A Microsoft liberou hoje de modo preview o seu SIEM, isso a Microsoft lançou um SIEM próprio!
Mas o que é um SIEM?
Uma solução de software que permite correlacionar os eventos gerados por diversas aplicações de segurança da informação.
Vou mostrar rapidinho como começar a testar!
Se buscarmos na galeria por “Azure Sentinel”, já localizamos ele
Agora devemos criar um Workspace, ele solicita os seguintes dados
Log Analitycs Workspace: Um nome para você identificar
Subscription: Sua assinatura
Resource Group: Grupo de recursos onde será armazenado
Location: Datacenter do seu Azure Sentinel (Ainda não está disponível no Brasil)
Pricing Tier: Na minha assinatura só esta disponível Per GB
Após criado, vamos definir de onde vamos coletar os dados, e tem muitas opções!
Vários produtos da Microsoft, bem como players de Segurança, como Check Point, Fortinet, Barrucuda!
Depois devemos criar os Alertas
E após isso criamos os Playbooks, para automatizar as soluções dos alertas encontrados, por exemplo, bloquear uma porta por tentativa de acesso inválido! Vou popular os dados e volto pra mostrar funcionando!
