Observação: para concluir este laboratório, você precisará de uma assinatura do Azure. no qual você tem acesso administrativo.

Diretrizes gerais

  • Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes.
  • Crie, exclua ou modifique objetos apenas para cumprir os requisitos estabelecidos. Alterações desnecessárias no ambiente podem prejudicar sua pontuação final.
  • Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo.

Atualmente, estamos avaliando a postura de segurança em nosso ambiente corporativo. Precisamos de sua ajuda para configurar uma solução de SIEM (gerenciamento de eventos e informações de segurança) para ajudar a identificar ataques cibernéticos em andamento e futuros.

Diagrama de arquitetura

Diagrama com o workspace do Log Analytics.

Tarefas de habilidades

Você precisa implantar um workspace do Microsoft Sentinel. A solução deve atender aos seguintes requisitos:

  • Verifique se o conjunto de dados do Sentinel está armazenado na região do Azure do oeste dos EUA.
  • Garanta que todos os logs de análise do Sentinel sejam mantidos por 180 dias.
  • Atribua funções ao Operador1 para garantir que ele possa gerenciar incidentes e executar guias estratégicos do Sentinel. A solução precisa usar o princípio de privilégios mínimos.

Instruções para o exercício

Tarefa 1 – Crie um workspace do Log Analytics

Crie um workspace do Log Analytics, incluindo a opção de região. Saiba mais sobre a integração do Microsoft Sentinel.

  1. No portal do Azure, pesquise e selecione Microsoft Sentinel.
  2. Selecione + Criar.
  3. Selecione Criar um workspace.
  4. Selecione RG2 como o grupo de recursos
  5. Insira um nome válido para o workspace do Log Analytics
  6. Selecione West US como a região do workspace.
  7. Selecione Examinar + criar para validar o novo workspace.
  8. Selecione Criar para implantar o workspace.

Tarefa 2 – Implantar o Microsoft Sentinel em um workspace

Implantar o Microsoft Sentinel no workspace.

  1. Quando a implantação do workspace for concluída, selecione Atualizar para exibir o novo workspace.
  2. Selecione o workspace ao qual você deseja adicionar o Sentinel (criado na Tarefa 1).
  3. Selecione Adicionar.

Tarefa 3 – Atribuir uma função do Microsoft Sentinel a um usuário

Atribua uma função do Microsoft Sentinel a um uso. Saiba mais sobre Funções e permissões para trabalhar no Microsoft Sentinel

  1. Vá para o grupo de recursos RG2
  2. Selecione IAM (Controle de acesso).
  3. Selecione Adicionar e Add role assignment.
  4. Na barra de pesquisa, procure e selecione a função Microsoft Sentinel Contributor.
  5. Selecione Avançar.
  6. Selecione a opção User, group, or service principal.
  7. Selecione + Selecionar Membros.
  8. Procure o Operator1 atribuído em suas instruções (operator1-XXXXXXXXX@LODSPRODMCA.onmicrosoft.com) de laboratório.
  9. Selecione o user icon.
  10. Escolha Selecionar.
  11. Selecione “Revisar + atribuir“.
  12. Selecione “Revisar + atribuir“.

Tarefa 4 – Configurar a retenção de dados

Configurar a retenção de dados Saiba mais sobre a retenção de dados.

  1. Vá para o Log Analytics workspace criado na Tarefa 1 etapa 5.
  2. Selecione Uso e custos estimados.
  3. Selecione Retenção de dados.
  4. Altere o período de retenção de dados para 180 dias.
  5. Selecione OK.

Observação: para prática adicional, conclua o módulo Criar e gerenciar workspaces do Microsoft Sentinel.