Monitorar a integridade e a auditoria de suas regras de análise

Para garantir uma detecção de ameaças abrangente, ininterrupta e livre de adulterações no seu serviço Microsoft Sentinel, acompanhe a integridade e a integridade das suas regras de análise e mantenha-as funcionando de maneira ideal, monitorando suas informações de execução, consultando os logs de integridade e auditoria e usando a reexecução manual para testar e otimizar suas regras.

Configure as notificações de eventos de integridade para stakeholders relevantes, que podem tomar medidas. Por exemplo, defina e envie e-mail ou mensagens do Microsoft Teams, crie novos tíquetes em seu sistema de emissão de tíquetes e assim por diante.

Este artigo descreve como usar os recursos de auditoria e monitoramento de integridade do Microsoft Sentinel para acompanhar a integridade das suas regras de alerta de dentro do Microsoft Sentinel.

Para obter informações sobre insights de regras e reexecução manual de regras, consulte Monitorar e otimizar a execução das suas regras de análise agendadas.

Importante

As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Resumo

• Logs de integridade da regra de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram a execução de regras de análise e o resultado final dessas execuções (se elas tiveram êxito ou falharam e, se falharam, por quê).
  • O log também registra, para cada execução de uma regra de análise:
    • Quantos eventos foram capturados pela consulta da regra.
    • Se o número de eventos passou o limite definido na regra, fazendo com que a regra dispare um alerta.

  Esses logs são coletados na tabela SentinelHealth no Log Analytics.

• Logs de auditoria da regra de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram alterações feitas em qualquer regra de análise, incluindo os seguintes detalhes:
    • O nome da regra que foi alterada.
    • Quais propriedades da regra foram alteradas.
    • O estado das configurações de regra antes e depois da alteração.
    • O usuário ou a identidade que fez a alteração.
    • O IP de origem e a data/hora da alteração.
    • ... e muito mais.

  Esses logs são coletados na tabela SentinelAudit no Log Analytics.

Usar as tabelas de dados SentinelHealth e SentinelAudit (versão prévia)

Para obter dados de auditoria e integridade das tabelas descritas acima, você precisa primeiro ativar o recurso de integridade do Microsoft Sentinel para o seu workspace. Para obter mais informações, consulte Ativar a auditoria e o monitoramento de integridade do Microsoft Sentinel.

Depois que o recurso de integridade for ativado, a tabela de dados SentinelHealth será criada no primeiro evento de êxito ou falha gerado para os guias estratégicos e regras de automação.

Noções básicas sobre eventos de tabela SentinelHealth e SentinelAudit

Os seguintes tipos de eventos de integridade da regra de análise são registrados na tabela SentinelHealth:

• Execução da regra de análise agendada.

• Execução da regra de análise NRT.

  Para obter mais informações, confira esquema de colunas da tabela SentinelHealth.

Os seguintes tipos de eventos de auditoria da regra de análise são registrados na tabela SentinelAudit:

• Criar ou atualizar regra de análise.

• Regra de análise excluída.

  Para obter mais informações, confira esquema de colunas da tabela SentinelAudit.

Executar consultas para detectar problemas de integridade

Para obter melhores resultados, você deve criar suas consultas nas funções predefinidas nessas tabelas, _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações feitas no esquema das próprias tabelas.

Como primeira etapa, suas consultas devem filtrar as tabelas em busca de dados relacionados a regras de análise. Use o parâmetro SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se desejar, você pode filtrar ainda mais a lista para um determinado tipo de regra de análise. Use o parâmetro SentinelResourceKind para isso.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Confira algumas consultas de exemplo para ajudar você a começar:

• Localize regras que não foram executadas com êxito:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Status != "Success"
  

• Localize as regras que foram "desabilitadas automaticamente":

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Reason == "The analytics rule is disabled and was not executed."
  

• Conte as regras e execuções que tiveram êxito ou falharam, por motivos de:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
  

• Localize a atividade de exclusão de regra:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | where Description =="Analytics rule deleted"
  

• Localize a atividade em regras, por nome da regra e nome da atividade:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
  

• Localize a atividade em regras, por nome do chamador (a identidade que executou a atividade):

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | extend Caller= tostring(ExtendedProperties.CallerName)
  | summarize Count = count() by Caller, Activity=Description
  

Status, erros e etapas sugeridas

Para a execução de regra de análise agendada ou execução de regra de análise NRT, você pode ver qualquer um dos seguintes status e descrições:

• Êxito: regra executada com êxito, gerando alertas <n>.

• Êxito: a regra foi executada com êxito, mas não atingiu o limite (<n>) necessário para gerar um alerta.

• Falha: estas são as descrições possíveis para a falha de regra e o que você pode fazer sobre elas.

  Descrição	Remediação
  Ocorreu um erro interno do servidor durante a execução da consulta.
  A execução da consulta atingiu o tempo limite.
  Uma tabela referenciada na consulta não foi encontrada.	Verifique se a respectiva fonte de dados está conectada.
  Ocorreu um erro semântico durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Uma função chamada pela consulta é nomeada com uma palavra reservada.	Remova ou renomeie a função.
  Ocorreu um erro de sintaxe durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  O espaço de trabalho não existe.
  Constatou-se que essa consulta usa muitos recursos do sistema e foi impedida de ser executada.	Examine e ajuste a regra de análise. Consulte nossa visão geral da Linguagem de Consulta Kusto e a documentação de práticas recomendadas.
  Uma função chamada pela consulta não foi encontrada.	Verifique a existência em seu workspace de todas as funções chamadas pela consulta.
  O workspace usado na consulta não foi encontrado.	Verifique se todos os workspaces na consulta existem.
  Você não tem permissões para executar essa consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Você não tem permissões de acesso a um ou mais dos recursos na consulta.
  A consulta se referia a um caminho de armazenamento que não foi encontrado.
  A consulta teve o acesso negado a um caminho de armazenamento.
  Várias funções com o mesmo nome são definidas neste workspace.	Remova ou renomeie a função redundante e redefina a regra editando-a e salvando-a.
  Essa consulta não retornou nenhum resultado.
  Vários conjuntos de resultados nesta consulta não são permitidos.
  Os resultados da consulta contêm um número inconsistente de campos por linha.
  A execução da regra foi atrasada devido a longos tempos de ingestão de dados.
  A execução da regra foi adiada devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas de mapeamento de entidade.
  <number> entidades foram descartadas no alerta <name> devido ao limite de tamanho do alerta de 32 KB.
  <number> entidades foram descartadas no alerta<name> devido a problemas de mapeamento de entidade.
  A consulta resultou em <number> eventos, que excede o número máximo de <limit> resultados permitidos para regras<rule type> com configuração de agrupamento de eventos de alerta por linha. O alerta por linha foi gerado para os primeiros <limit-1> eventos e um alerta agregado adicional foi gerado para levar em conta todos os eventos. – <number> = número de eventos retornados pela consulta – <limit> = no momento, 150 alertas para regras agendadas, 30 para regras NRT – <rule type> = agendado ou NRT

Usar a pasta de trabalho de monitoramento de integridade

1. Para disponibilizar a pasta de trabalho em seu workspace, você deve instalar a solução de pasta de trabalho no hub de conteúdo do Microsoft Sentinel:

   1. No portal do Microsoft Sentinel, selecione Hub de conteúdo (versão prévia) no menu Gerenciamento de conteúdo.

   2. No Hub de conteúdo, insira integridade na barra de pesquisa e selecione Auditoria e Análise de Integridade entre as soluções de Pasta de Trabalho em Autônomo nos resultados.

      

   3. Selecione Instalar no painel de detalhes e, em seguida, selecione Salvar que aparece em seu lugar.

2. Quando a solução indicar que está instalada, selecione Pastas de Trabalho no menu Gerenciamento de ameaças.

   

3. Na galeria Pastas de Trabalho, selecione a guia Modelos, insira integridade na barra de pesquisa e selecioneAuditoria e Integridade de Análise entre os resultados.

   

4. Selecione Salvar no painel de detalhes para criar uma cópia editável e utilizável da pasta de trabalho. Quando a cópia for criada, selecione Exibir pasta de trabalho salva.

5. Uma vez na pasta de trabalho, selecione a assinatura e o espaço de trabalho que você deseja exibir e defina o TimeRange para filtrar os dados de acordo com suas necessidades. Use a alternância Mostrar ajuda para exibir a explicação in-loco da pasta de trabalho.

   

Há três seções com guias nessa pasta de trabalho:

Guia Visão Geral

A guia Visão geral mostra resumos de integridade e auditoria:

• Resumos de integridade do status de execuções de regra de análise no workspace selecionado: número de execuções, êxitos e falhas e detalhes do evento de falha.
• Auditar resumos de atividades em regras de análise no workspace selecionado: número de atividades ao longo do tempo, número de atividades por tipo e número de atividades de diferentes tipos por regra.

Guia Integridade

A guia Integridade permite que você faça uma busca detalhada em eventos de integridade específicos.

• Filtre os dados inteiros da página por status (êxito/falha) e tipo de regra (agendado/NRT).
• Veja as tendências de execuções de regra bem-sucedidas e/ou com falha (dependendo do filtro de status) durante o período de tempo selecionado. Você pode "filtrar o tempo" do grafo de tendência para ver um subconjunto do intervalo de tempo original.
• Filtre o restante da página por motivo.
• Consulte o número total de execuções para todas as regras de análise, exibidas proporcionalmente por status em um gráfico de pizza.
• A seguir está uma tabela mostrando o número de regras de análise exclusivas executadas, divididas por tipo de regra e status.
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Veja cada status, com o número de possíveis motivos para esse status. (Somente os motivos representados nas execuções no período selecionado serão mostrados.)
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Em seguida, confira uma lista desses motivos, com o número total de execuções de regra combinadas e o número de regras exclusivas que foram executadas.
  • Selecione um motivo para filtrar os gráficos a seguir por esse motivo.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Depois disso, há uma lista das regras de análise exclusivas que foram executadas, com os resultados e as linhas de tendência mais recentes de êxito e/ou falha (dependendo do status selecionado para filtrar a lista).
  • Selecione uma regra para fazer drill down e mostrar uma nova tabela com todas as execuções dessa regra (no período selecionado).
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Se você selecionou uma regra na lista acima, uma nova tabela será exibida com os detalhes de integridade da regra selecionada.

Tipo de auditoria

A guia Auditoria permite que você faça uma busca detalhada em eventos de auditoria específicos.

• Filtre os dados da página inteira por tipo de regra de auditoria (agendada/Fusion).
• Confira as tendências da atividade auditada em regras de análise durante o período de tempo selecionado. Você pode "filtrar o tempo" do grafo de tendência para ver um subconjunto do intervalo de tempo original.
• Confira os números de eventos auditados, divididos por atividade e tipo de regra.
  • Selecione uma atividade para filtrar os gráficos a seguir para essa atividade.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Consulte o número de eventos auditados pelo nome da regra.
  • Selecione um nome de regra para filtrar a tabela a seguir para essa regra e fazer drill down e mostrar uma nova tabela com toda a atividade nessa regra (no período de tempo selecionado). (Veja após a captura de tela a seguir.)
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Confira o número de eventos auditados pelo chamador (a identidade que executou a atividade).
• Se você selecionou um nome de regra no gráfico descrito acima, outra tabela aparecerá mostrando as atividades auditadas nessa regra. Selecione o valor que aparece como um link na coluna ExtendedProperties para abrir um painel lateral exibindo as alterações feitas na regra.

Próximas etapas

• Monitorar e otimizar a execução de regras de análise no Microsoft Sentinel.
• Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras de automação e guias estratégicos.
• Monitore a integridade de seus conectores de dados.
• Confira mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit.