Estudos Microsoft LEarn Flashcards
Explique as Regras de automação no Microsoft Sentinel
Automatizam respostas para várias análises de uma só vez. Podendo marcar, atribuir ou fechar aotomaticamente incidentes sem precisar dos guias estratégicos (playbooks).
Explique os guias estratégicos (playbooks) no microsoft sentinel
éum grupo/ coleção das regras de automação. São várias regras em conjunto que são executadas de forma automatizadas em resposta a um alerta ou inficente específico.
Depois de ocnstruída pode ser usada de forma manual.
E se baseiam em fluxos de trabalhos criados nos aplicativos lógicos do azure (Azure Logic Apps), serviço de núvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa.
Quando criar uma regra de automação na folha de automação
Quando precisar de uma regra de automação que será aplicada a várias regras de análise, ela deve ser criada na folha de automação.
Quando criar uma regra de automação na folha de incidentes
Na folha de incidentes normalmente criamos uma regra de automação para incidentes recorrentes. É útil ao criar uma regra de supressão (fechamento) para fechar automaticamente incidentes “com ruido”
Quais são os componentes de uma regra de automação
Gatilho
Conditions
Ações
Data de Validade
Pedido
Dentro dos componentes de uma regra de automação, existem as ações que podem ser executadas quando as conditions são satisfeitas. Quais são essas ações?
Alterar o status de um incidente;
Alterar a severidade de um incidente;
Atribuir um incidente a um proprietário;
Adicionar uma marca a um incidente;
Executar um guia estratégico (playbooks)
- As regras de automação são disparadas por?
Incidentes
Conectores
Watchlists
Incidentes
- Você usa Aplicativos Lógicos para criar um(a)?
Regra de automação
Manual
Pasta de trabalho
Manual
- Uma ação de regra de automação pode?
Atualizar o título do incidente
Excluir o incidente
Alterar o status do incidente
Alterar o status do incidente
O ASIM ( Modelo de Informações de SEgurança Avançado) proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo diversas funcionalidades.
Quais são essas funcionalidades?
Detecção entre fontes;
Conteúdo independente da fonte;
suporte para as fontes personalizadas;
Facilidade de uso.
Quando implatar um analisardor ASIM interno e quando implantar um analisador no espaço de trabalho?
Internamente usamos na maioria dos casos que precisamos de analisadores ASIM.
no espaço de trabalho usamos ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis.
Quais são os dois níveis de analisadores ASIM? E quais são seus respectivos nomes?
O ASIM inclui dois níves de analisadores: analisador unificador e analisadores específicos de origem.
o nome do analisador unificador é _IM_Schema para analisadores internos e imSchema para analisadores implantados no workspace. Schema é o esquema específico que ele atende.
Os analisadores específicos da origem também podem ser chamados de maneira independente. Ex: VimDnsInfobloxNIOS
qual é a funçao do analisador unificado e do analisador específico de origem?
O analisador específico de origem garante que todos os dados relevantes para o esquema são consultados. Depois o analisador específico chama os analisadores específicos de origem para executar a análise e a normalização reais, que é específica para cada fonte.
Com o trabalho de otimização de consulta e de fultragem previa, os analisadores ASIM geralmente têm melhor desempenho do que não usar a normalização?
Verdadeiro ou falso?
Verdadeiro.
Utilizar filtro com parâmetros antes de iniciar a consulta e a normalização melhoram o desempenho das consultas.
Os usuários do ASIM usam nomes de tabelas ou analisadores unificados em suas consultas?
analisadores unificados
Dê dois exemplos de situações que um usuário ASIM precisará criar uma analisador específico de origem.
1 - Quando o dispositivo fornece eventos que se ajustam a um esquema de ASIM, mas um analisador específico de origem para o dispositivo e o esquema relevante não estão disponíveis no Microsoft Sentinel.
2- Quando os analisadores específicos da fonte do ASIM estão disponíveis para seu dispositivo, mas seu dispositivo envia eventos em um método ou formato diferente do esperado pelos analisadores do ASIM.
Para desenvolver um analisador personalizado precisamos seguir até 8 passos a depender do caso, quais são eles?
- Coletar logs de exemplo;
- Identifique o esquema ou esquemas que os eventos enviados da fonte representam;
- Mapeie os campos de evento de origem para o esquema ou esquemas identificados;
- Desenvolva um ou mais analisadores ASIM para sua fonte. Você precisará desenvolver um analisador de filtragem e um analisador sem parâmetros para cada esquema relevante para a fonte;
5.Teste seu analisador;
- Implante os analisadores nos workspaces do Microsoft Sentinel;
- Atualize o analisador de unificação do ASIM relevante para referenciar o novo analisador personalizado;
- Talvez você também queira contribuir com seus analisadores para a distribuição promária do ASIM. Os analisadores colaboradores também podem ser disponibilizados em todos os espaos de trabalho como analisadores internos.
na criação de analisadores personalizados a priemira tarefa a ser executada é a coleta de logs de exemplo. Um conjunto representativo de logs deve incluir 3 características, quais são elas?
- Eventos com resultados de eventos diferentes;
-Eventos com diferentes ações de resposta;
-Formatos diferentes para nome de usuário, nome de host e IDs e outros campos que exigem normalização de valor.
Verdadeiro ou Falso:
Um analisador persolalizado é uma consulta KQL desenvolvina na página Logs do Microsoft Sentinel.
Verdadeiro.
Verdadeiro ou Falso:
Ao criar uma consulta KQL,
um analisador deve primeiro filtrar um evento relevante para o esquema de destino?
Falso.
Um analisador deve primeiro filtrar somente os registros relevantes para o esquema de destino. Porque uma tabela pode ter várias fontes de dados e Ainda que uma tabela forneca dados de uma única fonte de dados, ela pode conter vários / diferentes tipos de eventos. e precisamos definir o evento/ registro para usar o analisador.
Qual operador usamos para a filtragem em KQL?
Where
Um analisador deve filtrar por tempo?
Não. Um analisador não deve filtrar por tempo. A consulta que usa o analisador aplicará um intervalo de tempo.
Quando devemos fazer uma filtragem por tipo de origem usando uma watchlist?
Quando o próprio evento não contém informações que permitiriam a filtragem por tipos de origem específicos.
Usamos a watchlist “ASimSourceType” é uma lista de origens que definem eventos relevantes.
Dê um explo de situação onde usamos essa whatchlist para filtragem por tipo de origem.
Quando os eventos do DNS do infoblox são enviados como mensagens do Syslog e são difíceis de distinguir das mensagens do Syslog enviadas de outras fontes.