Azure Sentinel na Prática
Serviço de Segurança Cloud com inteligência e Análises baseadas em AI
O Azure Sentinel é uma plataforma de segurança (SIEM) disponível como serviço no Azure baseada nas mais avançadas soluções de monitoramento e gestão de eventos de segurança integradas à recursos de AI para auxiliar na tomada de decisões de negócios e análises completas em diversos cenários de tecnologias.
Como Azure Sentinel é possível monitorar recursos Azure e não Azure nas mais diferentes camadas como aplicações, servidores, VMs, bancos de dados, estruturas de rede, armazenamento e outras fontes, incluindo recursos em outros players de Cloud.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_461/https://www.azureexperts.com.br/wp-content/uploads/2019/10/0-1024x461.png)
Ativando o Azure Sentinel
- Acesse sua Conta no Portal do Azure.
- Clique no menu ‘Criar novo recurso’ para acessar o Azure Marketplace.
- Utilize a caixa de busca para localizar o serviço Azure Sentinel e conforme a instalação.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_624/https://www.azureexperts.com.br/wp-content/uploads/2019/10/1-1024x624.png)
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_617/https://www.azureexperts.com.br/wp-content/uploads/2019/10/2-1024x617.png)
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_941,h_584/https://www.azureexperts.com.br/wp-content/uploads/2019/10/3.png)
5- Após vincular o Azure Sentinel ao workspace, note a janela de boas-vindas e assistente de configuração.
A guia ‘News & guides’ oferece uma experiencia simplificada para configuração do Azure Sentinel e é indicada para os usuários que estão iniciando seus estudos no recurso.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1348,h_624/https://www.azureexperts.com.br/wp-content/uploads/2019/10/4-1024x474.png)
Conectores – Fontes de monitoramento
Agora que o Azure Sentinel está conectado a um workspace, você deverá configurar as fontes de coleta de dados para o monitoramento.
1- Na opção Collect data, Clique em Connect e selecione uma fonte. Note a variedade de opções disponíveis, lembrando que até o momento da publicação deste artigo, o Azure Sentinel está na versão Preview. Muitas outras fontes estarão disponíveis como conectores.
2- Selecione o Conector desejado e clique em ‘Open connector page’.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_497/https://www.azureexperts.com.br/wp-content/uploads/2019/10/5-1024x497.png)
3- Habilite a conexão do recurso para o Azure Sentinel.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_748,h_468/https://www.azureexperts.com.br/wp-content/uploads/2019/10/6.png)
Lembre-se de que é possível conectar diversas fontes de coleta de dados para o mesmo workspace do Azure Sentinel, incluindo serviços do AD, Office 365, Firewalls e diversos recursos.
Alertas
Após a configurações dos conectores, defina as regras de alertas de segurança. Para isto, selecione a opção ‘Create security alerts – Create’ disponível na guia ‘News & guide’.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_310,h_127/https://www.azureexperts.com.br/wp-content/uploads/2019/10/7.png)
Consulte a comunidade do Azure Sentinel no Github para ter acesso a diversos exemplos de alertas e configurações de detecções. Aproveite para personalizar os alertas de acordo com as necessidades do seu projeto.
https://github.com/Azure/Azure-Sentinel/tree/master/Detections
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_604,h_639/https://www.azureexperts.com.br/wp-content/uploads/2019/10/8.png)
Adicione quantas regras forem necessárias para o seu ambiente, edite as regras existentes ou interrompa o monitoramento sob demanda.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_530/https://www.azureexperts.com.br/wp-content/uploads/2019/10/9-1024x530.png)
Playbooks – Logic Apps
Um playbook de segurança é uma coleção de procedimentos que podem ser executados no Azure Sentinel em resposta a um alerta. Um playbook pode ajudar a automatizar e orquestrar sua resposta e pode ser executado manualmente ou definido para ser executado automaticamente quando alertas específicos forem acionados.
A integração com Logic Apps permite que você orquestre ações, envie mensagens, altere o espoco de serviços disponíveis, armazene seus próprios logs, execute procedures em bancos de dados e uma infinidade de ações e sequências, inclusive acionando rotinas do Azure Functions.
Para configurar os Playbooks disponíveis em seu projeto no Azure Sentinel:
1- Clique na Guia ‘Playbooks’ disponível no Azure Sentinel, ‘Add Playbook’.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_231,h_221/https://www.azureexperts.com.br/wp-content/uploads/2019/10/10.png)
2- Defina o título do Logic App, grupo de recursos e localização para instalação.
Dica: É aconselhável consultar a documentação e estudar os recursos de Logic Apps no Azure para compreender o potencial e as possibilidades de utilização deste serviço.
No exemplo a seguir, criaremos um Logic App básico para demonstrar sua utilização com o Azure Sentinel.
1- Selecione Blank Logic App, na janela inicial do Logic Apps Designer
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_550/https://www.azureexperts.com.br/wp-content/uploads/2019/10/11-1024x550.png)
2- Na janela seguinte, busque por Azure Sentinel e selecione o Trigger ‘When a response to na Azure Sentinel alert…’
3- Defina uma sequencia lógica que faça sentido para as ações de resposta ao incidente do seu projeto. Veja o exemplo:
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_515/https://www.azureexperts.com.br/wp-content/uploads/2019/10/12-1024x515.png)
Após a criação dos Logic Apps, retorne aos alertas do Azure Sentinel e adicione a chamada ao Playbook de forma que, quando um alerta for gerado, o Playbook será executado.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_557,h_598/https://www.azureexperts.com.br/wp-content/uploads/2019/10/13.png)
Monitoramento
Após a configuração do Azure Sentinel é possível monitorar os ambientes através de Dashboars e painéis que podem ser personalizados.
Na guia Overview do Azure Sentinel é possível verificar os incidentes mais recentes organizados por temas e regiões.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_456/https://www.azureexperts.com.br/wp-content/uploads/2019/10/14-1024x456.png)
Já a guia Logs oferece investigação através de querys de consulta diretamente nos logs do workspace permitindo a composição de execuções personalizadas.
A guia Dashboards permite a ativação de painéis visuais para facilitar o monitoramento em tempo real. Também é possível personalizar os painéis, criar os seus próprios ou instalar novos disponíveis na Comunidade Azure Sentinel do GitHub: https://github.com/Azure/Azure-Sentinel/tree/master/Dashboards
Você pode instalar quantos Dashboads quiser. Após a ativação, consulte os painéis na guia Dashboard do Azure.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_488/https://www.azureexperts.com.br/wp-content/uploads/2019/10/15-1024x488.png)
Para os profissionais que compreendem jSON, é uma ótima oportunidade para fazer o download dos painéis e realizar customizações sob demanda tornando o cenário de monitoramento ainda mais completo para atender as necessidades de projetos.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_552/https://www.azureexperts.com.br/wp-content/uploads/2019/10/16-1024x552.jpg)
Por fim, a guia Hunting do Azure Sentinel possui diversas querys prontas que podem ser executadas em investigações, customizadas ou utilizadas como aprendizado para compor alertas e demais recursos que dependem de querys.
![](https://sp-ao.shortpixel.ai/client/q_glossy,ret_img,w_1024,h_542/https://www.azureexperts.com.br/wp-content/uploads/2019/10/17-1024x542.png)
Gostou?
Esta foi uma visão prática do Azure Sentinel para lhe ajudar a compor cenários dos mais variados tipos, criando monitoramento e respostas a incidentes, além de utilizar Dashboards e visões com AI incorporados.
Maiores informações e detalhes sobre os recursos, consulte:
https://docs.microsoft.com/pt-br/azure/sentinel/
Bons estudos!
Show grande Rubens.