Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Configurou conectores e outros meios para recolher dados de atividade no seu património digital. Agora, tem de analisar todos esses dados para detetar padrões de atividade e descobrir atividades que não se adequam a esses padrões e que possam representar uma ameaça à segurança.
Microsoft Sentinel e as suas muitas soluções fornecidas no Hub de conteúdos oferecem modelos para os tipos de regras de análise mais utilizados e é altamente encorajado a utilizar esses modelos, personalizando-os para se adaptarem aos seus cenários específicos. No entanto, é possível que precise de algo completamente diferente, por isso, nesse caso, pode criar uma regra do zero com o assistente de regras de análise.
Observação
Se estiver a rever os detalhes de uma recomendação de otimização do SOC na página de otimização do SOC e seguiu a ligação Saiba mais para esta página, poderá estar à procura da lista de regras de análise sugeridas. Neste caso, desloque-se para a parte inferior do separador detalhes de otimização e selecione Ir para o Hub de conteúdos para localizar e instalar as regras recomendadas específicas dessa recomendação. Para obter mais informações, veja Fluxo de utilização da otimização do SOC.
Esta seção descreve o processo de criação de uma regra de análise do zero, incluindo o uso do assistente de regra de Análise. Inclui capturas de ecrã e direções para aceder ao assistente no portal do Azure e no portal do Defender.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Pré-requisitos
Tem de ter a função contribuidor Microsoft Sentinel ou qualquer outra função ou conjunto de permissões que inclua permissões de escrita na área de trabalho do Log Analytics e no respetivo grupo de recursos.
Deve ter, pelo menos, uma familiaridade básica com a ciência e análise de dados e a Linguagem de Consulta Kusto.
Deve familiarizar-se com o assistente de regras de análise e com todas as opções de configuração disponíveis. Para obter mais informações, veja Regras de análise agendadas no Microsoft Sentinel.
Projete e crie sua consulta
Antes de fazer qualquer outra coisa, você deve projetar e criar uma consulta em Kusto Query Language (KQL) que sua regra usará para consultar uma ou mais tabelas em seu espaço de trabalho do Log Analytics.
Determine uma origem de dados ou um conjunto de origens de dados que pretende procurar para detetar atividades suspeitas ou invulgares. Localize o nome da tabela do Log Analytics na qual os dados dessas origens são ingeridos. Você pode encontrar o nome da tabela na página do conector de dados dessa fonte. Utilize este nome de tabela (ou uma função baseada na mesma) como base para a consulta.
Decida que tipo de análise pretende que esta consulta efetue na tabela. Esta decisão determina que comandos e funções deve utilizar na consulta.
Decida quais os elementos de dados (campos, colunas) que pretende dos resultados da consulta. Esta decisão determina como você estrutura a saída da consulta.
Importante
Certifique-se de que sua consulta retorne a coluna
TimeGenerated, pois as regras de análise agendada a usam como referência para o período de retrospectiva. ComoTimeGeneratedserve como referência de lookback, a regra avalia apenas os registros em que oTimeGeneratedvalor se enquadra na janela de lookback especificada.Crie e teste as consultas no ecrã Registos . Quando estiver satisfeito, guarde a consulta para utilização na regra.
Para saber mais, confira:
- Melhores práticas para consultas de regras de análise.
- Linguagem de Consulta Kusto no Microsoft Sentinel
- Melhores práticas para consultas de Linguagem de Consulta Kusto
Criar sua regra de análises
O procedimento a seguir explica como criar uma regra de análise agendada usando o portal do Azure ou o portal Defender.
Comece a criar uma regra de consulta agendada
Para começar, aceda à página Análise no Microsoft Sentinel para criar uma regra de análise agendada.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Analytics. Para Microsoft Sentinel na portal do Azure, em Configuração, selecione Análise.
Selecione +Criar e selecione Regra de consulta agendada.
Atribua um nome à regra e defina informações gerais
No portal do Azure, os estágios aparecem como abas. No portal do Defender, aparecem como marcos numa linha do tempo.
Introduza as seguintes informações para a sua regra.
Campo Descrição Nome Um nome exclusivo para sua regra. Este campo suporta apenas texto simples. Todos os URLs incluídos no nome devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente. Descrição Uma descrição em texto livre para sua regra.
Se Microsoft Sentinel estiver integrado no portal do Defender, este campo só suporta texto simples. Todos os URLs incluídos na descrição devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.Gravidade Associe o impacto que a atividade que aciona a regra pode ter no ambiente-alvo, caso a regra seja um verdadeiro positivo.
Informativo: não há impacto no seu sistema, mas as informações podem ser indicativas de passos futuros planeados por um ator de ameaças.
Baixo: o impacto imediato é mínimo. Um ator de ameaças provavelmente teria de realizar vários passos antes de alcançar um impacto num ambiente.
Médio: o ator de ameaças pode ter algum impacto no ambiente com esta atividade, mas seria limitado no âmbito ou exigiria atividade adicional.
Elevada: a atividade identificada fornece ao ator de ameaças acesso abrangente para realizar ações no ambiente ou é acionada pelo impacto no ambiente.MITRE ATT&CK Escolha as atividades de ameaça que se aplicam à sua regra. Selecione entre as táticas e técnicas MITRE ATT&CK apresentadas na lista suspensa. Pode efetuar múltiplas seleções.
Para obter mais informações sobre como maximizar sua cobertura do cenário de ameaças do MITRE ATT&CK, consulte Entenda a cobertura de segurança pelo framework MITRE ATT&CK®.Status Ativada: a regra é executada imediatamente após a criação ou na data e hora específicas que optar por agendar (atualmente em PRÉ-VISUALIZAÇÃO).
Desativada: a regra é criada, mas não é executada. Ative-o mais tarde a partir do separador Regras ativas quando precisar.Selecione Seguinte: Definir lógica de regra.
Definir a lógica da regra
Defina a lógica de regra, incluindo a adição da consulta Kusto que você criou.
Introduza a consulta de regra e a configuração de melhoramento de alertas.
Configuração Descrição Consulta de regra Cole a consulta que você projetou, criou e testou na janela Consulta de regra. Todas as alterações efetuadas nesta janela são validadas instantaneamente, pelo que, se existirem erros, verá uma indicação imediatamente abaixo da janela. Mapear entidades Expanda Mapeamento de entidades e defina até 10 tipos de entidade reconhecidos por Microsoft Sentinel em campos nos resultados da consulta. Esse mapeamento integra as entidades identificadas ao campo Entidades no esquema de alerta de segurança Microsoft Sentinel.
Para obter instruções completas sobre como mapear entidades, veja Mapear campos de dados para entidades no Microsoft Sentinel.Exiba detalhes personalizados em seus alertas Expanda Os detalhes personalizados e defina os campos nos resultados da consulta que pretende que sejam apresentados nos alertas como detalhes personalizados. Estes campos também aparecem em quaisquer incidentes que resultem.
Para obter instruções completas sobre como mostrar detalhes personalizados, consulte Mostrar detalhes de eventos personalizados em alertas no Microsoft Sentinel.Personalizar detalhes do alerta Expanda Detalhes do alerta e personalize propriedades de alerta que, de outra forma, seriam padrão, de acordo com o conteúdo de vários campos em cada alerta. Por exemplo, personalize o nome ou descrição do alerta para incluir um nome de utilizador ou endereço IP em destaque no alerta.
Para obter instruções completas sobre como personalizar os detalhes do alerta, veja Personalizar detalhes do alerta no Microsoft Sentinel.Agende e defina o âmbito da consulta. Defina os seguintes parâmetros na secção Agendamento de consultas:
Configuração Descrição/Opções Executar consulta a cada Controla o intervalo de consulta: a frequência com que a consulta é executada.
Intervalo permitido: 5 minutos a 14 dias.Procurar dados do último Determina o período retroativo: o período coberto pela consulta.
Intervalo permitido: 5 minutos a 14 dias.
Tem de ser maior ou igual ao intervalo de consulta.Começar a executar Automaticamente: a regra é executada pela primeira vez imediatamente após ser criada e posteriormente no intervalo de consulta.
Numa hora específica (Pré-visualização): defina uma data e hora para a regra ser executada pela primeira vez, após a qual é executada no intervalo de consulta.
Intervalo permitido: 10 minutos a 30 dias após a hora de criação (ou ativação) da regra.Defina o limiar para criar alertas.
Use a seção Limiar de alerta para definir o nível de sensibilidade da regra. Por exemplo, defina um limiar mínimo de 100:
Configuração Descrição Gerar alerta quando a quantidade de resultados da consulta É maior que Número de eventos 100Se não quiser definir um limiar, introduza
0no campo de número.Definir definições de agrupamento de eventos.
Em Agrupamento de eventos, escolha uma das duas formas de processar o agrupamento de eventos em alertas:
Configuração Comportamento Agrupar todos os eventos num único alerta
(predefinição)A regra gera um único alerta sempre que é executada, desde que a consulta devolva mais resultados do que o limiar de alerta especificado acima. Este alerta único resume todos os eventos devolvidos nos resultados da consulta. Acionar um alerta para cada evento A regra gera um alerta exclusivo para cada evento devolvido pela consulta. Esta opção é útil se quiser que os eventos sejam apresentados individualmente ou se quiser agrupá-los por determinados parâmetros, por utilizador, nome de anfitrião ou outra coisa qualquer. Pode definir estes parâmetros na consulta. Suprimir temporariamente a regra após a geração de um alerta.
Para suprimir uma regra após a próxima execução, se um alerta for gerado, ative a configuração Parar a execução da consulta após a geração de um alerta para Ativado. Se ativar esta opção, defina Parar a execução da consulta durante o período de tempo durante o qual a consulta deverá deixar de ser executada, até 24 horas.
Simular os resultados das definições de consulta e lógica.
Na área Simulação de resultados , selecione Testar com dados atuais para ver como seriam os resultados da regra se estivesse em execução nos dados atuais. Microsoft Sentinel simula a execução da regra 50 vezes nos dados atuais, utilizando a agenda definida, e mostra-lhe um gráfico dos resultados (eventos de registo). Se modificar a consulta, selecione Testar com dados atuais novamente para atualizar o gráfico. O gráfico mostra o número de resultados ao longo do período de tempo definido pelas definições na secção Agendamento de consultas.
Selecione Seguinte: Definições do incidente.
Configurar as definições de criação de incidentes
No separador Definições de incidentes, escolha se Microsoft Sentinel transforma alertas em incidentes acionáveis e se e como os alertas são agrupados em incidentes.
Ative a criação de incidentes.
Na secção Definições de incidentes, Criar incidentes a partir de alertas acionados por esta regra de análise está predefinido como Ativado, o que significa que Microsoft Sentinel cria um único incidente separado de cada alerta acionado pela regra.
Se não quiser que esta regra crie incidentes (por exemplo, se esta regra for apenas para recolher informações para análise subsequente), defina esta opção como Desativada.
Importante
Se tiver integrado Microsoft Sentinel no portal Microsoft Defender, deixe esta definição Ativada.
- Neste cenário, Microsoft Defender XDR cria incidentes, não Microsoft Sentinel.
- Estes incidentes aparecem na fila de incidentes nos portais do Azure e do Defender.
- No portal do Azure, novos incidentes são exibidos com "Microsoft XDR" como nome do provedor de incidentes.
Se quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, veja o passo seguinte.
Definir definições de agrupamento de alertas.
Na secção Agrupamento de alertas , se pretender que um único incidente seja gerado a partir de um grupo de até 150 alertas semelhantes ou recorrentes (ver nota), defina Alertas relacionados com o grupo, acionados por esta regra de análise, em incidentes como Ativado e defina os seguintes parâmetros.
Limitar o grupo a alertas criados dentro do intervalo de tempo selecionado: defina o período de tempo no qual os alertas semelhantes ou recorrentes são agrupados. Os alertas fora deste período de tempo geram um incidente separado ou um conjunto de incidentes.
Agrupar alertas acionados por esta regra de análise num único incidente ao: escolher como os alertas são agrupados:
Opção Descrição Agrupar alertas em um único incidente se todas as entidades corresponderem Os alertas são agrupados se partilharem valores idênticos para cada uma das entidades mapeadas (definidas no separador Definir lógica de regra acima). Essa é a configuração recomendada. Agrupar todos os alertas acionados por esta regra num único incidente Todos os alertas gerados por esta regra são agrupados, mesmo que não partilhem valores idênticos. Agrupar alertas num único incidente se as entidades e os detalhes selecionados corresponderem Os alertas são agrupados se partilharem valores idênticos para todas as entidades mapeadas, detalhes do alerta e detalhes personalizados selecionados nas respetivas listas pendentes. Reabrir incidentes correspondentes fechados: se um incidente for resolvido e fechado e posteriormente for gerado outro alerta que deve pertencer a esse incidente, defina esta definição como Ativado se pretender que o incidente fechado seja reaberto e deixe como Desativado se quiser que o alerta crie um novo incidente.
A opção Reabrir incidentes correspondentes fechados não está disponível quando o Microsoft Sentinel está integrado ao portal do Microsoft Defender.
Importante
Se tiver integrado Microsoft Sentinel no portal do Microsoft Defender, as definições de agrupamento de alertas só entrarão em vigor no momento em que o incidente é criado.
Uma vez que o motor de correlação do portal do Defender é responsável pela correlação de alertas neste cenário, aceita estas definições como instruções iniciais, mas também pode tomar decisões sobre a correlação de alertas que não têm em conta estas definições.
Por conseguinte, a forma como os alertas são agrupados em incidentes pode ser, muitas vezes, diferente do esperado com base nestas definições.
Observação
Podem ser agrupados até 150 alertas num único incidente.
O incidente só é criado depois de todos os alertas serem gerados. Todos os alertas são adicionados ao incidente imediatamente após a sua criação.
Se forem gerados mais de 150 alertas por uma regra que os agrupa num único incidente, é gerado um novo incidente com os mesmos detalhes do incidente que o original e os alertas em excesso são agrupados no novo incidente.
Selecione Seguinte: Resposta automatizada.
Rever ou adicionar respostas automatizadas
Na aba Respostas automatizadas, consulte as regras de automação exibidas na lista. Se quiser adicionar respostas que ainda não estejam abrangidas pelas regras existentes, tem duas opções:
- Edite uma regra existente se quiser que a resposta adicionada se aplique a muitas ou todas as regras.
- Selecione Adicionar novo para criar uma nova regra de automatização que se aplique apenas a esta regra de análise.
Para saber mais sobre o que pode utilizar as regras de automatização, veja Automatizar a resposta a ameaças em Microsoft Sentinel com regras de automatização.
- Em Automatização de alertas (clássica) na parte inferior do ecrã, verá os manuais de procedimentos que configurou para executar automaticamente quando um alerta é gerado com o método antigo.
Desde junho de 2023, não é possível adicionar playbooks a esta lista. Os playbooks já listados aqui continuarão em execução até que este método seja descontinuado, a partir de março de 2026.
Se ainda tiver alguns manuais de procedimentos listados aqui, crie uma regra de automatização com base no acionador criado pelo alerta e invoque o manual de procedimentos a partir da regra de automatização. Depois de concluir esse passo, selecione as reticências no final da linha do manual de procedimentos listado aqui e selecione Remover. Veja Migrar seus playbooks do Microsoft Sentinel disparados por alertas para regras de automação para obter instruções completas.
Selecione Seguinte: Rever e criar para rever todas as definições da nova regra de análise.
Validar a configuração e criar a regra
Quando for apresentada a mensagem "Validação aprovada", selecione Criar.
Se um erro aparecer, localize e selecione o X vermelho na guia do assistente em que o erro ocorreu.
Corrija o erro e volte ao separador Rever e criar para executar a validação novamente.
Ver a regra e o respetivo resultado
Ver a definição da regra
Você pode encontrar a regra personalizada criada recentemente (do tipo "Agendado") na tabela sob a aba Regras ativas na tela principal de Análises. Nesta lista, pode ativar, desativar ou eliminar cada regra.
Ver os resultados da regra
Para ver os resultados das regras de análise que cria no portal do Defender, expanda Investigação & resposta no menu de navegação e, em seguida, Incidentes & alertas. Veja incidentes na página Incidentes , onde pode fazer a triagem de incidentes, investigá-los e remediar as ameaças. Ver alertas individuais na página Alertas .
Ajustar a regra
Depois que a regra estiver em execução, ajuste-a para reduzir o ruído e melhorar a qualidade da detecção.
- Pode atualizar a consulta de regra para excluir falsos positivos. Para obter mais informações, veja Lidar com falsos positivos no Microsoft Sentinel.
Observação
Os alertas gerados no Microsoft Sentinel estão disponíveis através da Segurança do Microsoft Graph. Para obter mais informações, veja a documentação alertas de Segurança do Microsoft Graph.
Exportar a regra para um modelo do ARM
Se quiser empacotar a regra para ser gerida e implementada como código, pode exportar facilmente a regra para um modelo de Azure Resource Manager (ARM). Também pode importar regras de ficheiros de modelo para os ver e editar na interface de utilizador.
Próximas etapas
Ao utilizar regras de análise para detetar ameaças de Microsoft Sentinel, certifique-se de que ativa todas as regras associadas às origens de dados ligadas para garantir uma cobertura de segurança total para o seu ambiente.
Para automatizar a habilitação de regras, envie regras por push para Microsoft Sentinel por meio da API REST Microsoft Sentinel e do módulo do PowerShell do Az.SecurityInsights, embora isso exija esforço extra. Ao usar a API ou o PowerShell, primeiro você deve exportar as regras para JSON antes de habilitar as regras. A API ou o PowerShell podem ser úteis ao ativar regras em várias instâncias de Microsoft Sentinel com definições idênticas em cada instância.
Para saber mais, confira:
- Resolver problemas de regras de análise no Microsoft Sentinel
- Navegar e investigar incidentes no Microsoft Sentinel
- Entidades no Microsoft Sentinel
- Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel
Além disso, aprenda com um exemplo de como usar regras de análise personalizadas ao monitorar o Zoom com um conector de Microsoft Sentinel personalizado.