Criar uma regra de análise com base em modelos
- 8 minutos
A seção Análise no Microsoft Sentinel contém modelos de regra pré-carregados do repositório GitHub do Microsoft Sentinel. Você pode usar esses modelos para criar uma regra para detectar ameaças à segurança.
Explorando os modelos de regra existentes
Você pode usar alguns dos modelos de regra existentes para criar uma única regra e outras para criar várias regras com diferentes opções de personalização. Os modelos em uso exibem o rótulo IN USE na página do modelo, conforme exibido na captura de tela a seguir.
Selecionando uma das regras na guia Modelos de Regra , você pode observar as propriedades da regra. Para cada regra, você pode examinar:
Nível de gravidade. Isso indica a importância do alerta. Há quatro níveis de gravidade:
- Alto
- Médio
- Baixo
- Informativo
Nome da regra. Isso fornece um nome significativo para a regra de alerta.
Tipo de regra. Isso define o tipo da regra, que pode ser um dos seguintes tipos:
- Anomalia
- Fusão
- Segurança da Microsoft
- Análise de Comportamento de ML
- Agendadas
- NRT (quase em tempo real)
Fonte de dados. Isso especifica o conector da fonte de dados que gerou o alerta.
Táticas. Isso especifica metodologias no modelo MITRE ATT&CK usado por diferentes tipos de malware.
Observação
MITRE ATT&CK é uma base de dados de conhecimento acessível globalmente de táticas e técnicas de adversários com base em observações do mundo real. A base de dados de conhecimento att&CK fornece uma base para o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na comunidade de produtos e serviços de segurança cibernética.
Quando você seleciona uma regra na lista na guia Regras ativas ou na guia Modelos de regra, o painel de detalhes fornece mais informações para a regra selecionada.
Criando uma regra analítica a partir de um modelo de regra
Quando você seleciona um modelo de regra predefinido, o painel de detalhes pode exibir filtros que podem ser usados para definir como essa regra se comporta. Para regras de análise de comportamento de ML e Fusion, a Microsoft não fornece informações editáveis. No entanto, para as regras agendadas e a Segurança Microsoft, você pode exibir ou editar a consulta, os filtros, e os itens incluídos e excluídos usados na detecção de ameaças. Ao selecionar o botão Criar regra , você pode definir a lógica de regra de análise usando um assistente que ajuda você a personalizar uma regra do modelo selecionado.
Para modelos de análise de comportamento de Fusão e ML, você só pode habilitá-los ou desabilitá-los como regras ativas.
Uma regra criada a partir de um modelo de segurança da Microsoft consiste nos seguintes elementos:
Aba Geral
A tabela a seguir lista as entradas na guia Geral .
| Campo | Descrição |
|---|---|
| Nome | É preenchido previamente com o nome do modelo de regra. |
| Descrição | Forneça mais detalhes sobre a criação dos alertas. |
| Situação | Isso indica se a regra de análise está habilitada ou desabilitada. |
| Serviço de segurança da Microsoft | Isso indica a origem do alerta de um dos serviços de segurança da Microsoft. |
| Filtrar por severidade | Use para ajustar os alertas de uma fonte com base no nível de gravidade; caso selecione para personalizar, será possível especificar Alto, Médio, Baixo ou Informativo. |
| Incluir alertas específicos | Adicione uma ou mais palavras para incluir resultados de alertas que contenham um texto específico no nome. |
| Excluir alertas específicos | Adicione uma ou mais palavras para excluir resultados de alertas que contêm texto específico em seu nome. |
Resposta automatizada
Na guia Resposta automatizada , você pode definir regras de automação. Se você selecionar Adicionar novo, o painel Criar nova regra de automação será aberto. Os seguintes campos são entradas:
| Campo | Descrição |
|---|---|
| Nome da regra de automação | Escolha um nome que descreva exclusivamente essa regra de automação |
| Gatilho | Valor predefinido que não pode ser alterado. |
| Condições | Construção de filtro de consulta típico que pode ser editado e classificado. |
| Ações | Lista de seleção de ações; selecione qual ação você deseja executar se as condições de filtro de consulta forem atendidas. |
| Expiração da regra | Data e hora para que a regra seja desabilitada. O padrão é indefinido. |
| Pedido | Se várias regras forem criadas, selecione números sequenciais para reordenar as regras de automação de incidentes no painel esquerdo. |
Observação
Quando você implementa filtros para incluir ou excluir alertas específicos com base em uma cadeia de caracteres de texto, esses alertas não aparecerão no Microsoft Sentinel.
A captura de tela a seguir apresenta um exemplo de criação de um incidente a partir de alertas gerados pelo Microsoft Defender para Nuvem.
Para obter instruções sobre como criar uma regra de análise a partir de um modelo de tipo de regra agendada, consulte Criar uma regra de análise a partir de um modelo de regra agendada na próxima unidade (Unidade 6).
Observação
Para determinados modelos de regra, o botão Criar regra pode estar desabilitado, o que indica que você não pode criar uma regra do modelo selecionado devido a uma fonte de dados ausente.