Gerenciar versões de modelo para suas regras de análise agendadas no Microsoft Sentinel

Importante

Esse recurso está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Introdução

O Microsoft Sentinel vem com \modelos de regra de análise que você transforma em regras ativas criando efetivamente uma cópia delas – isso é o que acontece quando você cria uma regra de um modelo. Nesse ponto, no entanto, a regra ativa não está mais conectada ao modelo. Se alterações são feitas em um modelo de regra, por engenheiros da Microsoft ou qualquer outra pessoa, as regras criadas com antecedência a partir desse modelo não são atualizadas dinamicamente para corresponder ao novo modelo.

No entanto, as regras criadas a partir de modelos se lembram de quais modelos eles foram criados, o que permite duas vantagens:

• Se você fez alterações em uma regra ao criá-la a partir de um modelo (ou a qualquer momento depois disso), sempre poderá reverter a regra de volta para sua versão original (como uma cópia do modelo).

• Você pode ser notificado quando um modelo é atualizado e terá a opção de atualizar suas regras para a nova versão de seus modelos ou deixá-las como estão.

Este artigo mostrará como gerenciar essas tarefas e o que ter em mente. Os procedimentos discutidos abaixo se aplicam a todas as regras de análise agendadas criadas a partir de modelos.

Descobrir o número de versão do modelo da regra

Com a implementação do controle de versão do modelo, você pode ver e acompanhar as versões dos modelos de regra e as regras criadas com eles. As regras cujos modelos foram atualizados exibem uma notificação de “Atualização disponível” ao lado do nome da regra.

1. Na folha Análise, selecione a guia Regras ativas.

2. Selecione qualquer regra do tipo Agendada.

   • Se a regra exibir a notificação “Atualização disponível”, seu painel de detalhes terá um botão Revisar e atualizar ao lado do botão Editar (ver a imagem 1 na próxima etapa abaixo).

   • Se a regra tiver sido criada a partir de um modelo, mas não tiver a notificação “Atualização disponível”, seu painel de detalhes terá um botão Comparar com modelo ao lado do botão Editar (ver imagens 2 e 3 na próxima etapa abaixo).

   • Se houver apenas um botão Editar, a regra foi criada do zero, não de um modelo.

     

3. Role para baixo até a parte inferior do painel de detalhes, em que você verá dois números de versão: a versão do modelo do qual a regra foi criada e a versão mais recente disponível do modelo.

   

   O número está em um formato “1.0.0” – versão principal, versão secundária e build.

   • Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar como a regra detecta ameaças ou até mesmo sua capacidade de funcionar completamente. Essa é uma alteração que você deseja incluir em suas regras.

   • Uma diferença no número de versão secundária indica uma pequena melhoria no modelo – uma alteração superficial ou algo semelhante – que seria “bom ter”, mas não é essencial para manter a funcionalidade, a eficácia ou o desempenho da regra. Essa é uma alteração que você pode usar ou sair com a mesma facilidade.

   Observação

   As imagens 2 e 3 acima mostram dois exemplos de regras criadas a partir de modelos, em que o modelo não foi atualizado.

   • A Imagem 2 mostra uma regra que tem um número de versão para seu modelo atual. Isso sinaliza que a regra foi criada após a implementação inicial do controle de versão do modelo do Microsoft Sentinel em outubro de 2021.
   • A Imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isso mostra que a regra foi criada antes de outubro de 2021. Se houver uma versão de modelo mais recente disponível, provavelmente será uma versão mais recente do modelo do que a usada para criar a regra.

Comparar sua regra ativa com seu modelo

Escolha uma das seguintes guias de acordo com a ação que você deseja tomar, para ver as instruções para essa ação:

Atualizar modelo

Depois de selecionar uma regra e determinar que você deseja atualizá-la, selecione Revisar e atualizar no painel de detalhes (veja acima). Você verá que o Assistente de regra de análise agora tem uma guia Comparar com a versão mais recente.

Nessa guia, você verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.

Observação

Atualizar essa regra substituirá sua regra existente pela versão mais recente do modelo.

Qualquer etapa de automação ou lógica que faça referência à regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, todas as personalizações feitas na criação da regra original – alterações na consulta, no agendamento, no grupo ou em outras configurações – podem ser substituídas.

Atualizar sua regra com a nova versão do modelo

• Se as alterações feitas na nova versão do modelo são aceitáveis para você e nada mais na regra original foi afetado, selecione Revisar e atualizar para validar e aplicar as alterações.

• Se você quiser personalizar ainda mais a regra ou aplicar outra vez as alterações que possam ser substituídas, selecione Avançar: alterações personalizadas. Se você escolher isso, passará pelas guias restantes do Assistente de regra de análise para fazer essas alterações, depois disso, você validará e aplicará as alterações na guia Revisar e atualizar.

• Se você não quiser fazer nenhuma alteração na regra existente, mas em vez de manter a versão do modelo existente, basta sair do assistente selecionando o X no canto superior direito.

Reverter para o modelo

Depois de selecionar uma regra e determinar que você deseja reverter para sua versão original, selecione Comparar com o modelo no painel de detalhes (veja acima). Você verá que o Assistente de regra de análise agora tem uma guia Comparar com a versão mais recente.

Nessa guia, você verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo. Esses dois números de versão podem ser os mesmos, mas o lado esquerdo mostra a regra ativa, incluindo as alterações feitas nele durante ou após sua criação do modelo, enquanto o lado direito mostra o modelo inalterado.

Observação

Atualizar essa regra substituirá sua regra existente pela versão mais recente do modelo. Qualquer etapa de automação ou lógica que faça referência à regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, todas as personalizações feitas na criação da regra original – alterações na consulta, no agendamento, no grupo ou em outras configurações – podem ser substituídas.

Reverter sua regra para sua versão de modelo original

• Se você quiser reverter completamente para a versão original dessa regra – uma cópia limpa do modelo – selecione Revisar e atualizar para validar e aplicar as alterações.

• Se você quiser personalizar a regra de forma diferente ou aplicar outra vez as alterações que possam ser substituídas, selecione Avançar: alterações personalizadas. Se você escolher isso, passará pelas guias restantes do Assistente de regra de análise para fazer essas alterações, depois disso, você validará e aplicará as alterações na guia Revisar e atualizar.

• Se você não quiser fazer nenhuma alteração na regra existente, basta sair do assistente selecionando o X no canto superior direito.

Próximas etapas

Neste documento, você aprendeu a acompanhar as versões de seus modelos de regra de análise do Microsoft Sentinel e a reverter regras ativas para versões de modelo existentes ou atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Saiba mais sobre as regras de análise.
• Confira mais detalhes sobre o assistente de regra de análise.