Microsoft Sentinel – Windows Security Events

Você pode transmitir todos os eventos de segurança das máquinas Windows conectadas ao seu Microsoft Sentinel workspace usando o agente do Windows. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso fornece mais informações sobre a rede da sua organização e melhora seus recursos de operação de segurança.

Já escrevi o artigo aqui no site mostrando como implantar o Microsoft Sentinel, clique no link abaixo para conferir.

Como Implantar o Microsoft Sentinel – Jádson Alves (jadsonalves.com.br)

Passo a passo

01 – Faça login no portal do Azure.
02 – No portal pesquise por Microsoft Sentinel.
03 – Na tela Microsoft Sentinel selecione o workspace-sentinel.
04 – Na tela Microsoft Sentinel | Overview em Configuration clique em Data connectors.
05 – Na tela Microsoft Sentinel | Data connectors pesquise por Windows Security Events via AMA, em seguida clique em Windows Security Events via AMA, a tela Windows Security Events via AMA será aberta clique em Open connector page.
06 – Na tela Windows Security Events via AMA clique em +Create data collection rule.
07 – Na tela Create Data Collection Rule para a opção Basics digite um nome, selecione a assinatura e grupo de recursos, em seguida clique em Next: Resources.
08 – Para a opção Resources clique em +Add resource(s).
8.1 – A tela Select a scope será aberta, expanda o resource group onde a máquina virtual que deseja adicionar está, em seguida selecione a máquina virtual e clique em Apply.
09 – De volta a tela Resources observe que adicionamos a máquina virtual “VM-Sentinel-Win”, clique em Next: Collect.
10 – Na tela Collect temos as opções All Security Events, Common, Minimal, Custom, selecione Common e clique em Next: Review + create.
  • All Security Events – Todos os eventos de segurança do Windows e AppLocker.
  • Common – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
  • Minimal – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
  • Custom –  definindo consultas personalizadas usando Xpath

11 – Na tela Review + create clique em Create.

12 – Como podemos observar o Data Collection rule foi criada.

13 – No portal do Azure pesquise por Microsoft Sentinel, na tela Microsoft Sentinel selecione o workspace-sentinel.

14 – Na tela Microsoft Sentinel | Overview em Events and alerts over time percebam que temos o SECURITYEVENT, clique em SECURITYEVENT.

15 – O log analytics workspace será aberto e uma query para visualizar todos os Security Event será executada, abaixo temos os eventos de segurança da máquina virtual Windows “VM-Sentinel-Win”.

16 – De volta a tela Microsoft Sentinel | Overview em Threat management clique em Workbooks.

16 – Na tela Microsoft Sentinel | Workbooks selecione Identity & Access em seguida clique em View template.

Obtenha informações sobre operações de identidade e acesso coletando e analisando logs de segurança, usando os logs de auditoria e entrada para coletar informações sobre o uso de produtos da Microsoft.
Você pode visualizar anomalias e tendências em eventos de login de todos os usuários e máquinas. Esta pasta de trabalho também identifica entidades suspeitas de eventos de login e acesso.

17 – Na tela Identity & Access temos todas as informações relacionadas a autenticação na máquina virtual.

Percebam que tivemos várias tentativas de login na máquina virtual com contas “administrator, admin, test, student, azureuser,localadmin”.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.