Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Importante

As deteções personalizadas são agora a melhor forma de criar novas regras no Microsoft Sentinel Microsoft Defender XDR SIEM. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.

As regras de análise quase em tempo real do Microsoft Sentinel fornecem deteção de ameaças atualizada. Este tipo de regra foi concebido para ser altamente reativo ao executar a consulta em intervalos de apenas um minuto de diferença.

Por enquanto, estes modelos têm uma aplicação limitada, conforme descrito abaixo, mas a tecnologia está a evoluir e a crescer rapidamente.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Ver regras quase em tempo real (NRT)

  1. No menu de navegação Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

  2. No ecrã Análise, com o separador Regrasativas selecionado, filtre a lista de modelos NRT:

    1. Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione NRT. Em seguida, selecione Aplicar.

Criar regras NRT

Pode criar regras NRT da mesma forma que cria regras regulares de análise de consultas agendadas:

  1. No menu de navegação Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

  2. Na barra de ação na parte superior da grelha, selecione +Criar e selecione Regra de consulta NRT. Esta ação abre o assistente de regras de Análise.

    Captura de ecrã a mostrar como criar uma nova regra NRT.

  1. Siga as instruções do assistente de regras de análise.

    A configuração das regras NRT é, na maioria das formas, igual à das regras de análise agendadas.

    • Pode consultar várias tabelas e listas de observação na sua lógica de consulta.

    • Pode utilizar todos os métodos de melhoramento de alertas: mapeamento de entidades, detalhes personalizados e detalhes do alerta.

    • Pode escolher como agrupar alertas em incidentes e suprimir uma consulta quando um determinado resultado tiver sido gerado.

    • Pode automatizar respostas a alertas e incidentes.

    • Pode executar a consulta de regra em várias áreas de trabalho.

    No entanto, devido à natureza e limitações das regras NRT, as seguintes funcionalidades das regras de análise agendada não estarão disponíveis no assistente:

    • O agendamento de consultas não é configurável, uma vez que as consultas são agendadas automaticamente para serem executadas uma vez por minuto com um período de pesquisa de um minuto.
    • O limiar de alerta é irrelevante, uma vez que é sempre gerado um alerta.
    • A configuração do agrupamento de eventos está agora disponível a um nível limitado. Pode optar por que uma regra NRT gere um alerta para cada evento até 30 eventos. Se escolher esta opção e a regra resultar em mais de 30 eventos, serão gerados alertas de evento único para os primeiros 29 eventos e um 30.º alerta irá resumir todos os eventos no conjunto de resultados.

    Além disso, devido aos limites de tamanho dos alertas, a consulta deve utilizar as project instruções para incluir apenas os campos necessários da tabela. Caso contrário, as informações que pretende apresentar podem acabar por ser truncadas.

Próximas etapas

Neste documento, aprendeu a criar regras de análise quase em tempo real (NRT) no Microsoft Sentinel.

  • Last updated on