Criando conectores customizados no Sentinel

O workbook agora tornado publico (ate a data que escreve em public preview) eu testei quando esteve a dois meses em Private Preview.

Este workbook permite que você crie conectores para dados que não são padronizados e consequentemente não aparecem no painel de dados do Sentinel, apesar que é possível criar regras de anomalias e hunting a partir de DCRs (Data Collection Rules) do Azure Monitor.

Vantagens de Coletores Customizados

Alem da característica visual no Sentinel de ver o seu coletor e estatísticas, você terá uma integração com APIs externas.

Essa integração permitira que de forma simples você capture dados de fontes externas como produtos PaaS e SaaS de terceiros.

O Workbook

O workbook não é tão simples a ponto de ser utilizado por um profissional que não conheça bem o Azure Monitor e conceitos de log (JSON, CSV, Endpoint, API URL/Autenthication, etc). Mas para quem já utiliza hoje DCRs e captura dados no Log Analytics, ele será mais simples.

Após baixar o workbook pelo Content, verá que ele permite indicar a subscrição, log analytics, endpoint e definir visualmente as características do dado que deseja coletar:

Referencia

Create Codeless Connectors with the Codeless Connector Builder (Preview) - Microsoft Community Hub

Troubleshoot e Validação do Purview DLP Endpoint Protection

Dentro da suite de soluções de proteção de dados do Purview para clientes com o pacote M365 E5 (addon ou O365) é possivel usar a feature de DLP Endpoint onde as regras de DLP e label tambem se aplicam a arquivos gravados na maquina local ou trafegados em sites externos.

Habilitando e Configuração

Essas configurações estão localizadas em Settings e brangem diversos parametros onde queremos aplicar as politicas de proteção de informação:

Uma vez definido os tipos de bloqueios que queremos implementar, definimos que uam determinada politica seja aplicada tambem aos dispositvos:

Descobrindo a Aplicação das Politicas

Até ai muitos já utilizam o recurso. Mas e como saber se as politicas foram aplicadas a uma determinada maquina?

Para isso é possivel usar PowerShell, porem um aplicativo desenvolvido pelo time Microsoft permite visualizar de forma simples e está disponivel em Troubleshoot and Manage Microsoft Purview Data Loss Prevention for your Endpoint Devices - Microsoft Community Hub com o nome de DisplayDlpPolicy.exe.

Esse aplicativo é muito simples para ser utilizado e permitirá que você veja em uma estação qual politica foi aplicada em detalhes.

O primeiro exemplo abaixo mostra quais politicas DLP estão aplicadas ao dispositivo:

O segundo comando abaixo exemplifica os Settings do DLP Endpoint:

Esse resultado acima é especialmente importante para descobrir se determinada falha foi causada por um problema de detecção ou se a regra não está aplicada, pois aqui vemos detalhadamente quais as proteções foram configuradas.

Utilizando Tarefas no Sentinel e Criando Automação

Disponivel em preview pelo progama CCP a alguns meses e agora disponivel para todos os usuarios (GA), o recurso de Tasks no Sentinel é um recuros muito importante e esperado (Use tasks to manage incidents in Microsoft Sentinel | Microsoft Learn).

Porque é um recurso importante

Já havia sido introduzido no sentinel a algum tempo o recurso de comentários, mas ele não permitia um controle do que precisaria ser realizado em uma sequencia e servia para cada operador ou analista informar o que foi realizado ou descoberto.

O recurso de tasks permite que os analistas e operadores de SOC indiquem uma sequencia, passos bem definidos e estejam claramente identificados.

A tela abaixo demonstra bem como esse é simples e útil. 

Veja que já tenho uma tarefa padrão via automação que abordarei mais tarde, mas já criei uma tarefa de exemplo e a adição de tasks é simples permitindo edição com bullets ou listas numeradas.

As tarefas não permitem a atribuição a terceiros, já que o analista responsavel pela triagem irá direcionar o incidente a outro operador ou analista especialista que irá liderar a investigação.

Automatizando Tasks

No exemplo que utilizei veja que a primeira tarefa foi criada pela automação que inclui o nome do responsavel e cria uma tarefa basica apenas como exemplo.

Isso é feito no Sentinel em Automações (Automation) com todos os incidentes que são gerados no meu ambiente de demonstração:

O meu fluxo de automação inclui uma tarefa que foi a vista anteriormente na interface dos incidentes. Eu posso criar quantas tarefas precisar com o botão "Add action" que fica logo abaixo e assim deixar os incidentes sempre com a lista basica de ações para um incidente.

Pergunta tipica: Mas cada incidente tem tarefas padronizadas, por exemplo DLP validar o conteudo e o owner da informação conforme a politica ABC e assim por diante.

Resposta: No meu exemplo não utilizo filtros, mas você poderá utilizar a condição "Analytic rule name" para indicar quais tipos de incidentes o fluxo de automação se aplicará e assim incluir as tarefas expecificas de determinado incidente. No meu ambiente tenho uma automação padrão que é a acima e uma outra automação para regras analiticas especificas como indicadores de IOC onde insiro tasks quando aquele incidente acontece.

Conclusão

Com este recurso agora é possivel ter uma clara indicação de como tratar o incidente de forma organizada e validar visualmente os passos já efetuados e o que está pendente. 

Isso irá ajudar muito na resolução e acompanhamento dos incidentes, principalmente aqueles que demoram um tempo consideravel ou tem uma série de tarefas concomitantes ao longo da analise.