Coletar registros do Microsoft Sentinel

Este documento explica como configurar o Microsoft Sentinel para enviar incidentes e alertas ao Google Security Operations usando o Logic Apps e webhooks.

O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) e de orquestração, automação e resposta de segurança (SOAR) nativa da nuvem. Ele oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Acesso privilegiado ao portal do Microsoft Azure com permissões para:
  • Criar apps lógicos
  • Configurar regras de automação do Microsoft Sentinel
  • Gerenciar permissões de grupo de recursos
  • Criar e gerenciar entidades de serviço
• Acesso ao console Google Cloud (para criação de chaves de API)

Criar um feed de webhook no Google SecOps

Criar o feed

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Microsoft Sentinel Incidents).
5. Selecione Webhook como o Tipo de origem.
6. Selecione Microsoft Sentinel como o Tipo de registro.
7. Clique em Próxima.
8. Especifique valores para os seguintes parâmetros de entrada:
   • Delimitador de divisão (opcional): deixe em branco (cada incidente ou alerta é um único evento).
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
9. Clique em Próxima.
10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Gerar e salvar a chave secreta

Depois de criar o feed, gere uma chave secreta para autenticação:

1. Na página de detalhes do feed, clique em Gerar chave secreta.
2. Uma caixa de diálogo mostra a chave secreta.

3. Copie e salve a chave secreta com segurança.

Receber o URL do endpoint do feed

1. Acesse a guia Detalhes do feed.
2. Na seção Informações do endpoint, copie o URL do endpoint do feed.

3. O formato do URL é:

   https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

   ou

   https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

4. Salve esse URL para as próximas etapas.

5. Clique em Concluído.

Criar chave de API do Google Cloud

O Google SecOps exige uma chave de API para autenticação. Crie uma chave de API restrita no console Google Cloud .

Criar a chave de API

1. Acesse a página Credenciais do consoleGoogle Cloud .
2. Selecione seu projeto (o projeto associado à sua instância do Google SecOps).
3. Clique em Criar credenciais > Chave de API.
4. Uma chave de API é criada e exibida em uma caixa de diálogo.
5. Clique em Editar chave de API para restringir a chave.

Restringir a chave de API

1. Na página de configurações da chave de API:
   • Nome: insira um nome descritivo, por exemplo, Google SecOps Webhook API Key.
2. Em Restrições de API:
   • Selecione Restringir chave.
   • Na lista Selecionar APIs, pesquise e selecione API Google SecOps (ou API Chronicle).
3. Clique em Salvar.
4. Copie o valor da chave de API do campo Chave de API na parte de cima da página.

5. Salve a chave de API com segurança.

Configurar o aplicativo lógico para incidentes do Microsoft Sentinel

Esta seção configura um aplicativo lógico para enviar incidentes do Microsoft Sentinel ao Google SecOps.

Criar um aplicativo lógico

1. Faça login no portal do Azure.
2. Clique em Criar um recurso.
3. Pesquise Logic App.
4. Clique em Criar para iniciar o processo de criação.
5. Especifique valores para os seguintes parâmetros de entrada:
   • Assinatura: selecione a assinatura.
   • Grupo de recursos: selecione o grupo de recursos.
   • Nome: insira um nome para o aplicativo lógico (por exemplo, Sentinel-Incidents-to-SecOps).
   • Região: selecione a região.
   • Espaço de trabalho da Análise de registros: selecione o espaço de trabalho da Análise de registros.
6. Clique em Revisar + criar.
7. Clique em Criar.
8. Depois que o aplicativo lógico for criado, clique em Ir para o recurso.

Configurar o designer de aplicativos lógicos

1. Clique em Ferramentas de desenvolvimento > Designer de aplicativos lógicos.
2. Clique em Adicionar um acionador.
3. Pesquise Microsoft Sentinel.
4. Selecione Incidente do Microsoft Sentinel como o gatilho.
5. Se você ainda não tiver criado uma conexão com o Microsoft Sentinel, faça isso agora.
6. Clique em Criar novo e siga as instruções para fazer a autenticação:
   • Selecione Fazer login com identidade gerenciada (recomendado) ou Fazer login para usar suas credenciais.
7. Clique em Inserir uma nova etapa.
8. Clique em Adicionar uma ação.
9. Pesquise e selecione HTTP como a ação.
10. Especifique valores para os seguintes parâmetros de entrada:
    • URI: cole o URL do endpoint do feed do Google SecOps.
    • Método: selecione POST.
    • Cabeçalhos: adicione os seguintes cabeçalhos:
      • Nome do cabeçalho: X-goog-api-key
      • Valor: cole a chave de API criada anteriormente.
      • Nome do cabeçalho: X-Webhook-Access-Key
      • Valor: cole a chave secreta da criação do feed.
11. Clique no campo Corpo.
12. Clique na guia Expressão no painel de conteúdo dinâmico.

13. Insira @{triggerBody()} no campo de expressão e clique em OK.

14. Clique em Salvar para salvar o aplicativo lógico.

Conceder permissões do Microsoft Sentinel para executar o app lógico

São necessárias duas atribuições de permissão separadas para que as regras de automação acionem o aplicativo lógico.

Permissão 1: conceder à identidade gerenciada do aplicativo lógico acesso ao espaço de trabalho do Sentinel

A identidade gerenciada do aplicativo lógico precisa de permissão para ler incidentes do espaço de trabalho do Microsoft Sentinel.

Ativar a identidade gerenciada para o aplicativo lógico

1. No portal do Azure, acesse o recurso do aplicativo lógico (Sentinel-Incidents-to-SecOps).
2. Na navegação à esquerda, selecione Identidade em Configurações.
3. Na guia Atribuído pelo sistema, defina o Status como Ativado.
4. Clique em Salvar.
5. Clique em Sim para confirmar.
6. Depois de ativar, anote o ID do objeto (principal) exibido.

Conceder o papel de resposta do Microsoft Sentinel ao aplicativo lógico

1. No portal do Azure, navegue até seu espaço de trabalho do Microsoft Sentinel.
2. Na navegação à esquerda, selecione Controle de acesso (IAM) em Configurações.
3. Clique em + Adicionar > Adicionar atribuição de função.
4. Na guia Função, pesquise e selecione Microsoft Sentinel Responder:
   • Alternativa: se o playbook apenas ler incidentes, use a função Leitor do Microsoft Sentinel.
5. Clique em Próxima.
6. Na guia Membros, configure o seguinte:
   1. Atribuir acesso a: selecione Identidade gerenciada.
   2. Clique em + Selecionar participantes.
   3. Na lista Identidade gerenciada, selecione Logic App.
   4. Selecione seu aplicativo lógico (Sentinel-Incidents-to-SecOps) na lista.
7. Clique em Selecionar.
8. Clique em Revisar + atribuir.
9. Clique em Revisar e atribuir novamente para confirmar.

Permissão 2: conceder permissões de automação do Microsoft Sentinel no grupo de recursos

O Microsoft Sentinel exige a função Colaborador de automação do Microsoft Sentinel no grupo de recursos que contém o aplicativo lógico. Sem essa permissão, as regras de automação não podem acionar runbooks.

Conceder permissões de automação pela interface do Sentinel

1. No portal do Azure, navegue até seu espaço de trabalho do Microsoft Sentinel.
2. Acesse Configurações > Automação.
3. Clique em Gerenciar permissões do playbook na parte de cima da página.
4. No painel Gerenciar permissões, configure o seguinte:
   1. Selecione o grupo de recursos que contém seu aplicativo lógico (Sentinel-Incidents-to-SecOps).

5. Clique em Aplicar.

Verificar as permissões de automação (opcional)

1. No portal do Azure, navegue até o grupo de recursos que contém seu aplicativo lógico.
2. Na navegação à esquerda, selecione Controle de acesso (IAM).
3. Clique em Atribuições de função.
4. Pesquise Azure Security Insights.

5. Verifique se o Azure Security Insights tem a função de Colaborador da automação do Microsoft Sentinel.

6. Acesse o grupo de recursos que contém o aplicativo lógico.

7. Selecione Controle de acesso (IAM) > Adicionar atribuição de função.

8. Selecione a função Colaborador da automação do Microsoft Sentinel.

9. Em Membros, selecione Usuário, grupo ou principal de serviço.

10. Clique em + Selecionar participantes e pesquise Azure Security Insights.

11. Selecione Azure Security Insights e clique em Selecionar.

12. Clique em Analisar e atribuir duas vezes para confirmar.

Configurar o aplicativo lógico para alertas do Microsoft Sentinel

Esta seção configura um aplicativo lógico separado para enviar alertas do Microsoft Sentinel ao Google SecOps.

Criar um aplicativo lógico para alertas

1. Acesse a página inicial do portal do Azure.
2. Clique em Criar um recurso.
3. Pesquise Logic App.
4. Clique em Criar para iniciar o processo de criação.
5. Especifique valores para os seguintes parâmetros de entrada:
   • Assinatura: selecione a assinatura.
   • Grupo de recursos: selecione o grupo de recursos.
   • Nome: insira um nome para o aplicativo lógico (por exemplo, Sentinel-Alerts-to-SecOps).
   • Região: selecione a região.
   • Espaço de trabalho da Análise de registros: selecione o espaço de trabalho da Análise de registros.
6. Clique em Revisar + criar.
7. Clique em Criar.
8. Depois que o aplicativo lógico for criado, clique em Ir para o recurso.

Configurar o designer do aplicativo lógico para alertas

1. Clique em Ferramentas de desenvolvimento > Designer de aplicativos lógicos.
2. Clique em Adicionar um acionador.
3. Pesquise Microsoft Sentinel.
4. Selecione Alerta do Microsoft Sentinel como o acionador.
5. Se você ainda não tiver criado uma conexão com o Microsoft Sentinel, faça isso agora.
6. Clique em Criar novo e siga as instruções para fazer a autenticação:
   • Selecione Fazer login com identidade gerenciada (recomendado) ou Fazer login para usar suas credenciais.
7. Clique em Inserir uma nova etapa.
8. Clique em Adicionar uma ação.
9. Pesquise e selecione HTTP como a ação.
10. Especifique valores para os seguintes parâmetros de entrada:
    • URI: cole o URL do endpoint do feed do Google SecOps.
    • Método: selecione POST.
    • Cabeçalhos: adicione os seguintes cabeçalhos:
      • Nome do cabeçalho: X-goog-api-key
      • Valor: cole a chave de API criada anteriormente.
      • Nome do cabeçalho: X-Webhook-Access-Key
      • Valor: cole a chave secreta da criação do feed.
11. Clique no campo Corpo.
12. Clique na guia Expressão no painel de conteúdo dinâmico.

13. Insira @{triggerBody()} no campo de expressão e clique em OK.

14. Clique em Salvar para salvar o aplicativo lógico.

Conceder permissões do Microsoft Sentinel para executar o app lógico de alertas

São necessárias duas atribuições de permissão separadas para o aplicativo lógico de alertas, idênticas à configuração do aplicativo lógico de incidentes.

Permissão 1: conceder à identidade gerenciada do app lógico de alertas acesso ao espaço de trabalho do Sentinel

A identidade gerenciada do app lógico de alertas precisa de permissão para ler alertas do espaço de trabalho do Microsoft Sentinel.

Ativar a identidade gerenciada para o app lógico de alertas

1. No portal do Azure, acesse o recurso do aplicativo lógico de alertas (Sentinel-Alerts-to-SecOps).
2. Na navegação à esquerda, selecione Identidade em Configurações.
3. Na guia Atribuído pelo sistema, defina o Status como Ativado.
4. Clique em Salvar.
5. Clique em Sim para confirmar.
6. Depois de ativar, anote o ID do objeto (principal) exibido.

Conceder o papel de resposta do Microsoft Sentinel ao aplicativo lógico de alertas

1. No portal do Azure, navegue até seu espaço de trabalho do Microsoft Sentinel.
2. Na navegação à esquerda, selecione Controle de acesso (IAM) em Configurações.
3. Clique em + Adicionar > Adicionar atribuição de função.
4. Na guia Função, pesquise e selecione Microsoft Sentinel Responder:
   • Alternativa: se o playbook apenas ler alertas, use a função Leitor do Microsoft Sentinel.
5. Clique em Próxima.
6. Na guia Membros, configure o seguinte:
   1. Atribuir acesso a: selecione Identidade gerenciada.
   2. Clique em + Selecionar participantes.
   3. Na lista Identidade gerenciada, selecione Logic App.
   4. Selecione seu aplicativo lógico de alertas (Sentinel-Alerts-to-SecOps) na lista.
7. Clique em Selecionar.
8. Clique em Revisar + atribuir.
9. Clique em Revisar e atribuir novamente para confirmar.

Permissão 2: conceder permissões de automação do Microsoft Sentinel no grupo de recursos para alertas

O Microsoft Sentinel exige a função Colaborador de automação do Microsoft Sentinel no grupo de recursos que contém o app lógico de alertas.

Conceder permissões de automação pela interface do Sentinel

1. No portal do Azure, navegue até seu espaço de trabalho do Microsoft Sentinel.
2. Acesse Configurações > Automação.
3. Clique em Gerenciar permissões do playbook na parte de cima da página.
4. No painel Gerenciar permissões, configure o seguinte:
   1. Selecione o grupo de recursos que contém o aplicativo lógico de alertas (Sentinel-Alerts-to-SecOps).
      • Se for o mesmo grupo de recursos do aplicativo lógico de incidentes, ele já pode estar selecionado.

5. Clique em Aplicar.

Verificar as permissões de automação para o aplicativo lógico de alertas (opcional)

1. No portal do Azure, navegue até o grupo de recursos que contém o aplicativo lógico de alertas.
2. Na navegação à esquerda, selecione Controle de acesso (IAM).
3. Clique em Atribuições de função.
4. Pesquise Azure Security Insights.
5. Verifique se o Azure Security Insights tem a função de Colaborador da automação do Microsoft Sentinel.

Configurar regras de automação para o Microsoft Sentinel

As regras Automation acionam o Logic Apps quando incidentes são criados ou atualizados no Microsoft Sentinel.

Criar uma regra de automação para a criação de incidentes

1. Acesse seu espaço de trabalho do Microsoft Sentinel.
2. Clique em Configuração > Automação.
3. Clique em Criar.
4. Selecione Regra de automação.
5. Especifique valores para os seguintes parâmetros de entrada:
   • Nome: insira um nome para a regra de automação. Por exemplo, Send New Incidents to SecOps.
   • Acionador: selecione Quando um incidente é criado.
   • Ações: selecione Executar playbook na lista.
   • Selecione o app lógico criado para incidentes (Sentinel-Incidents-to-SecOps).
6. Clique em Aplicar.

Criar uma regra de automação para atualizações de incidentes

1. Acesse seu espaço de trabalho do Microsoft Sentinel.
2. Clique em Configuração > Automação.
3. Clique em Criar.
4. Selecione Regra de automação.
5. Especifique valores para os seguintes parâmetros de entrada:
   • Nome: insira um nome para a regra de automação. Por exemplo, Send Updated Incidents to SecOps.
   • Acionador: selecione Quando o incidente é atualizado.
   • Condição: clique em Adicionar > Condição (E) > Status > Mudou.
6. Na seção Ações, configure o seguinte:
   1. Selecione Executar playbook na lista.
   2. Selecione o app lógico criado para incidentes (Sentinel-Incidents-to-SecOps).
7. Clique em Aplicar.

Criar uma regra de automação para alertas

1. Acesse seu espaço de trabalho do Microsoft Sentinel.
2. Clique em Configuração > Automação.
3. Clique em Criar.
4. Selecione Regra de automação.
5. Especifique valores para os seguintes parâmetros de entrada:
   • Nome: insira um nome para a regra de automação. Por exemplo, Send Alerts to SecOps.
   • Gatilho: selecione Quando o alerta for criado.
   • Ações: selecione Executar playbook na lista.
   • Selecione o aplicativo lógico criado para alertas (Sentinel-Alerts-to-SecOps).
6. Clique em Aplicar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.