Azure Sentinel na Prática

Serviço de Segurança Cloud com inteligência e Análises baseadas em AI

O Azure Sentinel é uma plataforma de segurança (SIEM) disponível como serviço no Azure baseada nas mais avançadas soluções de monitoramento e gestão de eventos de segurança integradas à recursos de AI para auxiliar na tomada de decisões de negócios e análises completas em diversos cenários de tecnologias.

Como Azure Sentinel é possível monitorar recursos Azure e não Azure nas mais diferentes camadas como aplicações, servidores, VMs, bancos de dados, estruturas de rede, armazenamento e outras fontes, incluindo recursos em outros players de Cloud.

Ativando o Azure Sentinel

  1. Acesse sua Conta no Portal do Azure.
  2. Clique no menu ‘Criar novo recurso’ para acessar o Azure Marketplace.
  3. Utilize a caixa de busca para localizar o serviço Azure Sentinel e conforme a instalação.
Conecte o Azure Sentinel a um workspace existente ou instale um novo workspace para o armazenamento de logs e coleta do Azure Sentinel.

5- Após vincular o Azure Sentinel ao workspace, note a janela de boas-vindas e assistente de configuração.

A guia ‘News & guides’ oferece uma experiencia simplificada para configuração do Azure Sentinel e é indicada para os usuários que estão iniciando seus estudos no recurso.

Conectores – Fontes de monitoramento

Agora que o Azure Sentinel está conectado a um workspace, você deverá configurar as fontes de coleta de dados para o monitoramento.

1- Na opção Collect data, Clique em Connect e selecione uma fonte. Note a variedade de opções disponíveis, lembrando que até o momento da publicação deste artigo, o Azure Sentinel está na versão Preview. Muitas outras fontes estarão disponíveis como conectores.

2- Selecione o Conector desejado e clique em ‘Open connector page’.

3- Habilite a conexão do recurso para o Azure Sentinel.

Lembre-se de que é possível conectar diversas fontes de coleta de dados para o mesmo workspace do Azure Sentinel, incluindo serviços do AD, Office 365, Firewalls e diversos recursos.

Alertas

Após a configurações dos conectores, defina as regras de alertas de segurança. Para isto, selecione a opção ‘Create security alerts – Create’ disponível na guia ‘News & guide’.

Consulte a comunidade do Azure Sentinel no Github para ter acesso a diversos exemplos de alertas e configurações de detecções. Aproveite para personalizar os alertas de acordo com as necessidades do seu projeto.

https://github.com/Azure/Azure-Sentinel/tree/master/Detections

Adicione quantas regras forem necessárias para o seu ambiente, edite as regras existentes ou interrompa o monitoramento sob demanda.

Playbooks – Logic Apps

Um playbook de segurança é uma coleção de procedimentos que podem ser executados no Azure Sentinel em resposta a um alerta. Um playbook pode ajudar a automatizar e orquestrar sua resposta e pode ser executado manualmente ou definido para ser executado automaticamente quando alertas específicos forem acionados.

A integração com Logic Apps permite que você orquestre ações, envie mensagens, altere o espoco de serviços disponíveis, armazene seus próprios logs, execute procedures em bancos de dados e uma infinidade de ações e sequências, inclusive acionando rotinas do Azure Functions.

Para configurar os Playbooks disponíveis em seu projeto no Azure Sentinel:

1- Clique na Guia ‘Playbooks’ disponível no Azure Sentinel, ‘Add Playbook’.

2- Defina o título do Logic App, grupo de recursos e localização para instalação.

Dica: É aconselhável consultar a documentação e estudar os recursos de Logic Apps no Azure para compreender o potencial e as possibilidades de utilização deste serviço.

No exemplo a seguir, criaremos um Logic App básico para demonstrar sua utilização com o Azure Sentinel.

1- Selecione Blank Logic App, na janela inicial do Logic Apps Designer

2- Na janela seguinte, busque por Azure Sentinel e selecione o Trigger ‘When a response to na Azure Sentinel alert…’

3- Defina uma sequencia lógica que faça sentido para as ações de resposta ao incidente do seu projeto. Veja o exemplo:

Após a criação dos Logic Apps, retorne aos alertas do Azure Sentinel e adicione a chamada ao Playbook de forma que, quando um alerta for gerado, o Playbook será executado.

Monitoramento

Após a configuração do Azure Sentinel é possível monitorar os ambientes através de Dashboars e painéis que podem ser personalizados.

Na guia Overview do Azure Sentinel é possível verificar os incidentes mais recentes organizados por temas e regiões.

Já a guia Logs oferece investigação através de querys de consulta diretamente nos logs do workspace permitindo a composição de execuções personalizadas.

A guia Dashboards permite a ativação de painéis visuais para facilitar o monitoramento em tempo real. Também é possível personalizar os painéis, criar os seus próprios ou instalar novos disponíveis na Comunidade Azure Sentinel do GitHub: https://github.com/Azure/Azure-Sentinel/tree/master/Dashboards

Você pode instalar quantos Dashboads quiser. Após a ativação, consulte os painéis na guia Dashboard do Azure.

Para os profissionais que compreendem jSON, é uma ótima oportunidade para fazer o download dos painéis e realizar customizações sob demanda tornando o cenário de monitoramento ainda mais completo para atender as necessidades de projetos.

Por fim, a guia Hunting do Azure Sentinel possui diversas querys prontas que podem ser executadas em investigações, customizadas ou utilizadas como aprendizado para compor alertas e demais recursos que dependem de querys.

Gostou?

Esta foi uma visão prática do Azure Sentinel para lhe ajudar a compor cenários dos mais variados tipos, criando monitoramento e respostas a incidentes, além de utilizar Dashboards e visões com AI incorporados.

Maiores informações e detalhes sobre os recursos, consulte:

https://docs.microsoft.com/pt-br/azure/sentinel/

Bons estudos!

Rubens Guimaraes

CEO na eSeth Tecnologia, CTO no Azure Academy. Desenvolve projetos de tecnologia de ponta para empresas de porte, instituições financeiras, redes de franquias, indústrias e marcas reconhecidas na América Latina, EUA e Europa. MVP Microsoft Azure, Especialista em Computação na Nuvem e Mentor de Startups em Projetos e Hackathons da Microsoft, Google, Cubo, IBM e ONU. Participa de debates e interações diretas com os engenheiros de produtos em Redmond, na central da Microsoft. Nos últimos anos tem ajudado marcas a desenvolver projetos de tecnologia e comunicação de forma eficiente atingindo nichos de mercado, desenvolvendo estratégias de diferenciação e criando soluções robustas. Engenheiro de Software com especialização na Academia Latino-Americana de Segurança da Informação. Especialização em Stanford University. Palestrante de grandes audiências em eventos no Brasil e exterior. Reconhecimentos e homenagens em projetos para o Exército Brasileiro, Polícia Militar, Governo e Universidades. Mais de 100 certificações e Títulos no Brasil e exterior. Reconhecimentos por desenvolver metodologias e materiais didáticos de tecnologias e processos para redes de ensino que formam mais de 100.000 profissionais por ano. Participa de Grupos de Estudos e Pesquisas de tecnologias da NASA. Especialista em mais de 30 linguagens de programação, tecnologias de design, navegabilidade intuitiva, performance e segurança. Autor de mais de 150 livros e materiais de ensino de cursos de informática e preparação profissional - franchising. Fundador da Comunidade Técnica Azure Brasil e um dos principais influenciadores de Transformação Digital da América Latina. Mais de 8000 horas em treinamentos ministrados.

Um comentário em “Azure Sentinel na Prática

  • 18 de outubro de 2019 em 11:55
    Permalink

    Show grande Rubens.

    Resposta

Deixe uma resposta

%d blogueiros gostam disto: