Respostas automatizadas do Microsoft Sentinel

O Microsoft Sentinel é uma solução escalonável baseada em nuvem para SIEM (gerenciamento de eventos e informações de segurança) e SOAR, orquestração, automação e resposta de segurança. Ele oferece análise de segurança inteligente para organizações de todos os tamanhos e fornece os seguintes recursos e muito mais:

• Detecção de ataques a negócios
• Busca proativa
• Resposta automatizada a incidentes

A resposta a ameaças no Microsoft Sentinel é gerenciada por meio de guias estratégicos. Quando acionado por um alerta ou incidente, um guia estratégico executa uma série de ações automatizadas para combater a ameaça. Você cria esses guias estratégicos usando os Aplicativos Lógicos do Azure.

O Microsoft Sentinel fornece centenas de guias estratégicos prontos para uso, incluindo guias estratégicos para os seguintes cenários:

• Bloquear um usuário do Microsoft Entra
• Bloqueando um usuário do Microsoft Entra com base na rejeição por email
• Postar uma mensagem em um canal do Microsoft Teams sobre um incidente ou alerta
• Postar uma mensagem no Slack
• Enviar um email com detalhes do incidente ou alerta
• Enviar um email com um relatório de incidente formatado
• Determinando se um usuário do Microsoft Entra está em risco
• Enviando um cartão adaptável por meio do Microsoft Teams para determinar se um usuário está comprometido
• Isolar um ponto de extremidade por meio do Microsoft Defender para Ponto de Extremidade

Este artigo inclui um exemplo de implementação de um guia estratégico que responde a uma ameaça bloqueando um usuário do Microsoft Entra comprometido por atividades suspeitas.

Possível caso de uso

As técnicas descritas neste artigo se aplicam sempre que você precisa implementar uma resposta automática a uma condição detectável.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Workflow

Este fluxo de trabalho mostra as etapas para implantar o guia estratégico. Certifique-se de que os Pré-requisitos sejam atendidos antes de começar. Por exemplo, você precisa escolher um usuário do Microsoft Entra.

1. Siga as etapas em Enviar logs para o Azure Monitor para configurar a ID do Microsoft Entra para enviar logs de auditoria para o espaço de trabalho do Log Analytics usado com o Microsoft Sentinel.

   Observação

   Essa solução não usa os logs de auditoria, mas você pode usá-los para investigar o que ocorre quando o usuário é bloqueado.

2. O Microsoft Entra ID Protection gera os alertas que acionam o manual de resposta a ameaças para execução. Para que o Microsoft Sentinel colete os alertas, navegue até sua instância do Microsoft Sentinel e selecione Conectores de Dados. Procure o Microsoft Entra ID Protection e habilite a coleta de alertas. Para saber mais sobre o Identity Protection, confira O que é o Identity Protection.

3. Instale o navegador ToR em um computador ou máquina virtual (VM) que você pode usar sem colocar sua segurança de TI em risco.

4. Use o Navegador Tor para entrar anonimamente em Meus aplicativos como o usuário que você selecionou para esta solução. Consulte Endereço IP anônimo para obter instruções sobre o uso do navegador Tor para simular endereços IP anônimos.

5. O Microsoft Entra autentica o usuário.

6. A Proteção de ID do Microsoft Entra detecta que o usuário usou um navegador ToR para entrar anonimamente. Esse tipo de entrada é uma atividade suspeita que coloca o usuário em risco. O Identity Protection envia um alerta para o Microsoft Sentinel.

7. Configure o Microsoft Sentinel para criar um incidente a partir do alerta. Confira Criar incidentes automaticamente de alertas de segurança da Microsoft para saber mais como fazer isso. O modelo de regra de análise de segurança da Microsoft a ser usado é Criar incidentes com base em alertas do Microsoft Entra ID Protection.

8. Quando o Microsoft Sentinel dispara um incidente, o guia estratégico responde com ações que bloqueiam o usuário.

Componentes

• O Microsoft Sentinel é uma solução SIEM nativa de nuvem e SOAR. Ele usa IA e análise de segurança avançadas para detectar e responder a ameaças na empresa. Há muitos guias estratégicos no Microsoft Sentinel a serem usados para automatizar suas respostas e proteger seu sistema.
• O Microsoft Entra ID é um serviço de gerenciamento de identidade e diretório baseado em nuvem que combina os principais serviços de diretório, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução. Ele pode ser sincronizado com diretórios locais. O serviço de identidade fornece logon único, autenticação multifator e acesso condicional como proteção contra ataques de segurança cibernética. A solução mostrada neste artigo usa o Microsoft Entra identity Protect para detectar atividades suspeitas de um usuário.
• Os Aplicativos Lógicos são um serviço de nuvem sem servidor para criar e executar fluxos de trabalho automatizados que integram aplicativos, dados, serviços e sistemas. Os desenvolvedores podem usar um designer visual para agendar e orquestrar fluxos de tarefas comuns. Os Aplicativos Lógicos têm conectores para muitos serviços de nuvem populares, produtos locais e outros aplicativos de software como serviço. Nesta solução, os Aplicativos Lógicos executam o manual de resposta a ameaças.

Considerações

• O Azure Well-Architected Framework é um conjunto de princípios de orientação que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
• O Microsoft Sentinel oferece mais de 50 guias estratégicos prontos para uso. Você pode encontrá-los na guia Modelos de guia estratégico da página Microsoft Sentinel|Automação de seu espaço de trabalho.
• O GitHub tem uma variedade de guias estratégicos do Microsoft Sentinel criados pela comunidade.

Implantar este cenário

Você pode implantar esse cenário seguindo as etapas em Fluxo de trabalho após certificar-se de que os Pré-requisitos foram atendidos.

Pré-requisitos

• Prepare o software e escolha um usuário de teste
• Implantar o guia estratégico

Prepare o software e escolha um usuário de teste

Para implementar e testar o guia estratégico, você precisa do Azure e do Microsoft Sentinel junto com o seguinte:

• Uma licença do Microsoft Entra ID Protection (Premium P2, E3 ou E5).
• Um usuário do Microsoft Entra. Você pode usar um usuário existente ou criar um novo usuário. Se você criar um novo usuário, poderá excluí-lo quando terminar de usá-lo.
• Um computador ou VM que pode executar um navegador ToR. Você usará o navegador para entrar no portal Meus Aplicativos como seu usuário do Microsoft Entra.

Implantar o guia estratégico

Para implantar um guia estratégico do Microsoft Sentinel, faça o seguinte:

• Se você não tiver um espaço de trabalho do Log Analytics para usar neste exercício, crie um novo desta forma:
  • Vá para a página principal do Microsoft Sentinel e selecione + Criar para acessar a página Adicionar o Microsoft Sentinel a um espaço de trabalho.
  • Selecione Criar um workspace. Siga as instruções para criar o novo espaço de trabalho. Após um curto período, o espaço de trabalho é criado.
• Neste ponto, você tem um espaço de trabalho, talvez um recém-criado. Use as seguintes etapas para verificar se o Microsoft Sentinel foi adicionado, e para adicioná-lo caso isso ainda não tenha sido feito:
  • Acesse a página principal do Microsoft Sentinel.
  • Se o Microsoft Sentinel já estiver adicionado ao seu espaço de trabalho, o espaço de trabalho aparecerá na lista exibida. Se ele ainda não tiver sido adicionado, adicione-o da maneira a seguir.
    • Selecione + Criar para acessar a página Adicionar Microsoft Sentinel a um espaço de trabalho .
    • Selecione seu espaço de trabalho na lista exibida e selecione Adicionar na parte inferior da página. Após um curto período, o Microsoft Sentinel é adicionado ao seu espaço de trabalho.
• Crie um guia estratégico da seguinte maneira:
  • Acesse a página principal do Microsoft Sentinel. Selecione o workspace. Selecione Automação no menu esquerdo para acessar a página Automação. Essa página tem três guias.
  • Selecione a guia Modelos de guia estratégico (versão prévia).
  • No campo de pesquisa, insira Bloquear usuário do Microsoft Entra - Incidente.
  • Na lista de guias estratégicos, selecione Bloquear usuário do Microsoft Entra - Incidente e, depois, selecione Criar guia estratégico no canto inferior direito para acessar a página Criar guia estratégico.
  • Na página Criar guia estratégico, execute o seguinte:
    • Selecione valores para Assinatura, Grupo de recursos e Região nas listas.
    • Insira um valor para Nome do guia estratégico se não quiser usar o nome padrão exibido.
    • Se desejar, selecione Habilitar logs de diagnóstico no Log Analytics para habilitar logs.
    • Deixe a caixa de seleção Associar ao ambiente do serviço de integração desmarcada.
    • Deixe Ambiente do serviço de integração vazio.
  • Selecione Avançar: Conexões > para acessar a guia Conexões de Criar guia estratégico.
  • Escolha como autenticar nos componentes do manual. A autenticação é necessária para:
    • ID do Microsoft Entra
    • Microsoft Sentinel
    • Office 365 Outlook

    Observação

    Você poderá autenticar os recursos durante a personalização do guia estratégico no recurso de aplicativo lógico se desejar habilitá-lo mais tarde. Para autenticar os recursos anteriores neste momento, você precisa de permissões para atualizar um usuário no Microsoft Entra ID, e o usuário deve ter acesso a uma caixa de correio de email e ser capaz de enviar emails.

  • Selecione Avançar: Revisar e criar > para acessar a guia Revisar e criar de Criar guia estratégico.
  • Selecione Criar e continuar no designer para criar o guia estratégico e acessar a página Designer de aplicativo lógico.

Para saber mais sobre como criar aplicativos lógicos, confira O que são Aplicativos Lógicos do Azure e Início Rápido: criar e gerenciar definições de fluxo de trabalho de aplicativo lógico.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Rudnei Oliveira | Engenheiro Sênior de Segurança do Azure

Outros colaboradores:

• Andrew Nathan | Gerente Sênior de Engenharia de Clientes
• Lavanya Kasturi | Programadora Técnica

Próximas etapas

• Visão geral de Serviços de Nuvem do Azure?
• O que é o Microsoft Sentinel?
• SOAR (orquestração, automação e resposta de segurança) no Microsoft Sentinel.
• Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
• O que é o Microsoft Entra ID?
• O que é proteção de identidade?
• Como simular detecções de risco no Identity Protection
• O que são os Aplicativos Lógicos do Azure?
• Tutorial: criar fluxos de trabalho automatizados baseados em aprovação usando os Aplicativos Lógicos do Azure
• Introdução ao Microsoft Sentinel

Recursos relacionados

• Indicadores de ameaça para inteligência contra ameaças cibernéticas no Microsoft Sentinel
• Monitorar a segurança híbrida usando o Microsoft Defender para Nuvem e o Microsoft Sentinel
• Design de arquitetura de segurança