anaytics Workspace

O log analytics é cobrado por armazenamento de dados, quando você cria o recurso a cobrança padrão é Pay-as-you-go podendo ser alterado de acordo com a sua necessidade.

Para maiores informações sobre preços do Log Analytics acesse o link abaixo:

https://azure.microsoft.com/pt-br/pricing/details/monitor/

21 – Para verificar o uso do Log Analytics, estimativa de custos ou alterar as camadas de preços, em General clique em Usage and estimated costs.

Associar máquinas virtuais ao Log Analytics workspace

22 – No portal do Azure pesquise por Log Analytics workspaces em seguida selecione workspace-sentinel.

23 – Após selecionar o workspace-sentinel em Workspace Data Sources selecione Virtual machines.

24 – Na tela Virtual machines selecione a máquina virtual vm-sentinel-Linux.

25 – Na tela vm-sentinel-Linux clique em Connect.

26 – Como podemos observar conectamos a vm-sentinel-Linux ao log analitycs workspace.

27 – Ainda na tela Virtual machines selecione a máquina virtual “vm-sentinel-win”.

28 – Na tela vm-sentinel-win clique em Connect.

29 – Como podemos observar conectamos a vm-sentinel-win ao log analitycs workspace.

Criar o Microsoft Sentinel

30 – No portal do Azure pesquise por Microsoft Sentinel.

31 – Na tela Microsoft Sentinel clique em + Create.

32 – Na tela Add Microsoft Sentinel to a workspac selecione o log analytics workspace “workspace-sentinel” e clique em Add.

33 – Como podemos observar o Microsoft Sentinel foi criado.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.