microsoft-sentinel

# Microsoft Sentinel > SIEM / SOAR · Vendor: [[_microsoft|Microsoft]] > [!latam] Presença no Brasil e LATAM > O Microsoft Sentinel é a solução SIEM dominante no Brasil, adotada por bancos, órgãos do governo federal e grandes corporações que já operam no ecossistema Microsoft 365. A integração nativa com o **Entra ID** (Azure AD) torna o Sentinel especialmente relevante para detecção de campanhas de **password spray** e **MFA bypass** - ataques recorrentes contra organizações brasileiras documentados pelo **CTIR Gov** e **CERT.br**. Playbooks em português estão disponíveis no repositório da comunidade Azure/Azure-Sentinel. ## Visão Geral **Microsoft Sentinel** é o SIEM+SOAR cloud-native da Microsoft, hospedado integralmente no Azure. Trata-se da plataforma de monitoramento e resposta a incidentes mais relevante para organizações que operam no ecossistema Microsoft - que inclui a grande maioria das empresas brasileiras do [[financial]], [[government]] e [[technology]]. **Principais vantagens competitivas:** - Integração nativa com [[microsoft-defender-endpoint]], Microsoft 365, Azure AD (Entra ID) e Defender for Cloud - sem necessidade de conectores customizados - SOAR nativo via Azure Logic Apps (playbooks) que eliminam tarefas repetitivas de analistas - UEBA (User and Entity Behavior Analytics) integrado para detecção de comportamentos anômalos - Microsoft Threat Intelligence feed que popula automaticamente IoCs (hashes, domínios, IPs) a partir da telemetria global da Microsoft - Modelo de precificação por ingestão de dados - relevante para organizações com grandes volumes de log **Dados do produto:** - Categoria: SIEM + SOAR - Vendor: [[_microsoft|Microsoft]] - Plataforma: Azure (cloud-native - sem instalação on-premises) - Linguagem de consulta: KQL (Kusto Query Language) - Presença no Brasil/LATAM: Dominante - padrão de facto para organizações Microsoft-centric ## KQL - Kusto Query Language O Microsoft Sentinel utiliza **KQL (Kusto Query Language)** como linguagem de consulta para análise de logs, criação de regras de detecção e hunting manual. O KQL é também a linguagem do [[microsoft-defender-endpoint]] Advanced Hunting, tornando o conhecimento transferível entre as duas plataformas. **Principais tabelas do Sentinel:** | Tabela | Dados | |--------|-------| | `SecurityEvent` | Eventos de segurança do Windows (4624, 4625, 4688, etc.) | | `DeviceProcessEvents` | Criação de processos via MDE | | `DeviceNetworkEvents` | Conexões de rede via MDE | | `DeviceFileEvents` | Operações de arquivo via MDE | | `DeviceLogonEvents` | Autenticações via MDE | | `SigninLogs` | Logins no Azure AD / Entra ID | | `AzureActivity` | Atividades no plano de controle do Azure | | `CommonSecurityLog` | Logs via CEF (firewalls, proxies, etc.) | | `Syslog` | Logs via Syslog (Linux, appliances) | | `OfficeActivity` | Atividades no Microsoft 365 | **Operadores essenciais:** `where` (filtragem), `project` (seleção de colunas), `summarize` (agregação), `join` (correlação entre tabelas), `parse` (extração de campos), `extend` (colunas calculadas). Filtros temporais com `ago(1d)`, `ago(7d)`, `startofday()`. **Exemplo - Detectar PowerShell com download de payload** (indicador de [[t1059-001-powershell|T1059.001 - PowerShell]] e múltiplos loaders): ```kql // Detectar PowerShell com download de payload DeviceProcessEvents | where FileName =~ "powershell.exe" | where ProcessCommandLine has_any ("DownloadString", "IEX", "Invoke-Expression", "WebClient") | project Timestamp, DeviceName, AccountName, ProcessCommandLine | order by Timestamp desc ``` **Exemplo - Detecção de login anômalo via Azure AD** (relevante para [[g0016-apt29|APT29 / Cozy Bear]] e ataques de password spray): ```kql // Logins falhados seguidos de sucesso - possível password spray SigninLogs | where ResultType != "0" | summarize FailedAttempts = count() by UserPrincipalName, IPAddress, bin(TimeGenerated, 1h) | where FailedAttempts > 10 | join kind=inner ( SigninLogs | where ResultType == "0" ) on UserPrincipalName | project TimeGenerated, UserPrincipalName, IPAddress, FailedAttempts ``` ## Analytics Rules O Sentinel oferece quatro tipos de regras de detecção: 1. **Scheduled** - consultas KQL executadas em intervalos regulares (padrão para a maioria das detecções) 2. **NRT (Near Real-Time)** - latência de ~1 minuto; para detecções críticas como bloqueio de conta ou execução de mimikatz 3. **ML-based anomaly** - modelos de machine learning para detecção de anomalias sem regras explícitas (UEBA) 4. **Fusion** - correlação multi-estágio que combina alertas de baixa fidelidade para identificar kill chains completas (útil para [[g0016-apt29|APT29 / Cozy Bear]] e [[g0007-apt28|APT28 / Fancy Bear]]) **Repositório da comunidade:** O [Azure/Azure-Sentinel](https://github.com/Azure/Azure-Sentinel) no GitHub contém centenas de regras prontas para uso, organizadas por categoria. Inclui detecções para: - [[cve-2024-47575|CVE-2024-47575]] (FortiManager - lateral movement pós-exploração) - [[cve-2021-44228|CVE-2021-44228]] (Log4j - execução remota via JNDI) - [[cve-2023-23397|CVE-2023-23397]] (Outlook - roubo de NTLM via [[g0007-apt28|APT28 / Fancy Bear]]) - [[cve-2024-21887|CVE-2024-21887]] (Ivanti Connect Secure - RCE) As regras do repositório são expressas em KQL e podem ser importadas diretamente para o workspace Sentinel ou convertidas de formato **Sigma** via sigma2sentinel. ## SOAR via Logic Apps O componente SOAR do Sentinel é implementado via **Azure Logic Apps** - fluxos de automação low-code que respondem a alertas ou incidentes automaticamente. **Fluxo de resposta automatizada típico:** ``` Sentinel alert (threshold atingido) → Logic App acionado → Verificar IoC no Microsoft Threat Intelligence → Se confirmado malicioso: → Bloquear IP no Azure Firewall → Isolar endpoint no [[microsoft-defender-endpoint]] via API → Criar ticket no ServiceNow / JIRA → Notificar time no Microsoft Teams → Marcar incidente como "Em resposta" ``` **Casos de uso comuns de playbooks:** - Auto-bloqueio de IP em Azure Firewall ou NSG após alerta de [[t1090-proxy|T1090 - Proxy]] ou C2 ([[s0154-cobalt-strike]]) - Isolamento de endpoint no MDE após detecção de [[lockbit]] (VSS deletion, cifração em massa) - Revogação de sessão Azure AD após indicador de comprometimento de conta (relevante para [[g0016-apt29|APT29 / Cozy Bear]]) - Criação automática de ticket com contexto enriquecido (hash, IP, usuário, técnica MITRE) ## Integração com Ameaças O Microsoft Sentinel é particularmente eficaz na detecção de TTPs de atores que abusam do ecossistema Microsoft: | Ator / Ferramenta | Detecção no Sentinel | |-------------------|---------------------| | [[g0016-apt29\|APT29 / Cozy Bear]] | Anomalias em Azure AD (MFA bypass, OAuth app abuse), exfiltração via OneDrive ([[t1567-002-exfiltration-cloud-storage\|T1567.002]]) | | [[g0007-apt28\|APT28 / Fancy Bear]] | Exploração de [[cve-2023-23397\|CVE-2023-23397]] detectável via `OfficeActivity` + `SecurityEvent` para roubo NTLM | | [[g0032-lazarus-group\|Lazarus Group]] | Exfiltração cloud via [[t1567-002-exfiltration-cloud-storage\|T1567.002]] detectável em `AzureActivity` e `OfficeActivity` | | [[s0154-cobalt-strike]] | Beaconing via `DeviceNetworkEvents` (intervalos regulares, domínios gerados por DGA) | | [[lockbit]] | Deleção de VSS (`vssadmin.exe delete shadows`), cifração em massa via `DeviceFileEvents` | **Técnicas MITRE correlacionadas:** [[t1090-proxy|T1090 - Proxy]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] ## Notas Relacionadas **Produtos:** [[microsoft-defender-endpoint]] · [[_microsoft|Microsoft]] **CVEs:** [[cve-2023-23397|CVE-2023-23397]] · [[cve-2021-44228|CVE-2021-44228]] · [[cve-2024-47575|CVE-2024-47575]] · [[cve-2024-21887|CVE-2024-21887]] **Atores:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[g0032-lazarus-group|Lazarus Group]] **Malware:** [[s0154-cobalt-strike]] · [[lockbit]] **TTPs:** [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1090-proxy|T1090 - Proxy]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores:** [[financial]] · [[government]] · [[technology]]