Criar uma regra de análise personalizada do zero

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Você configurou conectores e outros meios de coletar dados de atividade em sua propriedade digital. Agora você precisa examinar todos esses dados para detectar padrões de atividade e descobrir atividades que não se encaixam nesses padrões e que podem representar uma ameaça à segurança.

O Microsoft Sentinel e suas várias soluções fornecidas no Hub de Conteúdo oferecem modelos para os tipos mais usados de regras de análise. Recomendamos que você use esses modelos, personalizando-os para se adequarem aos seus cenários específicos. Mas é possível que você precise de algo completamente diferente, portanto, nesse caso, você pode criar uma regra do zero, usando o assistente de regra de análise.

Este artigo apresenta o Assistente de regra de análise e explica todas as opções disponíveis. Ele é acompanhado por capturas de tela e instruções para acessar o assistente no portal do Azure, para usuários do Microsoft Sentinel que também não são assinantes do Microsoft Defender, e no portal do Defender, para usuários da plataforma unificada de operações de segurança do Microsoft Defender.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

• Você deve ter a função Colaborador do Microsoft Sentinel ou qualquer outra função ou conjunto de permissões que inclua permissões de gravação em seu workspace do Log Analytics e seu grupo de recursos.

Projetar e criar sua consulta

Antes de mais nada, você deve projetar e criar uma consulta na KQL (Linguagem de Consulta Kusto) que sua regra usará para consultar uma ou mais tabelas em seu workspace do Log Analytics.

1. Determine uma fonte de dados que você deseja pesquisar para detectar atividades incomuns ou suspeitas. Localize o nome da tabela do Log Analytics na qual os dados dessa fonte são ingeridos. Você pode encontrar o nome da tabela na página do conector de dados dessa fonte. Use o nome de tabela (ou uma função com base nela) como fundamento para sua consulta.

2. Decida que tipo de análise você quer que essa consulta execute na tabela. Essa decisão determinará quais comandos e funções você deve usar na consulta.

3. Decida quais elementos de dados (campos, colunas) você quer dos resultados da consulta. Essa decisão determinará como você vai estruturar a saída da consulta.

Melhores práticas para consultas de regra de análise

• É recomendável usar um analisador ASIM (Modelo de Informação de Segurança Avançada) como fonte de consulta, em vez de usar uma tabela nativa. Isso garantirá que a consulta dê suporte a qualquer fonte de dados relevante atual ou futura ou família de fontes de dados, em vez de depender de apenas uma fonte de dados.

• O comprimento da consulta deve ter entre 1 e 10.000 caracteres e não pode conter "search *" ou "union *". Você pode usar as funções definidas pelo usuário para superar a limitação do comprimento da consulta.

• Não há suportepara o uso de funções ADX para criar consultas do Azure Data Explorer dentro da janela de consulta do Log Analytics.

• Ao usar a função bag_unpackem uma consulta, se você projetar as colunas como campos usando "project field1" e a coluna não existir, a consulta falhará. Para evitar que isso aconteça, você deve projetar a coluna da seguinte maneira:

  project field1 = column_ifexists("field1","")

Para obter mais ajuda na criação de consultas Kusto, consulte Linguagem de Consulta Kusto no Microsoft Sentinel e Melhores práticas para consultas em Linguagem de Consulta Kusto.

Crie e teste suas consultas na tela Logs. Quando gostar do resultado, salve a consulta para uso em sua regra.

Criar sua regra de análise

Esta seção descreve como criar uma regra usando os portais do Azure ou do Defender.

Iniciar o assistente de regra de análise

Portal do Azure

1. Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

2. Na barra de ação na parte superior, selecione + criar e selecione regra de consulta agendada. Isso abre o Assistente de regra de análise.

   

Portal do Defender

1. No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

2. Na barra de ação, acima da grade, selecione + Criar e selecione Regra de consulta agendada. Isso abre o Assistente de regra de análise.

   

Nomeie a regra e defina informações gerais

No portal do Azure, os estágios são representados visualmente como guias. No portal do Defender, eles são representados visualmente como marcos em uma linha do tempo. Confira os exemplos nas capturas de tela abaixo.

1. Forneça um nome exclusivo e uma descrição.

2. Defina a Severidade do alerta conforme apropriado, correspondendo ao impacto que a atividade que dispara a regra pode ter no ambiente de destino, caso a regra seja um verdadeiro positivo.

   Severidade	Descrição
   Informativo	Nenhum impacto em seu sistema, mas as informações podem ser indicativas de etapas futuras planejadas por um ator de ameaça.
   Baixa	O impacto imediato seria mínimo. Um ator de ameaça provavelmente precisaria realizar várias etapas antes de obter um impacto em um ambiente.
   Médio	O ator de ameaça pode ter algum impacto sobre o ambiente com essa atividade, mas seria limitado no escopo ou exigiria atividade adicional.
   Alto	A atividade identificada fornece ao ator de ameaças amplo acesso para realizar ações no ambiente ou é disparada pelo impacto no ambiente.

   Os padrões de nível de gravidade não são uma garantia do nível de impacto atual ou ambiental. Personalize os detalhes do alerta para personalizar a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta com os valores de quaisquer campos relevantes de uma saída de consulta.

   As definições de severidade para modelos de regra de análise do Microsoft Sentinel são relevantes apenas para alertas criados por regras de análise. Para alertas ingeridos de outros serviços, a gravidade é definida pelo serviço de segurança de origem.

3. No campo Táticas e técnicas, você pode escolher entre as categorias de atividades de ameaça pelas quais classificar a regra. Elas se baseiam nas táticas e técnicas da estrutura MITRE ATT&CK.

   Incidentes criados a partir de alertas detectados por regras mapeadas para táticas e técnicas MITRE ATT&CK herdam automaticamente o mapeamento da regra.

   Para obter mais informações sobre como maximizar sua cobertura do cenário de ameaças MITRE ATT&CK, consulte Noções básicas sobre a cobertura de segurança da estrutura MITRE ATT&CK®

4. Quando você cria a regra, seu status é habilitado por padrão, o que significa que ela será executada imediatamente depois que você terminar de criá-la. Se você não quiser que ele seja executado imediatamente, selecione desabilitadoe a regra será adicionada à guia regras ativas e você poderá habilitá-la a partir daí, quando precisar.

   Observação

   Há outra maneira, atualmente em versão prévia, de criar uma regra sem que ela seja executada imediatamente. Você pode agendar a regra para ser executada pela primeira vez em uma data e hora específicas. Consulte Agendar e definir o escopo da consulta abaixo.

5. Selecione Avançar: Definir lógica da regra.

   Portal do Azure

   

   Portal do Defender

   

---

Definir a lógica da regra

1. Insira uma consulta para sua regra.

   Cole a consulta que você projetou, criou e testou na janela Consulta de regra. Cada alteração que você fizer nesta janela será validada instantaneamente, portanto, se houver erros, você verá uma indicação logo abaixo da janela.

2. Mapeie entidades.

   As entidades são essenciais para detectar e investigar ameaças. Mapeie os tipos de entidade reconhecidos pelo Microsoft Sentinel em campos nos resultados da sua consulta. Esse mapeamento integra as entidades descobertas ao campo Entidades no esquema de alerta.

   Para obter instruções completas sobre entidades de mapeamento, consulte Mapear campos de dados para entidades no Microsoft Sentinel.

3. Destaque detalhes personalizados em seus alertas.

   Por padrão, somente metadados e entidades de alerta são visíveis em incidentes sem detalhar os eventos brutos nos resultados da consulta. Esta etapa usa outros campos nos resultados da consulta e os integra ao campo ExtendedProperties em seus alertas, fazendo com que eles sejam exibidos antecipadamente em seus alertas e em incidentes criados a partir desses alertas.

   Para obter instruções completas sobre como exibir detalhes personalizados, consulte Destacar detalhes do evento personalizado em alertas no Microsoft Sentinel.

4. Personalize detalhes do alerta.

   Essa configuração permite personalizar propriedades de alerta não padrão de acordo com o conteúdo de vários campos em cada alerta individual. Essas personalizações são integradas ao campo ExtendedProperties em seus alertas. Por exemplo, você pode personalizar a descrição ou o nome do alerta para incluir um nome de usuário ou endereço IP apresentado no alerta.

   Para obter instruções completas sobre como personalizar detalhes do alerta, consulte Personalizar detalhes do alerta no Microsoft Sentinel.

5. Agende e defina o escopo da consulta.

   1. Defina os seguintes parâmetros na seção Agendamento de consulta:

      Configuração	Comportamento
      Executar consulta a cada	Controla o intervalo de consulta: com que frequência a consulta é executada.
      Pesquisar nos dados das últimas	Determina o período de pesquisa: o período de tempo coberto pela consulta.

      • O intervalo permitido para ambos os parâmetros é de 5 minutos a 14 dias.

      • O intervalo de consulta deve ser menor ou igual ao período de pesquisa. Se for menor, os períodos de consulta vão se sobrepor e isso pode causar duplicação de resultados. No entanto, a validação da regra não permitirá que você defina um intervalo maior do que o período de pesquisa, pois isso resultaria em lacunas na cobertura.

   2. Defina Iniciar execução:

      Configuração	Comportamento
      Automaticamente	A regra será executada pela primeira vez imediatamente após ser criada e, depois disso, no intervalo definido na configuração Executar consulta a cada.
      Em um horário específico (versão prévia)	Defina uma data e hora para a primeira execução da regra, após a qual ela será executada no intervalo definido na configuração Executar consulta a cada.

      • A hora de início da execução deve estar entre 10 minutos e 30 dias após o tempo de criação (ou habilitação) da regra.

      • A linha de texto na configuração Iniciar execução (com o ícone de informações à esquerda) resume as configurações atuais de agendamento e de retorno de consulta.

        

      Portal do Azure

      

      Portal do Defender

      

   Observação

   Atraso de ingestão

   Considerando a latência que pode ocorrer entre a geração de um evento na origem e sua ingestão no Microsoft Sentinel, e para garantir a cobertura completa sem a duplicação de dados, o Microsoft Sentinel executa regras de análise agendadas em um atraso de cinco minutos em relação ao horário agendado.

   Para saber mais informações, confira Tratar atraso de ingestão em regras de análise agendada.

6. Defina o limite para a criação de alertas.

   Use a seção limite de alerta para definir o nível de sensibilidade da regra.

   • Defina Gerar alerta quando o número de resultados da consulta como For maior que e insira o número mínimo de eventos que precisam ser encontrados durante o período de tempo da consulta para que a regra gere um alerta.
   • Esse é um campo obrigatório, portanto, se você não quiser definir um limite, ou seja, se quiser disparar o alerta para um único evento em um determinado período de tempo, insira 0 no campo numérico.

7. Defina as configurações de agrupamento de eventos.

   Em agrupamento de eventos, escolha uma das duas maneiras de lidar com o agrupamento de eventos em alertas:

   Configuração	Comportamento
   Agrupar todos os eventos em um único alerta (padrão)	A regra gera um único alerta toda vez que ele é executado, desde que a consulta retorne mais resultados do que o limite de alerta especificado acima. Esse único alerta resume todos os eventos retornados nos resultados da consulta.
   Disparar um alerta para cada evento	A regra gera um alerta exclusivo para cada evento retornado pela consulta. Isso será útil se você quiser que os eventos sejam exibidos individualmente ou se quiser agrupá-los por determinados parâmetros: por usuário, nome do host ou outra coisa. Você pode definir esses parâmetros na consulta.

   As regras de análise podem gerar até 150 alertas. Se Agrupamento de eventos estiver definido como Disparar um alerta para cada evento e a consulta da regra retornar mais de 150 eventos, cada um dos primeiros 149 eventos gerará um alerta exclusivo (dos 149 alertas) e o alerta 150º resumirá todo o conjunto de eventos retornados. Em outras palavras, o alerta 150º é o que teria sido gerado se a opção Agrupamento de evento estivesse definido como Agrupar todos os eventos em um único alerta.

8. Suprima temporariamente a regra após a geração de um alerta.

   Na seção supressão, você pode desativar a configuração parar a execução da consulta após o alerta ser geradoem se, depois de receber um alerta, você deseja suspender a operação dessa regra por um período de tempo excedendo o intervalo de consulta. Se você ativar essa opção, deverá definir parar a execução da consulta para o tempo durante o qual a consulta deve parar de ser executada, até 24 horas.

9. Simule os resultados das configurações de consulta e lógica.

   Na área Simulação de resultados, selecione Testar com os dados atuais e o Microsoft Sentinel mostrará um grafo dos resultados (eventos de log) que a consulta teria gerado nas últimas 50 vezes em que teria sido executada, de acordo com o agendamento definido no momento. Se você modificar a consulta, selecione testar com os dados atuais novamente para atualizar o grafo. O grafo mostra o número de resultados no período de tempo definido, que é determinado pelas configurações na seção agendamento de consulta.

   Esta é a aparência da simulação de resultados para a consulta na captura de tela acima. O lado esquerdo é a exibição padrão e o lado direito é o que você vê quando passa o mouse sobre um ponto no tempo no grafo.

   

   Se perceber que sua consulta dispararia muitos alertas ou alertas muito frequentes, você pode experimentar as configurações nas seções Agendamento de consulta e Limite de alerta e selecionar Testar com os dados atuais novamente.

10. Selecione Avançar: Configurações de incidente.

Definir as configurações de criação de incidentes

Na guia Configurações de incidente, escolha se o Microsoft Sentinel transforma alertas em incidentes acionáveis e se e como os alertas são agrupados em incidentes.

1. Habilite a criação de incidentes.

   Na seção configurações de incidente, Criar incidentes de alertas disparados por essa regra de análise é definido por padrão como habilitado, o que significa que o Microsoft Sentinel criará um único incidente separado de cada um e de todos os alertas disparados pela regra.

   • Se você não quiser que essa regra resulte na criação de quaisquer incidentes (por exemplo, se essa regra for apenas para coletar informações para análise subsequente), defina isso como desabilitado.

     Importante

     Se você integrou o Microsoft Sentinel à plataforma unificada de operações de segurança no portal do Microsoft Defender e essa regra está consultando e criando alertas de fontes do Microsoft 365 ou do Microsoft Defender, você deve definir essa configuração como Desabilitada.

   • Se você quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, consulte a próxima seção.

2. Defina as configurações de agrupamento de alertas.

   Na seção agrupamento de alertas, se você quiser que um único incidente seja gerado a partir de um grupo de até 150 alertas semelhantes ou recorrentes (consulte a observação), defina alertas relacionados ao grupo, disparados por essa regra de análise, em incidentes a serem habilitadose defina os parâmetros a seguir.

   1. Limitar o grupo aos alertas criados dentro do período de tempo selecionado: Determine o intervalo de tempo no qual os alertas semelhantes ou recorrentes serão agrupados juntos. Todos os alertas correspondentes nesse período de tempo gerarão coletivamente um incidente ou um conjunto de incidentes (dependendo das configurações de agrupamento abaixo). Os alertas fora desse período de tempo gerarão um incidente separado ou um conjunto de incidentes.

   2. Os alertas de grupo disparados por essa regra de análise em um único incidente: escolha a base em que os alertas serão agrupados juntos:

      Opção	Descrição
      Agrupar alertas em um único incidente se todas as entidades corresponderem	Os alertas são agrupados se compartilharem valores idênticos para cada uma das entidades mapeadas (definidas na guia definir lógica de regra acima). Esta é a configuração recomendável.
      Agrupar todos os alertas disparados por essa regra em um único incidente	Todos os alertas gerados por essa regra são agrupados em conjunto mesmo que não compartilhem valores idênticos.
      Agrupar alertas em um único incidente se as entidades e os detalhes selecionados corresponderem	Os alertas serão agrupados se compartilharem valores idênticos para todas as entidades mapeadas, detalhes de alerta e detalhes personalizados selecionados nas respectivas listas suspensas. Você talvez queira usar essa configuração se, por exemplo, desejar criar incidentes separados com base nos endereços IP de origem ou de destino, ou se desejar agrupar alertas que correspondam a uma entidade e severidade específicas. Observação: ao selecionar essa opção, você deve ter pelo menos um tipo de entidade ou campo selecionado para a regra. Caso contrário, a validação da regra falhará e a regra não será criada.

   3. Reabrir incidentes de correspondência fechados: se um incidente tiver sido resolvido e fechado, e posteriormente em outro alerta for gerado que deve pertencer a esse incidente, defina essa configuração como habilitada se você quiser que o incidente fechado seja reaberto e deixe como desabilitado se desejar que o alerta crie um novo incidente.

   Observação

   Até 150 alertas podem ser agrupados em um único incidente.

   • O incidente só será criado após a geração de todos os alertas. Todos os alertas serão adicionados ao incidente imediatamente após a criação.

   • Se mais de 150 alertas forem gerados por uma regra que os agrupa em um único incidente, um novo incidente será gerado com os mesmos detalhes de incidente que o original e os alertas em excesso serão agrupados no novo incidente.

3. Selecione Avançar: Resposta automatizada.

   Portal do Azure

   

   Portal do Defender

   

Definir respostas automatizadas e criar a regra

Na guia Respostas automatizadas, você pode usar as regras de automação para definir respostas automatizadas para ocorrer em qualquer um dos três tipos de ocasiões:

• Quando um alerta é gerado por essa regra de análise.
• Quando um incidente é criado a partir de alertas gerados por essa regra de análise.
• Quando um incidente é atualizado com alertas gerados por essa regra de análise.

A grade exibida nas Regras de automação mostra as regras de automação que já se aplicam a essa regra de análise (devido ao cumprimento das condições definidas nessas regras). Você pode editar uma delas selecionando o nome da regra ou as reticências no final de cada linha. Ou você pode selecionar Adicionar nova para criar uma regra de automação.

Use as regras de automação para realizar triagem básica, atribuição, fluxo de trabalho e fechamento de incidentes.

Automatize tarefas mais complexas e invoque respostas de sistemas remotos para corrigir ameaças, ao chamar guias estratégicos dessas regras de automação. Você pode invocar guias estratégicos para incidentes, bem como para alertas individuais.

• Para obter mais informações e instruções sobre a criação de guias estratégicos e as regras de automação, confira Automatizar respostas a ameaças.

• Para obter mais informações sobre quando usar o gatilho criado pelo incidente, o gatilho atualizado pelo incidente ou o gatilho criado pelo alerta, confira a seção Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel.

Portal do Azure

Portal do Defender

• Em Automação de alertas (clássico), na parte inferior da tela, você verá todos os guias estratégicos configurados para serem executados automaticamente quando um alerta for gerado usando o método antigo.

  • A partir de junho de 2023, você não poderá mais adicionar guias estratégicos a esta lista. Os guias estratégicos já listados aqui continuarão a ser executados até que esse método seja preterido, a partir de março de 2026.

  • Se você ainda tiver algum dos guias estratégicos listados aqui, deverá criar uma regra de automação com base no gatilho criado pelo alerta e invocar o guia estratégico a partir da regra de automação. Depois de fazer isso, selecione as reticências no final da linha do guia estratégico listado aqui e selecione Remover. Confira Migrar seus guias estratégicos de gatilho de alerta do Microsoft Sentinel para regras de automação para ver instruções completas.

Selecione Avançar: revisar e criar para revisar todas as configurações da sua nova regra de alerta. Quando a mensagem "Validação aprovada" for exibida, selecione Criar.

Portal do Azure

Portal do Defender

Exibir a regra e sua saída

Ver a definição de regra:

• Você pode encontrar sua regra personalizada recém-criada (do tipo "agendado") na tabela sob a guia regras ativas na tela principal da análise. Nessa lista, você pode habilitar, desabilitar ou excluir cada regra.

Veja os resultados da regra:

Portal do Azure

• Para exibir os resultados das regras de análise que você criou no portal do Azure, vá para a página Incidentes, onde você pode fazer a triagem e investigar incidentes e corrigir ameaças.

Portal do Defender

• Para ver os resultados das regras de análise que você criou no portal do Defender, expanda Investigação e resposta no menu de navegação e, em seguida, Incidentes e alertas. Veja incidentes na página Incidentes, onde é possível fazer a triagem e investigar incidentes e corrigir as ameaças. Veja alertas individuais na página Alertas.

Ajuste a regra:

• Você pode atualizar a consulta de regra para excluir falsos positivos. Para saber mais, confira Tratar falsos positivos no Microsoft Sentinel.

Observação

Os alertas gerados no Microsoft Sentinel estão disponíveis por meio do Microsoft Graph Security. Para obter mais informações, consulte a documentação de alertas de segurança do Microsoft Graph.

Exportar a regra para um modelo do ARM

Se desejar empacotar sua regra para ser gerenciada e implantada como código, você poderá exportar facilmente a regra para um modelo do Azure Resource Manager (ARM). Você também pode importar regras de arquivos de modelo para exibi-las e editá-las na interface do usuário.

Próximas etapas

Ao usar regras de análise para detectar ameaças do Microsoft Sentinel, habilite todas as regras associadas às fontes de dados conectadas para garantir a cobertura de segurança total para o ambiente.

Para automatizar a habilitação de regras, efetue push das regras para o Microsoft Sentinel por meio da API e do PowerShell, embora isso exija um esforço adicional. Ao usar a API ou o PowerShell, você precisa primeiro exportar as regras ao JSON para depois habilitar as regras. A API ou o PowerShell pode ser útil ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.

Para saber mais, veja:

• Solução de problemas de regras de análise no Microsoft Sentinel
• Navegar e investigar incidentes no Microsoft Sentinel
• Entidades no Microsoft Sentinel
• Tutorial: usar guias estratégicos com regras de automação no Microsoft Sentinel

Além disso, veja um exemplo de como usar regras de análise personalizadas ao monitorar o Zoom com um conector personalizado.