Thiago Teixeira
EN | PT

Microsoft Sentinel

Microsoft

SIEM e SOAR nativo da nuvem baseado em Azure Monitor e Log Analytics.

Logs e SIEM Comercial Plataforma / Suíte Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Microsoft Sentinel é o SIEM + SOAR nativo da nuvem Azure. Usa Log Analytics workspaces como storage e Kusto Query Language (KQL) para busca e detecção.

Componentes:

  • Data connectors para Microsoft 365, Defender, Azure AD, AWS, GCP, syslog/CEF.
  • Analytics rules (consultas KQL agendadas que geram incidentes).
  • Workbooks para visualização.
  • Playbooks (Logic Apps) para automação SOAR.
  • UEBA, Watchlists, TI nativos.

Casos de uso

  • SOC híbrido em ambiente predominantemente Microsoft
  • Integração nativa com Defender XDR e logs do Azure AD
  • Automação SOAR via Logic Apps

Exemplo

SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, IPAddress, bin(TimeGenerated, 1h)
| where FailedAttempts > 20