Trabalhar com regras de análise de detecção de anomalias no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os recurso de anomalias personalizáveis do Microsoft Sentinel fornecem modelos de anomalias integrados para valor imediato pronto para uso. Esses modelos de anomalias foram desenvolvidos para serem robustos usando milhares de fontes de dados e milhões de eventos, mas esse recurso também permite alterar facilmente os limites e parâmetros para as anomalias na interface do usuário. As regras de anomalias são habilitadas ou ativadas, por padrão, para que gerem anomalias prontas para uso. Você pode encontrar e consultar essas anomalias na tabela Anomalias na seção Logs.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Exibir modelos de regra de anomalias personalizáveis

Agora você pode encontrar regras de anomalias exibidas em uma grade na guia Anomalias da página Análise.

1. Para usuários do Microsoft Sentinel no portal do Azure, selecione Análise no menu de navegação do Microsoft Sentinel.

   Para usuários da plataforma de operações de segurança unificada no portal do Microsoft Defender, selecione Microsoft Sentinel> Configuração > Análise no menu de navegação do Microsoft Defender.

2. Na página Análise, selecione a guia Anomalias.

3. Para filtrar a lista por um ou mais dos critérios a seguir, selecione Adicionar filtro e escolha adequadamente.

   • Status: indica se a regra está habilitada ou desabilitada.

   • Táticas: as táticas da estrutura MITRE ATT&CK cobertas pela anomalia.

   • Técnicas: as técnicas da estrutura MITRE ATT&CK cobertas pela anomalia.

   • Fontes de dados: o tipo de logs que precisa ser ingerido e analisado para que a anomalia seja definida.

4. Selecione uma regra e exiba as seguintes informações no painel de detalhes:

   • Descrição explica como a anomalia funciona e os dados necessários.

   • Táticas e técnicas são as táticas e técnicas da estrutura MITRE ATT&CK cobertas pela anomalia.

   • Parâmetros são os atributos configuráveis para a anomalia.

   • Limite é um valor configurável que indica o grau em que um evento deve ser incomum antes que uma anomalia seja criada.

   • Frequência da regra é o tempo entre trabalhos de processamento de log que encontram as anomalias.

   • O status da regra informa se a regra é executada no modo de Produção ou de Pré-lançamento (preparo) quando habilitada.

   • Versão da anomalia mostra a versão do modelo usada por uma regra. Se você quiser alterar a versão usada por uma regra que já está ativa, deverá recriar a regra.

As regras fornecidas com o Microsoft Sentinel prontas para uso não podem ser editadas nem excluídas. Para personalizar uma regra, primeiro, você precisa criar uma duplicata da regra e, depois, personalizar a duplicata. Confira as instruções completas.

Observação

Por que há um botão Editar se a regra não pode ser editada?

Embora não seja possível alterar a configuração de uma regra de anomalias pronta para uso, você pode fazer duas coisas:

1. Você pode alternar o status da regra entre Produção e Pré-lançamento.

2. Você pode enviar comentários à Microsoft sobre sua experiência com as anomalias personalizáveis.

Avaliar a qualidade das anomalias

Você pode ver o desempenho de uma regra de anomalias revendo uma amostra das anomalias criadas por uma regra no último período de 24 horas.

1. Para usuários do Microsoft Sentinel no portal do Azure, selecione Análise no menu de navegação do Microsoft Sentinel.

   Para usuários da plataforma de operações de segurança unificada no portal do Microsoft Defender, selecione Microsoft Sentinel> Configuração > Análise no menu de navegação do Microsoft Defender.

2. Na página Análise, selecione a guia Anomalias.

3. Selecione a regra que deseja avaliar e copie a ID dela na parte superior do painel de detalhes à direita.

4. No menu de navegação do Microsoft Sentinel, selecione Logs.

5. Se uma galeria de Consultas aparecer na parte superior, feche-a.

6. Selecione a guia Tabelas no painel esquerdo da página Logs.

7. Defina o filtro Intervalo de tempo como Últimas 24 horas.

8. Copie a consulta Kusto abaixo e cole-a na janela de consulta (em que ela diz "Digite sua consulta aqui ou..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Cole a ID da regra que você copiou acima no lugar de <RuleId> entre as aspas.

9. Selecione Executar.

Quando você tiver alguns resultados, poderá começar a avaliar a qualidade das anomalias. Se você não tiver resultados, tente aumentar o intervalo de tempo.

Expanda os resultados de cada anomalia e expanda o campo AnomalyReasons. Isso dirá por que a anomalia foi disparada.

A "razoabilidade" ou "utilidade" de uma anomalia pode depender das condições do seu ambiente, mas um motivo comum para uma regra de anomalia produzir muitas anomalias é que o limite está muito baixo.

Ajustar regras de anomalias

Embora as regras de anomalias sejam projetadas para máxima eficácia e uso imediato, cada situação é exclusiva e, às vezes, as regras de anomalias precisam ser ajustadas.

Como não é possível editar uma regra ativa original, primeiro você deve duplicar a regra de anomalia ativa e, em seguida, personalizar a cópia.

A regra de anomalia original continuará em execução até que você a desabilite ou exclua.

Isso é por design, para proporcionar a oportunidade de comparar os resultados gerados pela configuração original com a nova. As regras duplicadas são desabilitadas por padrão. Você só pode fazer uma cópia personalizada de qualquer regra de anomalia. As tentativas de fazer uma segunda cópia falharão.

1. Para alterar a configuração de uma regra de anomalias, selecione-a na lista da guia Anomalias.

2. Clique com o botão direito do mouse em qualquer lugar na linha da regra ou clique com o botão esquerdo nas reticências (…) no final da linha e selecione Duplicar no menu de contexto.

   Uma nova regra será exibida na lista, com as seguintes características:

   • O nome da regra será o mesmo que o original, com " – Personalizado" acrescentado ao final.
   • O status da regra será Desabilitado.
   • O selo FLGT será exibido no início da linha para indicar que a regra está no modo Pré-lançamento.

3. Para personalizar essa regra, selecione a regra e escolha Editar no painel de detalhes ou no menu de contexto da regra.

4. A regra é aberta no assistente de regra do Analytics. Aqui você pode alterar os parâmetros e o limite da regra. Os parâmetros que podem ser alterados variam de acordo com cada tipo de anomalia e algoritmo.

   Você pode visualizar os resultados das alterações no painel Visualização de resultados. Selecione uma ID da Anomalia na visualização de resultados para ver por que o modelo de ML identifica essa anomalia.

5. Habilita a regra personalizada para gerar resultados. Algumas das alterações podem exigir que a regra seja executada novamente. Portanto, você deve aguardar a execução ser concluída e voltar para verificar os resultados na página de logs. A regra de anomalia personalizada é executada no modo de Liberação de versões de pré-lançamento (teste) por padrão. A regra original continua em execução no modo de Produção por padrão.

6. Para comparar os resultados, volte à tabela Anomalias em Logs para avaliar a nova regra como antes. Use apenas a consulta a seguir para procurar anomalias geradas pela regra original, bem como a regra duplicada.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Cole a ID da regra que você copiou da regra original no lugar de <RuleId> entre as aspas. O valor de AnomalyTemplateId nas regras originais e duplicadas é idêntico ao valor de RuleId na regra original.

Se você estiver satisfeito com os resultados da regra personalizada, volte à guia Anomalias, selecione a regra personalizada, escolha botão Editar e, na guia Geral, mude-a de Pré-lançamento para Produção. A regra original mudará automaticamente para Liberação de versões de pré-lançamento, pois você não pode ter duas versões da mesma regra em produção ao mesmo tempo.

Próximas etapas

Neste documento, você aprendeu a trabalhar com regras de análise de detecção de anomalias personalizáveis no Microsoft Sentinel.

• Obter algumas informações em segundo plano sobre o Anomalias personalizáveis.
• Veja os tipos de anomalias disponíveis no Microsoft Sentinel.
• Explore outros tipos de regra de análise.