Estudos Microsoft LEarn Flashcards
Explique as Regras de automação no Microsoft Sentinel
Automatizam respostas para várias análises de uma só vez. Podendo marcar, atribuir ou fechar aotomaticamente incidentes sem precisar dos guias estratégicos (playbooks).
Explique os guias estratégicos (playbooks) no microsoft sentinel
éum grupo/ coleção das regras de automação. São várias regras em conjunto que são executadas de forma automatizadas em resposta a um alerta ou inficente específico.
Depois de ocnstruída pode ser usada de forma manual.
E se baseiam em fluxos de trabalhos criados nos aplicativos lógicos do azure (Azure Logic Apps), serviço de núvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa.
Quando criar uma regra de automação na folha de automação
Quando precisar de uma regra de automação que será aplicada a várias regras de análise, ela deve ser criada na folha de automação.
Quando criar uma regra de automação na folha de incidentes
Na folha de incidentes normalmente criamos uma regra de automação para incidentes recorrentes. É útil ao criar uma regra de supressão (fechamento) para fechar automaticamente incidentes “com ruido”
Quais são os componentes de uma regra de automação
Gatilho
Conditions
Ações
Data de Validade
Pedido
Dentro dos componentes de uma regra de automação, existem as ações que podem ser executadas quando as conditions são satisfeitas. Quais são essas ações?
Alterar o status de um incidente;
Alterar a severidade de um incidente;
Atribuir um incidente a um proprietário;
Adicionar uma marca a um incidente;
Executar um guia estratégico (playbooks)
- As regras de automação são disparadas por?
Incidentes
Conectores
Watchlists
Incidentes
- Você usa Aplicativos Lógicos para criar um(a)?
Regra de automação
Manual
Pasta de trabalho
Manual
- Uma ação de regra de automação pode?
Atualizar o título do incidente
Excluir o incidente
Alterar o status do incidente
Alterar o status do incidente
O ASIM ( Modelo de Informações de SEgurança Avançado) proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo diversas funcionalidades.
Quais são essas funcionalidades?
Detecção entre fontes;
Conteúdo independente da fonte;
suporte para as fontes personalizadas;
Facilidade de uso.
Quando implatar um analisardor ASIM interno e quando implantar um analisador no espaço de trabalho?
Internamente usamos na maioria dos casos que precisamos de analisadores ASIM.
no espaço de trabalho usamos ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis.
Quais são os dois níveis de analisadores ASIM? E quais são seus respectivos nomes?
O ASIM inclui dois níves de analisadores: analisador unificador e analisadores específicos de origem.
o nome do analisador unificador é _IM_Schema para analisadores internos e imSchema para analisadores implantados no workspace. Schema é o esquema específico que ele atende.
Os analisadores específicos da origem também podem ser chamados de maneira independente. Ex: VimDnsInfobloxNIOS
qual é a funçao do analisador unificado e do analisador específico de origem?
O analisador específico de origem garante que todos os dados relevantes para o esquema são consultados. Depois o analisador específico chama os analisadores específicos de origem para executar a análise e a normalização reais, que é específica para cada fonte.
Com o trabalho de otimização de consulta e de fultragem previa, os analisadores ASIM geralmente têm melhor desempenho do que não usar a normalização?
Verdadeiro ou falso?
Verdadeiro.
Utilizar filtro com parâmetros antes de iniciar a consulta e a normalização melhoram o desempenho das consultas.
Os usuários do ASIM usam nomes de tabelas ou analisadores unificados em suas consultas?
analisadores unificados
Dê dois exemplos de situações que um usuário ASIM precisará criar uma analisador específico de origem.
1 - Quando o dispositivo fornece eventos que se ajustam a um esquema de ASIM, mas um analisador específico de origem para o dispositivo e o esquema relevante não estão disponíveis no Microsoft Sentinel.
2- Quando os analisadores específicos da fonte do ASIM estão disponíveis para seu dispositivo, mas seu dispositivo envia eventos em um método ou formato diferente do esperado pelos analisadores do ASIM.
Para desenvolver um analisador personalizado precisamos seguir até 8 passos a depender do caso, quais são eles?
- Coletar logs de exemplo;
- Identifique o esquema ou esquemas que os eventos enviados da fonte representam;
- Mapeie os campos de evento de origem para o esquema ou esquemas identificados;
- Desenvolva um ou mais analisadores ASIM para sua fonte. Você precisará desenvolver um analisador de filtragem e um analisador sem parâmetros para cada esquema relevante para a fonte;
5.Teste seu analisador;
- Implante os analisadores nos workspaces do Microsoft Sentinel;
- Atualize o analisador de unificação do ASIM relevante para referenciar o novo analisador personalizado;
- Talvez você também queira contribuir com seus analisadores para a distribuição promária do ASIM. Os analisadores colaboradores também podem ser disponibilizados em todos os espaos de trabalho como analisadores internos.
na criação de analisadores personalizados a priemira tarefa a ser executada é a coleta de logs de exemplo. Um conjunto representativo de logs deve incluir 3 características, quais são elas?
- Eventos com resultados de eventos diferentes;
-Eventos com diferentes ações de resposta;
-Formatos diferentes para nome de usuário, nome de host e IDs e outros campos que exigem normalização de valor.
Verdadeiro ou Falso:
Um analisador persolalizado é uma consulta KQL desenvolvina na página Logs do Microsoft Sentinel.
Verdadeiro.
Verdadeiro ou Falso:
Ao criar uma consulta KQL,
um analisador deve primeiro filtrar um evento relevante para o esquema de destino?
Falso.
Um analisador deve primeiro filtrar somente os registros relevantes para o esquema de destino. Porque uma tabela pode ter várias fontes de dados e Ainda que uma tabela forneca dados de uma única fonte de dados, ela pode conter vários / diferentes tipos de eventos. e precisamos definir o evento/ registro para usar o analisador.
Qual operador usamos para a filtragem em KQL?
Where
Um analisador deve filtrar por tempo?
Não. Um analisador não deve filtrar por tempo. A consulta que usa o analisador aplicará um intervalo de tempo.
Quando devemos fazer uma filtragem por tipo de origem usando uma watchlist?
Quando o próprio evento não contém informações que permitiriam a filtragem por tipos de origem específicos.
Usamos a watchlist “ASimSourceType” é uma lista de origens que definem eventos relevantes.
Dê um explo de situação onde usamos essa whatchlist para filtragem por tipo de origem.
Quando os eventos do DNS do infoblox são enviados como mensagens do Syslog e são difíceis de distinguir das mensagens do Syslog enviadas de outras fontes.
A Microsoft fornece duas recomendações para otimizar a filtragem das consultas com analisadores. Quais são elas?
- Sempre filtre por campos integrados em vez de analisados.
- Use operadores que forneçam desempenho otimizado, em particular, ==, has e startswith.
Como usar a função iff e case para mapear alguns valores?
iff/case( condição1 and condição2 (opcional), “retorno caso verdadeiro, pode ser string int”, “retorno caso falso”)
Exemplo:
Nesse exemplo adicionamos mais uma coluna com o comando extend:
extend EventResult = iff(EventId==257 and ResponseCode==0 ,’Success’,’Failure’)
dê um exemplo de uso da função datatable em uma consulta KQL.
let NetworkProtocolLookup = datatable(Proto:real, NetworkProtocol:string)[
6, ‘TCP’,
17, ‘UDP’
];
Qual a diferença entre a função iff e case?
a função iff dá a possiblidade de usarmos duas condições para mapear.
EX.:
| extend EventResult =
iff(EventId==257 and ResponseCode==0,’Success’,’Failure’)
A função case dá suporte a mais de dois valores de condição.
EX. :
| extend DnsResponseCodeName =
case (
DnsResponseCodeName != “”, DnsResponseCodeName,
DnsResponseCode between (3841 .. 4095), ‘Reserved for Private Use’,
‘Unassigned’
)
Quais são os operadores que usamos para preparar campos no conjunto de resultados de uma consulta KQL com analisadores?
project-rename;
project;away;
project;
extend.
Qual a função do operador project-rename?
Renomeia campos;
Qual a função do operador project-away?
Remove campos da consulta.
QUal a função do operador project?
Seleciona os campos que exeistiam antes ou que foram criados como parte da instrução e remove todos os outros campos.
Obs.: Se você precisar remover campos específicos, como valores temporários usados durante a análise, use project-away para removê-los dos resultados.
Obs2: Não recomendado para uso em um analisador, porque ele não removerá os outros campos que não estiverem normalizados.
Verdadeiro ou falso:
As DCRs (Regras de COleta de dados) fornecem um pipeline do tipo ETL.
Verdadeiro.
Ao definir uma DCRs ( Regra de Coleta de Dados) podemos definir como a coleta / extração ocorrerá, podemos definir tratamentos e filtrafens e podemos definir onde elas serão carregadas.
- Ao criar um DCR de transformação do workspace. Qual é o nome da tabela virtual a ser consultada?
source
input
destino
source
- O que é um analisador ASIM no KQL?
Variável
Função
Agregado
função
- Todos os esquemas que dão suporte a parâmetros de filtragem dão suporte no mínimo ao parâmetro?
createdon
ingestiontime
starttime
Starttime
Verdadeiro ou falso:
O workspace do Log Analytics é um repositório que armazena dados e informaçÕes de configuraçÕes.
Verdadeiro
- Um administrador quer abrir uma consulta salva anteriormente. Após abrir a página de Logs no Microsoft Sentinel, qual das opções a seguir o administrador deve selecionar?
Consultas
Gerenciador de consultas
Painel Tabelas
GErenciador de consultas.
O link GErenciador de COnsultas no cabeçalho da página ajuda você a acessar suas consultas salvas. Esse link está mais acima. Mais abaixo encontramos lado a lado tabela, consultas e funções.
- O administrador quer criar uma regra de análise com base na consulta criada. Qual opção do painel de consultas ele deve selecionar?
Alerta do Azure Monitor
Alerta do Microsoft Sentinel
Copiar link
alerta do Microsoft SEntinel.
Um novo alerta do Microsoft Sentinel cria uma regra de análise.
Normalmente em uma consulta KQL na primeira linha o que colocamos?
na primeira linha colocamos o nome da tabela ou comando de pesquisa.
QUal a função do caractere barra vertical “|”
Separar comandos. A saída do primeiro comando se torna a entrada do comando seguinte.
função do operador “count”
Retorna a contagem de linhas na tabela
função do operador “Take”
retorna até o número especificado de linhas de dados
função do operador “project”
seleciona um subconjunto de colunas.
função do operador “sort”
classifica as linhas da tabela de entrada em ordem por uma ou mais colunas
função do operador “top”
retorna os N primeiros registros classificados de acordo com as colunas especificadas.
função do operador “extend”
cria colunas calculadas
função do operador “summariza”
agrega grupos de linhas
função do operador “render”
renderiza os resultados como uma saída gráfica.
função do operador “join”
combina os registros de duas funtos (tabelas)
função do operador “union”
combina duas ou mais tabelas em uma
- Qual das ferramentas a seguir um administrador pode usar para consultar dados no Microsoft Sentinel?
SQL (Structured Query Language)
PowerShell
Azure Data Explorer
Azure Data Explorer
. Qual dos caracteres a seguir um administrador pode usar para separar os comandos na consulta?
Barra vertical (|)
Hífen (-)
Sublinhado (_)
Barra vertical (|)
- Qual dos seguintes elementos não pode fazer parte da pasta de trabalho?
Gráficos
Tabelas
vídeos
Vídeos. Uma pasta de trabalho não pode conter vídeos
. Em qual seção da pasta de trabalho de logs de entrada do Microsoft Entra o administrador pode encontrar informações indicando se os usuários precisam executar a MFA (autenticação multifator) para validar sua identidade?
Local da Entrada
Status do acesso condicional
Entradas por Dispositivo.
status de acesso condicional
A tabela Status do Acesso Condicional mostra quais usuários precisam a executar MFA para validar a identidade.
Qual formatação o Microsoft Sentinel usa para formatar o texto na pasta de trabalho com visualização de texto?
Microsoft Word
Formatação de texto HTML
Markdown
markdown
O texto é editado por meio de uma formatação de Markdown, que fornece diferentes estilos de título e fonte, hiperlinks, tabelas.
Um administrador cria uma pasta de trabalho personalizada e deseja exibir os dados em uma tabela. Quais etapas de visualização ele deve usar na pasta de trabalho?
Visualização de texto
Links/guias
Visualização de grade
visualização de grade
Você pode usar a visualização de grades para apresentar os dados em tabelas.
qual a função do operador “summarize” e ele é usado sozinho?
Summariza agrupa as linhas da tabela e ele deve ser usado com outras funções (count(), avg(),…)
Ex.:
| summarize count() by Process, Computer
QUal a descrição da função arg_max() e arg_min()?
elas retornam a linha mais recente e mais antiga da tabela respectivamente.
Qual a descrição das funções make_?
como por exemplo a make_list() e make_set()
As funções make retornam uma matris dinâmica (json) com base no propósito da função especificada,
Quais são as visualizaçÕes que afunção render dá suporte?
areachart
barchart
columnchart
piechart
scatterchart
timechart
Descrição da função bin()?
arredonda os valores para um múltiplo inteiro do tamanho do compartimento fornecido. Usado frequentemente em combinaçÕes com o summarise.
A função dcount() realiza qual das opções a seguir?
Retorna uma contagem de dias na diferença de expressão fornecida para a função.
Retorna uma contagem de diferença na expressão fornecida para a função.
Retorna uma contagem distinta na expressão fornecida para a função.
Retorna uma contagem distinta na expressão fornecida para a função.
dcount fornece uma contagem distinta.
A função arg_max() realiza qual das opções a seguir?
Retorna o valor máximo de cada coluna passada para a função.
Retorna um matriz JSON com os valores máximos de cada coluna passados para a função.
Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.
Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.
A função arg_max retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.
- A função bin() fornece o maior valor para qual tipo de gráfico?
scatterchart
timechart
barchart
timechart
Bin() arredondará valores para um inteiro múltiplo do tamanho de compartimento fornecido. O timechart exibe uma série temporal com base no tamanho do compartimento.
Verdadeiro ou falso:
Quando uma consulta é selecionada como favorita, ela é executada automaticamente sempre que você abre a página Busca.
Verdadeiro
Como os indicadores auxiliam no processo de busca por ameaças?
Eles permitem que o buscador salve os resultados da consulta para referência posterior.
Eles permitem que o buscador acompanhe o status e a resolução do incidente.
Eles permitem que o buscador crie pastas de trabalho com base nos resultados da consulta.
Eles permitem que o buscador salve os resultados da consulta para referência posterior.
Verdadeiro ou falso:
As transmissões ao vivo sempre são baseadas em uma consulta.
Verdadeiro
Cite 3 objetivos que você pode usar uma transmissão ao vivo no Microsoft SEntinel.
TEstar novas consultas em eventos ao vivo.
GErar notificaçÕes de ameaças
Iniciar Investigações
verdadeiro ou falso:
É possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.
Falso.
As consultas de transmissão ao vivo são executadas continuamente no ambiente dinâmico. Portanto, não é possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.
Verdadeiro ou falso:
Você pode elevar eventos de uma tranmissão ao vivo salva para alertas.
Verdadeiro.
Você pode elevar eventos de uma sessão de transmissão ao vivo para um alerta selecionando os eventos e, em seguida, selecionando Elevar para alertar na barra de ocmandos.
evrdadeiro ou falso:
Conseguimos usar uma consulta de transmissão ao vivo para criar uma regra de análise?
verdadeiro
Qual das alternativas a seguir não pode ser usada em uma consulta de transmissão ao vivo?
Parâmetros de tempo
Parâmetros de dados de alerta
Entidades de evento
Parâmetros de tempo
Os parâmetros de tempo não podem ser usados, pois as consultas de transmissão ao vivo são executadas continuamente.
VErdadeiro ou falso:
Podemos salvar as principais descobertas de uma tranmissão ao vivo em marcadores?
Verdadeiro
O que é um guia estratégico (playbooks) do Microsoft Sentinel?
Um guia estratégico (Playbooks) do Microsoft Sentinel é uma coleção de procesimentos de segurança que você pode executar em resposta a alertas.
Verdadeiro ou falso:
As soluções SIEM oferecem armazenamento e análise de logs, eventos e alertas que outros sistemas geram. Você pode configurar essas soluçÕes para gerar seus próprios alertas.
Verdadeiro
Verdadeiro ou Falso:
As soluções SOAR dão suporte à correção de vulnerabilidades e à automação geral dos processos de segurança.
Verdadeiro
O que é um gatilho usado pelos Aplicativos Lógicos do Azure?
Um gatilho é um evento que ocorre quanto um conjunto específico de confiçÕes for atendido. São ativados automaticamente.
Verdadeiro ou falso:
Os guias estratégicos (playbooks) são coleções de procedimentos baseados em Aplicativos Lógicos do Azure
Verdadeiro
VErdadeiro ou falso:
Os guias estratégicos (Playbooks) só podem ser utilizados de forma Automatizada após a configuração de um alerta.
Falso.
Podem ser executados manualmente em resposta `investigação de um incidente ou pode configurar um alerta para executar um guia estratégico ( playbook) automaticamente.
Verdadeiro ou Falso:
Os Aplicativos Lógicos do Azure são um serviço de nuvem que automatiza a operação de seus processos de negócios
Verdadeiro
Verdadeiro ou falso:
Um conector de dados do Microsoft Sentinel e um conector de Aplicativos Lógicos são a mesma coisa.
Falso.
Não são. O conectro de dados do Microsoft Sentinel conecta o SEntinel aos produtos de segurança Microsoft e aos ecossistemas de segurança para soluçÕes que não são da Microsoft.
Um conector dos APlicativos Lógicos da Azure é um componente que fornece uma conexão de API para um serviço externo e permite a integração de eventos, dados e açÕes entre outros aplicativos, serviços, sistemas, protocolos e Plataformas.
O que é uma ação dos Aplicativos Lógicos do Azure?
Uma ação é uma operação que executa uma tarefa no fluxo de trabalho dos Aplicativos Lógicos do Azure. Ações são executadas quando um gatilho é ativado, quando outra ação é concluída ou quando uma condição é satisfeita.
Um administrador precisa criar um guia estratégico do Microsoft Sentinel. O administrador cria um aplicativo lógico e inicia o designer dos Aplicativos Lógicos. Qual dos seguintes conectores o administrador deve usar como um gatilho para o guia estratégico?
Conector do Office 365
Conector do Microsoft Sentinel
Microsoft Entra Connector
Conector do Microsoft Sentinel
Os guias
estratégicos do Microsoft Sentinel usam um conector de Aplicativos Lógicos do Microsoft Sentinel para disparar ações de aplicativos lógicos.
Qual das declarações a seguir descreve um recurso dos guias estratégicos do Microsoft Sentinel?
Os guias estratégicos do Microsoft Sentinel contêm um conjunto de atividades contínuas que sempre são executadas em resposta a alertas.
O catálogo de Jogos contém os jogos mais recentes da Microsoft.
Coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta.
Coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta.
Os guias estratégicos do Microsoft Sentinel contêm ação de aplicativos lógicos que são coleções de procedimentos executados em resposta a um alerta
Quais são os dois gatilhos dos guias estratégicos (playbooks) ?
Quando uma resposta a um alerta do Microsoft Sentinel é disprada
Quando a regra de criação de incidentes do Microsoft SEntinel é disparada
O que é o conteúdo dinâmico em um aplicativo lógico?
Lista de ameaças selecionadas dinamicamente.
Lista de entradas dinâmicas para a ação atual.
Lista de usuários dinâmicos.
Lista de entradas dinâmicas para a ação atual.
O Conteúdo Dinâmico exibe todas as saídas disponíveis da etapa anterior, que você pode usar como entradas para a ação atual.
Um administrador cria um guia estratégico para receber uma notificação a cada vez que a função de administrador global é delegada a um usuário. Qual conector o administrador deve selecionar no aplicativo lógico?
Conector do Microsoft Entra.
Connector para Office 365.
Conector do Microsoft Sentinel.
Conector do Microsoft Sentinel.
Os guias estratégicos do Microsoft Sentinel são iniciados com um gatilho do Conector do Microsoft Sentinel.
Um administrador deseja anexar um guia estratégico a um incidente existente e começar a investigar o incidente. Qual opção o administrador deve selecionar para anexar o guia estratégico?
Novo
Não atribuído
Nome do incidente
Nome do incidente
Sim. Ao selecionar o nome do incidente, você pode iniciar o processo para executar um guia estratégico sob demanda em resposta a um incidente existente.
Você deseja procurar uma consulta de detecção de ameaças adequada ou uma pasta de trabalho que possa ser usada para suas necessidades. Em qual local você pode pesquisar esses itens?
Centro de Arquitetura do Azure
Microsoft Learn
Repositório do Microsoft Sentinel no GitHub
Repositório do Microsoft Sentinel no GitHub
O repositório do Microsoft Sentinel no GitHub contém detecções prontas para uso, consultas de exploração, consultas de busca, pastas de trabalho e guias estratégicos para ajudar você a proteger seu ambiente e a buscar ameaças.
