Por Wellington Agápto

/ Em Nuvem Segurança da Informação /

Postado em

fev 25, 2021

Investigando incidentes com o Azure Sentinel

Salve galera. Wellington Agápto por aqui. Hoje eu trouxe um rápido tutorial com o tema: investigando incidentes com o Azure Sentinel.

O que é o Azure Sentinel?

O Microsoft Azure Sentinel é uma solução escalonável e nativa de nuvem para gerenciamento de eventos e informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR). O Azure Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta às ameaças.

O Azure Sentinel permite a criação de regras de alertas avançados, que geram incidentes que você pode atribuir e investigar. Um incidente é criado com base em regras analíticas que você criou na página análise. As propriedades relacionadas aos alertas, como severidade e status, são definidas no nível do incidente. Depois de permitir que o Azure Sentinel saiba quais tipos de ameaças você está procurando e como encontrá-las, você pode monitorar ameaças detectadas investigando incidentes.

Como investigar incidentes no Azure Sentinel?

A página incidentes permite que você saiba quantos incidentes você tem, quantos estão abertos, quantos você definiu em andamento e quantos estão fechados. 

Para iniciar uma investigação, selecione um incidente específico. À direita, você pode ver informações detalhadas para o incidente, incluindo a sua gravidade, o resumo do número de entidades envolvidas, os eventos brutos que dispararam esse incidente e a ID exclusiva do incidente.

Os incidentes podem ser atribuídos a um usuário específico. Para cada incidente, você pode atribuir um proprietário, definindo o campo proprietário do incidente (todos os incidentes começam como não atribuídos). Você também pode adicionar comentários para que outros analistas possam entender o que você investigou e quais são suas preocupações em relação ao incidente.

Se aprofundando na investigação 

Para se aprofundar na investigação você pode utilizar o Investigation Graph. O Investigation Graph ajuda você a entender o escopo e a identificar a causa raiz de uma possível ameaça à segurança correlacionando os dados relevantes com qualquer entidade envolvida. Você pode aprofundar-se e investigar qualquer entidade apresentada no Graph selecionando-a e escolhendo entre diferentes opções de expansão.

Para visualizar um incidente no Graph selecione um incidente e, em seguida, selecione investigar; ele vai te fornecer um mapa ilustrativo das entidades conectadas diretamente ao alerta e a cada recurso conectado.

Quer saber mais sobre o Microsoft Azure Sentinel? Entre em contato com nosso setor comercial em www.redbelt.com.br

Um grande abraço,
Wellington Agápto

0

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *