Obter recomendações de ajuste para regras de análise no Microsoft Sentinel
Importante
A detecção de ameaças está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Ajustar as regras de detecção de ameaças em seu SIEM pode ser um processo difícil, delicado e contínuo de balanceamento entre maximizar sua cobertura de detecção de ameaças e minimizar as taxas de falsos positivos. O Microsoft Sentinel simplifica e agiliza esse processo usando aprendizado de máquina para analisar bilhões de sinais de suas fontes de dados, bem como suas respostas a incidentes ao longo do tempo, deduzindo padrões e fornecendo recomendações acionáveis e insights que podem reduzir significativamente a sobrecarga de ajuste, permitindo que você se concentre em detectar e responder a ameaças reais.
As Recomendações e insights de ajuste agora estão integrados às suas regras de análise. Este artigo explicará o que esses insights mostram e como você pode implementar as recomendações.
Exibir insights de regras e recomendações de ajuste
Para verificar se o Microsoft Sentinel tem recomendações de ajuste para as suas regras de análise, selecione Análise no menu de navegação do Microsoft Sentinel.
Para todas as regras que tenham recomendações, será exibido um ícone de lâmpada, conforme mostrado aqui:
Edite a regra para exibir as recomendações junto com os demais insights. Eles aparecerão juntos na guia Definir lógica de regra do assistente de regras de análise, abaixo do modo de exibição Simulação de resultados.
Tipos de insights
O modo de exibição Ajuste de insights consiste em vários painéis que você pode rolar ou alternar deslizando o dedo. Cada um deles mostra algo diferente. O período – 14 dias – para o qual os insights são exibidos é mostrado na parte superior do quadro.
O primeiro painel de insights exibe algumas informações estatísticas: o número médio de alertas por incidente, o número de incidentes abertos e o número de incidentes fechados, agrupados por classificação (verdadeiro/falso positivo). Esse insight ajuda você a descobrir a carga dessa regra e a entender se é necessário algum ajuste; por exemplo, se as configurações de grupo precisam ser ajustadas.
Esse insight é o resultado de uma consulta do Log Analytics. Ao selecionar Média de alertas por incidente, você será levado à consulta no Log Analytics que produziu o insight. Ao selecionar Abrir incidentes, você será levado até a folha de Incidentes.
O segundo painel de insights recomenda uma lista de entidades a serem excluídas. Essas entidades estão altamente correlacionadas com os incidentes que você fechou e classificou como falsos positivos. Selecione o sinal de mais ao lado de cada entidade listada para exclui-la da consulta nas próximas execuções dessa regra.
Essa recomendação é produzida pelos modelos avançados de ciência de dados e aprendizado de máquina da Microsoft. A inclusão desse painel na exibição Ajuste de insights depende de haver recomendações a serem exibidas.
O terceiro painel de insight mostra as quatro entidades mapeadas com maior frequência em todos os alertas produzidos por essa regra. O mapeamento de entidade precisa estar configurado na regra para que esse insight produza resultados. Esse insight pode ajudá-lo a ficar ciente de todas as entidades que estão "atraindo os holofotes" e chamando a atenção de outras. Você pode querer lidar com essas entidades separadamente em uma regra diferente, ou pode decidir que elas são falsos positivos ou outra forma de ruído e exclui-las da regra.
Esse insight é o resultado de uma consulta do Log Analytics. Ao selecionar qualquer uma das entidades, você será levado para a consulta no Log Analytics que produziu o insight.
Próximas etapas
Para obter mais informações, consulte: