Você pode transmitir todos os eventos de segurança das máquinas Windows conectadas ao seu Microsoft Sentinel workspace usando o agente do Windows. Essa conexão permite visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso fornece mais informações sobre a rede da sua organização e melhora seus recursos de operação de segurança.
Já escrevi o artigo aqui no site mostrando como implantar o Microsoft Sentinel, clique no link abaixo para conferir.
Como Implantar o Microsoft Sentinel – Jádson Alves (jadsonalves.com.br)
Passo a passo
- All Security Events – Todos os eventos de segurança do Windows e AppLocker.
- Common – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
- Minimal – Um conjunto padrão de eventos para fins de auditoria. O conjunto de eventos Common pode conter alguns tipos de eventos que não são tão comuns. Isso porque o principal ponto do conjunto Common é reduzir o volume de eventos a um nível mais gerenciável, mantendo a capacidade completa de trilha de auditoria.
- Custom – definindo consultas personalizadas usando Xpath
11 – Na tela Review + create clique em Create.
12 – Como podemos observar o Data Collection rule foi criada.
13 – No portal do Azure pesquise por Microsoft Sentinel, na tela Microsoft Sentinel selecione o workspace-sentinel.
14 – Na tela Microsoft Sentinel | Overview em Events and alerts over time percebam que temos o SECURITYEVENT, clique em SECURITYEVENT.
15 – O log analytics workspace será aberto e uma query para visualizar todos os Security Event será executada, abaixo temos os eventos de segurança da máquina virtual Windows “VM-Sentinel-Win”.
16 – De volta a tela Microsoft Sentinel | Overview em Threat management clique em Workbooks.
16 – Na tela Microsoft Sentinel | Workbooks selecione Identity & Access em seguida clique em View template.
Obtenha informações sobre operações de identidade e acesso coletando e analisando logs de segurança, usando os logs de auditoria e entrada para coletar informações sobre o uso de produtos da Microsoft.
Você pode visualizar anomalias e tendências em eventos de login de todos os usuários e máquinas. Esta pasta de trabalho também identifica entidades suspeitas de eventos de login e acesso.
17 – Na tela Identity & Access temos todas as informações relacionadas a autenticação na máquina virtual.
Percebam que tivemos várias tentativas de login na máquina virtual com contas “administrator, admin, test, student, azureuser,localadmin”.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br