Tutorial: Detectar ameaças usando regras de análise no Microsoft Sentinel

  • Artigo

Como um serviço SIEM (gerenciamento de eventos e informações de segurança), o Microsoft Sentinel é responsável por detectar ameaças de segurança à sua organização. Ele faz isso analisando os volumes massivos de dados gerados por todos os logs de seus sistemas.

Neste tutorial, você aprenderá a configurar uma regra de análise do Microsoft Sentinel com base em um modelo para pesquisar explorações da vulnerabilidade do Apache Log4j em seu ambiente. A regra enquadrará contas de usuário e endereços IP encontrados em seus logs como entidades rastreáveis, exibirá informações importantes nos alertas gerados pelas regras e empacotará alertas como incidentes a serem investigados.

Após concluir este tutorial, você poderá:

  • Criar uma regra de análise com base em um modelo
  • Personalizar a consulta e as configurações de uma regra
  • Configurar os três tipos de enriquecimento de alerta
  • Escolher respostas de ameaças automatizadas para suas regras

Pré-requisitos

Para concluir este tutorial, verifique se você tem:

  • Uma assinatura do Azure. Crie uma conta gratuita caso ainda não tenha uma.

  • Um workspace do Log Analytics com a solução Microsoft Sentinel implantada e dados sendo ingeridos.

  • Um usuário do Azure com a função Colaborador do Microsoft Sentinel atribuída no workspace do Log Analytics em que o Microsoft Sentinel está implantado.

  • As fontes de dados a seguir são referenciadas nessa regra. Quanto mais desses conectores você tiver implantado, mais eficaz será a regra. Você deve ter pelo menos um.

    Fonte de dados Tabelas do Log Analytics referenciadas
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (Insights da VM) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Firewall) CommonSecurityLog (PaloAlto)
    Eventos de segurança SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Atividades do Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Firewall do Azure AzureDiagnostics (Firewall do Azure)

Entrar no portal do Azure e no Microsoft Sentinel

  1. Entre no portal do Azure.

  2. Na barra de Pesquisa, pesquise pelo Microsoft Sentinel e selecione-o.

  3. Pesquise por seu workspace e selecione-o na lista de workspaces do Microsoft Sentinel disponíveis.

Instalar uma solução a partir do hub de conteúdo

  1. No Microsoft Sentinel, no menu do lado esquerdo, em Gerenciamento de conteúdo, selecione Hub de conteúdos.

  2. Pesquise e selecione a solução Detecção de Vulnerabilidades do Log4j.

  3. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

Criar uma regra de análise agendada com base em um modelo

  1. No Microsoft Sentinel, no menu do lado esquerdo, em Configuração, selecione Análise.

  2. Na página Análise, selecione a guia Modelos de regra.

  3. No campo de pesquisa na parte superior da lista de modelos de regra, insira log4j.

  4. Na lista filtrada de modelos, selecione Log4j vulnerability exploit aka Log4Shell IP IOC. No painel de detalhes, selecione Criar regra.

    Screenshot showing how to search for and locate template and create analytics rule.

    O Assistente de regra de análise será aberto.

  5. Na guia Geral, no campo Nome, insira Log4j vulnerability exploit aka Log4Shell IP IOC – Tutorial-1.

  6. Deixe o restante dos campos nesta página como estão. Esses são os padrões, mas adicionaremos a personalização ao nome do alerta em uma fase posterior.

    Se você não quiser que a regra seja executada imediatamente, selecione Desabilitada e a regra será adicionada à guia Regras ativas e você poderá habilitá-la nesse local quando precisar.

  7. Selecione Avançar: Definir lógica da regra. Screenshot of the General tab of the Analytics rule wizard.

Examinar a lógica de consulta da regra e a definição das configurações

  • Na guia Definir lógica de regra, examine a consulta conforme ela aparece no título Consulta de regra.

    Para ver mais do texto da consulta ao mesmo tempo, selecione o ícone de seta dupla diagonal no canto superior direito da janela de consulta para expandir a janela para um tamanho maior.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Enriquecer alertas com entidades e outros detalhes

  1. Em Enriquecimento de alerta, mantenha as configurações de Mapeamento de entidade como estão. Observe as três entidades mapeadas.

    Screenshot of existing entity mapping settings.

  2. Na seção Detalhes personalizados, vamos adicionar o carimbo de data/hora de cada ocorrência ao alerta, para que você possa vê-lo diretamente nos detalhes do alerta, sem precisar fazer uma busca detalhada.

    1. Digite timestamp no campo Chave. Esse será o nome da propriedade no alerta.
    2. Selecione timestamp na lista suspensa Valor.

  3. Na seção Detalhes do alerta, vamos personalizar o nome do alerta para que o carimbo de data/hora de cada ocorrência apareça no título do alerta.

    No campo Formato do nome do alerta, insira Log4j vulnerability exploit aka Log4Shell IP IOC at {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Examinar as configurações restantes

  1. Examine as configurações restantes na guia Definir lógica de regra. Não é necessário alterar nada, mas, se quiser, você pode alterar o intervalo, por exemplo. Apenas verifique se o período de pesquisa corresponde ao intervalo para manter uma cobertura contínua.

    • Agendamento de consulta:

      • Executar a consulta a cada 1 hora.
      • Pesquisar dados da última hora.

    • Limite de alerta:

      • Gerar alerta quando o número de resultados da consulta for maior que 0.

    • Agrupamento de eventos:

      • Configurar como os resultados da consulta de regra são agrupados em alertas: Agrupar todos os eventos em um único alerta.

    • Supressão:

      • Parar de executar a consulta depois que o alerta for gerado: Desativado.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Selecione Avançar: Configurações de incidente.

Examinar as configurações de criação de incidentes

  1. Examine as configurações na guia Configurações de incidente. Não é necessário alterar nada, a menos que, por exemplo, você tenha um sistema diferente para criação e gerenciamento de incidentes. Nesse caso, seria interessante desabilitar a criação de incidentes.

    • Configurações de Incidentes:

      • Criar incidentes com base em alertas disparados por esta regra de análise: Habilitado.

    • Agrupamento de alertas:

      • Agrupar em incidentes os alertas relacionados disparados por essa regra de análise: Desabilitado.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Selecione Avançar: Resposta automatizada.

Definir respostas automatizadas e criar a regra

Na guia Resposta automatizada:

  1. Selecione + Adicionar nova para criar uma regra de automação para essa regra de análise. Isso abrirá o assistente Criar regra de automação.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. No campo Nome da regra de automação, insira Log4J vulnerability exploit detection – Tutorial-1.

  3. Deixe as seções Gatilho e Condições como estão.

  4. Em Ações, selecione Adicionar marcas na lista suspensa.

    1. Selecione + Adicionar.
    2. Insira Log4J exploit na caixa de texto e selecione OK.

  5. Deixe as seções Expiração da regra e Ordem como estão.

  6. Escolha Aplicar. Em breve você verá sua nova regra de automação na lista da guia Resposta automatizada.

  7. Selecione Avançar: Revisar para examinar todas as configurações de sua nova regra de análise. Quando a mensagem "Validação aprovada" for exibida, selecione Criar. A menos que você defina a regra como Desabilitada na guia Geral acima, a regra será executada imediatamente.

    Selecione a imagem abaixo para uma exibição da revisão completa (a maior parte do texto da consulta foi recortada para melhor visualização).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Verificar o êxito da regra

  1. Para ver os resultados das regras de alerta que você cria, acesse a página Incidentes.

  2. Para filtrar a lista de incidentes e ver somente aqueles gerados pela regra de análise, insira o nome (ou parte do nome) da regra de análise que você criou na barra Pesquisar.

  3. Abra um incidente cujo título corresponda ao nome da regra de análise. Veja se o sinalizador que você definiu na regra de automação foi aplicado ao incidente.

Limpar os recursos

Se você não pretende continuar usando essa regra de análise, exclua (ou pelo menos desabilite) as regras de análise e automação criadas por meio das seguintes etapas:

  1. Na página Análise, selecione a guia Regras ativas.

  2. Insira o nome (ou parte do nome) da regra de análise criada na barra Pesquisar.
    (Se ele não aparecer, verifique se todos os filtros estão definidos como Selecionar tudo.)

  3. Marque a caixa de seleção ao lado da regra na lista e selecione Excluir na faixa superior.
    (Se não quiser excluí-lo, selecione Desabilitar em vez disso.)

  4. Na página Automação, selecione a guia Regras de automação.

  5. Insira o nome (ou parte do nome) da regra de automação criada na barra de Pesquisa.
    (Se ele não aparecer, verifique se todos os filtros estão definidos como Selecionar tudo.)

  6. Marque a caixa de seleção ao lado da regra de automação na lista e selecione Excluir na faixa superior.
    (Se não quiser excluí-lo, selecione Desabilitar em vez disso.)

Próximas etapas

Agora que você aprendeu a pesquisar explorações de uma vulnerabilidade comum usando regras de análise, veja o que mais você pode fazer com a análise no Microsoft Sentinel: