Create e gerenciar regras de detecção personalizadas

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Regras de detecção personalizadas são regras que você pode projetar e ajustar usando consultas de caça avançadas . Essas regras permitem monitorar proativamente vários eventos e estados do sistema, incluindo suspeita de atividade de violação e pontos de extremidade mal configurados. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.

Permissões necessárias para gerenciar detecções personalizadas

Para gerenciar detecções personalizadas, você precisa ter uma destas funções:

  • Configurações de segurança (gerenciar)— Os usuários com essa permissão Microsoft Defender XDR podem gerenciar as configurações de segurança no portal Microsoft Defender.

  • Administrador de segurança— Os usuários com essa função Microsoft Entra podem gerenciar as configurações de segurança no portal Microsoft Defender e em outros portais e serviços.

  • Operador de segurança — os usuários com essa função Microsoft Entra podem gerenciar alertas e ter acesso global somente leitura a recursos relacionados à segurança, incluindo todas as informações no portal Microsoft Defender. Essa função só será suficiente para gerenciar detecções personalizadas se o RBAC (controle de acesso baseado em função) for desativado no Microsoft Defender para Ponto de Extremidade. Se você tiver o RBAC configurado, também precisará da permissão gerenciar configurações de segurança para o Defender para Ponto de Extremidade.

Você também pode gerenciar detecções personalizadas que se aplicam a dados de soluções Microsoft Defender XDR específicas se tiver permissões para elas. Se você tiver permissões de gerenciamento apenas para Microsoft Defender para Office 365, por exemplo, poderá criar detecções personalizadas usando Email tabelas, mas não Identity tabelas.

Observação

Para gerenciar detecções personalizadas, os operadores de segurança precisarão da permissão gerenciar configurações de segurança no Microsoft Defender para Ponto de Extremidade se o RBAC estiver ativado.

Para gerenciar as permissões necessárias, um administrador global pode:

  • Atribua a função de administrador de segurança ou operador de segurança em Centro de administração do Microsoft 365 em Funções>Administrador de segurança.
  • Verifique as configurações do RBAC para obter Microsoft Defender para Ponto de Extremidade em Microsoft Defender XDR emFunçõesde Permissões>de Configurações>. Selecione a função correspondente para atribuir a permissão gerenciar configurações de segurança .

Observação

Um usuário também precisa ter as permissões apropriadas para os dispositivos no escopo do dispositivo de uma regra de detecção personalizada que eles estão criando ou editando antes que possam prosseguir. Um usuário não poderá editar uma regra de detecção personalizada com escopo para ser executada em todos os dispositivos, se o mesmo usuário não tiver permissões para todos os dispositivos.

Create uma regra de detecção personalizada

1. Preparar a consulta

No portal Microsoft Defender, vá para a caça avançada e selecione uma consulta existente ou crie uma nova consulta. Ao usar uma nova consulta, execute a consulta para identificar erros e compreender os possíveis resultados.

Importante

Para evitar que o serviço retorne muitos alertas, cada regra é limitada a gerar apenas 100 alertas sempre que for executada. Antes de criar uma regra, ajuste sua consulta para evitar alertas para atividades normais do dia a dia.

Colunas obrigatórias nos resultados da consulta

Para criar uma regra de detecção personalizada, a consulta deve retornar as seguintes colunas:

  • Timestamp— usado para definir o carimbo de data/hora para alertas gerados
  • ReportId— habilita pesquisas para os registros originais
  • Uma das seguintes colunas que identifica dispositivos, usuários ou caixas de correio específicos:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (remetente do envelope ou endereço de retorno)
    • SenderMailFromAddress (endereço do remetente exibido pelo cliente de e-mail)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Observação

O suporte para entidades adicionais será adicionado à medida que novas tabelas forem adicionadas ao esquema avançado de caça.

Consultas simples, como aquelas que não usam o project operador ou summarize para personalizar ou agregar resultados, normalmente retornam essas colunas comuns.

Há várias maneiras de garantir que consultas mais complexas retornem essas colunas. Por exemplo, se você preferir agregar e contar por entidade em uma coluna como DeviceId, você ainda poderá retornar Timestamp e ReportId obtindo-o do evento mais recente envolvendo cada único DeviceId.

Importante

Evite filtrar detecções personalizadas usando a Timestamp coluna. Os dados usados para detecções personalizadas são pré-filtrados com base na frequência de detecção.

A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId) com detecções antivírus e usa essa contagem para localizar apenas os dispositivos com mais de cinco detecções. Para retornar o mais recente Timestamp e o correspondente ReportId, ele usa o summarize operador com a arg_max função.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Dica

Para melhor desempenho de consulta, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Como a execução menos frequente é a cada 24 horas, a filtragem do último dia abrangerá todos os novos dados.

2. Create nova regra e fornecer detalhes do alerta

Com a consulta no editor de consultas, selecione Create regra de detecção e especifique os seguintes detalhes do alerta:

  • Nome da detecção : nome da regra de detecção; deve ser exclusivo
  • Frequência – intervalo para executar a consulta e tomar medidas. Confira mais diretrizes na seção de frequência de regra
  • Título de alerta – título exibido com alertas disparados pela regra; deve ser exclusivo
  • Gravidade : risco potencial do componente ou da atividade identificado pela regra
  • Categoria – componente de ameaça ou atividade identificada pela regra
  • O MITRE ATT&técnicas de CK — uma ou mais técnicas de ataque identificadas pela regra conforme documentado na estrutura do MITRE ATT&CK. Esta seção está oculta para determinadas categorias de alerta, incluindo malware, ransomware, atividade suspeita e software indesejado
  • Descrição: mais informações sobre o componente ou a atividade identificadas pela regra
  • Ações recomendadas — ações adicionais que os respondentes podem tomar em resposta a um alerta

Frequência de regra

Quando você salva uma nova regra, ela é executada e verifica se há correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos, aplicando uma duração de lookback com base na frequência escolhida:

  • A cada 24 horas , é executado a cada 24 horas, verificando dados dos últimos 30 dias
  • A cada 12 horas , é executado a cada 12 horas, verificando dados das últimas 48 horas
  • A cada 3 horas , é executado a cada 3 horas, verificando dados das últimas 12 horas
  • A cada hora , é executado por hora, verificando dados das últimas 4 horas
  • Contínua (NRT)— é executada continuamente, verificando dados de eventos à medida que são coletados e processados em NRT (quase em tempo real), confira Frequência NRT (Contínua)

Dica

Corresponda os filtros de tempo na consulta com a duração do lookback. Os resultados fora da duração do lookback são ignorados.

Quando você edita uma regra, ela será executada com as alterações aplicadas no próximo tempo de execução programado de acordo com a frequência que você definir. A frequência da regra é baseada no carimbo de data/hora do evento e não no tempo de ingestão.

Frequência contínua (NRT)

A configuração de uma detecção personalizada para ser executada na frequência NRT (Contínua) permite que você aumente a capacidade da sua organização de identificar ameaças mais rapidamente.

Observação

O uso da frequência NRT (Contínua) tem um impacto mínimo ou nenhum para o uso de recursos e, portanto, deve ser considerado para qualquer regra de detecção personalizada qualificada em sua organização.

Consultas que você pode executar continuamente

Você pode executar uma consulta continuamente desde que:

  • A consulta faz referência apenas a uma tabela.
  • A consulta usa um operador da lista de operadores KQL com suporte. Recursos KQL com suporte
  • A consulta não usa junções, sindicatos ou o externaldata operador.
Tabelas que dão suporte à frequência NRT (Contínua)

Há suporte para detecções quase em tempo real para as seguintes tabelas:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (exceto LatestDeliveryLocation e LatestDeliveryAction colunas)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

Observação

Somente colunas geralmente disponíveis podem dar suporte à frequência NRT (Contínua ).

3. Escolha as entidades afetadas

Identifique as colunas nos resultados da consulta onde espera encontrar a principal entidade afetada ou impactada. Por exemplo, uma consulta pode retornar endereços de remetente (SenderFromAddress ou SenderMailFromAddress) e destinatário (RecipientEmailAddress). Identificar quais dessas colunas representam a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.

Você pode selecionar apenas uma coluna para cada tipo de entidade (caixa de correio, usuário ou dispositivo). Colunas que não são retornadas pela consulta não podem ser selecionadas.

4. Especificar ações

Sua regra de detecção personalizada pode executar ações automaticamente em dispositivos, arquivos, usuários ou emails retornados pela consulta.

Captura de tela que mostra ações para detecções personalizadas no portal Microsoft Defender.

Ações em dispositivos

Essas ações são aplicadas a dispositivos na coluna DeviceId dos resultados da consulta:

Ações em arquivos

  • Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao arquivo. O bloqueio de arquivos só será permitido se você tiver permissões de Correção para arquivos e se os resultados da consulta tiverem identificado uma ID de arquivo, como um SHA1. Depois que um arquivo é bloqueado, outras instâncias do mesmo arquivo em todos os dispositivos também são bloqueadas. Você pode controlar a qual grupo de dispositivos o bloqueio é aplicado, mas não dispositivos específicos.

  • Quando selecionada, a ação de arquivo de quarentena pode ser aplicada a arquivos no SHA1, InitiatingProcessSHA1, SHA256ou InitiatingProcessSHA256 coluna dos resultados da consulta. Esta ação exclui o arquivo de seu local atual e coloca uma cópia na quarentena.

Ações sobre os usuários

  • Quando selecionada, a ação Marcar usuário como comprometido é executada nos usuários na coluna AccountObjectId, InitiatingProcessAccountObjectId ou RecipientObjectId dos resultados da consulta. Essa ação define o nível de risco dos usuários como "alto" em Microsoft Entra ID, disparando políticas de proteção de identidade correspondentes.

  • Selecione Desabilitar o usuário para impedir temporariamente que um usuário entre em log.

  • Selecione Forçar redefinição de senha para solicitar que o usuário altere sua senha na próxima sessão de entrada.

Disable user As opções e Force password reset exigem o SID do usuário, que estão nas colunas AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

Para obter mais detalhes sobre ações do usuário, leia Ações de correção em Microsoft Defender para Identidade.

Ações em emails

  • Se a detecção personalizada gerar mensagens de email, você poderá selecionar Mover para a pasta de caixa de correio para mover o email para uma pasta selecionada (qualquer uma das pastas lixo eletrônico, caixa de entrada ou itens excluídos ).

  • Como alternativa, você pode selecionar Excluir email e, em seguida, optar por mover os emails para Itens Excluídos (Exclusão automática) ou excluir os emails selecionados permanentemente (exclusão dura).

As colunas NetworkMessageId e RecipientEmailAddress devem estar presentes nos resultados de saída da consulta para aplicar ações às mensagens de email.

5. Definir o escopo da regra

Defina o escopo para especificar quais dispositivos são cobertos pela regra. O escopo influencia as regras que verificam os dispositivos e não afeta as regras que verificam apenas caixas de correio e contas ou identidades de usuários.

Ao definir o escopo, você pode selecionar:

  • Todos os dispositivos
  • Grupos de dispositivos específicos

Somente dados de dispositivos no escopo serão consultados. Além disso, as ações são tomadas somente nesses dispositivos.

Observação

Os usuários só poderão criar ou editar uma regra de detecção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no escopo da regra. Por exemplo, os administradores só poderão criar ou editar regras com escopo para todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.

6. Analisar e ativar a regra

Depois de analisar a regra, selecione Criar para salvá-la. A regra de detecção personalizada é executada imediatamente. Ele é executado novamente com base na frequência configurada para verificar correspondências, gerar alertas e executar ações de resposta.

Importante

As detecções personalizadas devem ser revisadas regularmente para obter eficiência e eficácia. Para ter certeza de que você está criando detecções que disparam alertas verdadeiros, dê tempo para revisar suas detecções personalizadas existentes seguindo as etapas em Gerenciar regras de detecção personalizadas existentes.

Você mantém o controle sobre a amplaza ou especificidade de suas detecções personalizadas para que quaisquer alertas falsos gerados por detecções personalizadas possam indicar a necessidade de modificar determinados parâmetros das regras.

Gerenciar regras de detecção personalizadas existentes

Você pode exibir a lista de regras de detecção personalizadas existentes, marcar suas execuções anteriores e examinar os alertas que foram disparados. Você também pode executar uma regra sob demanda e modificá-la.

Dica

Alertas gerados por detecções personalizadas estão disponíveis em alertas e APIs de incidentes. Para obter mais informações, consulte APIs de Microsoft Defender XDR com suporte.

Exibir as regras existentes

Para exibir todas as regras de detecção personalizadas existentes, navegue até Asregras de detecção personalizadas de caça>. A página lista todas as regras com as seguintes informações de execução:

  • Última execução — quando uma regra foi executada pela última vez para marcar para correspondências de consulta e gerar alertas
  • Última execução status – se uma regra foi executada com êxito
  • Próxima execução : a próxima execução agendada
  • Status: se uma regra foi ativada ou desativada

Exibir detalhes da regra, modificar regra e executar regra

Para exibir informações abrangentes sobre uma regra de detecção personalizada, acesse Caçar>regras de detecção personalizadas e selecione o nome da regra. Em seguida, você pode exibir informações gerais sobre a regra, incluindo informações, seu status de execução e escopo. A página também fornece a lista de alertas e ações disparados.

A página de detalhes da regra de detecção personalizada no portal Microsoft Defender

Você também pode realizar as seguintes ações na regra desta página:

  • Execute- execute a regra imediatamente. Isso também redefine o intervalo para a próxima execução.
  • Editar — modificar a regra sem alterar a consulta
  • Modificar consulta — edite a consulta na caça avançada
  • / AtivarDesativar – habilitar a regra ou impedi-la de executar
  • Excluir – desativar a regra e removê-la

Exibir e gerenciar alertas acionados

Na tela de detalhes da regra (Caçando>detecções personalizadas>[Nome da regra]), vá para alertas disparados, que lista os alertas gerados por correspondências à regra. Selecione um alerta para exibir informações detalhadas sobre ele e execute as seguintes ações:

  • Gerenciar o alerta definindo seu status e classificação (alerta verdadeiro ou falso)
  • Vincular o alerta a um incidente
  • Executar a consulta que acionou o alerta de caça avançada

Revisar ações

Na tela de detalhes da regra (Caçando>detecções personalizadas>[Nome da regra]), acesse Ações disparadas, que lista as ações executadas com base em correspondências à regra.

Dica

Para exibir rapidamente as informações e agir em um item em uma tabela, use a coluna de seleção [✓] à esquerda da tabela.

Observação

Algumas colunas neste artigo podem não estar disponíveis no Microsoft Defender para Ponto de Extremidade. Ative Microsoft Defender XDR para procurar ameaças usando mais fontes de dados. Você pode mover seus fluxos de trabalho avançados de caça de Microsoft Defender para Ponto de Extremidade para Microsoft Defender XDR seguindo as etapas em Migrar consultas avançadas de caça Microsoft Defender para Ponto de Extremidade.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.