Criar uma regra de análise do assistente
- 8 minutos
Você pode criar uma regra de análise personalizada para pesquisar atividades suspeitas e ameaças na Contoso.
Criar uma regra de análise programada personalizada
Criar uma regra personalizada com base no tipo de regra de consulta agendada fornece o nível mais elevado de personalização. Ao associar a regra a um guia estratégico do Microsoft Sentinel, você pode definir seu próprio código KQL, definir um agendamento para executar os alertas e fornecer uma ação automatizada.
Para criar uma regra de consulta agendada, no portal do Azure, no Microsoft Sentinel, selecione Análise. Na barra de cabeçalho, selecione +Criar e selecione a regra de consulta Agendada.
Observação
Você também pode criar uma regra agendada selecionando uma regra agendada na lista Regras e Modelos no painel Análise e selecionando Criar regra no painel de detalhes.
Uma regra de consulta programada criada é composta pelos seguintes elementos:
Guia Geral
A tabela a seguir lista os campos de entrada no painel Geral .
| Campo | Descrição |
|---|---|
| Nome | Forneça um nome descritivo para explicar o tipo de atividade suspeita que o alerta detecta. |
| Descrição | Insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz. |
| Tática | Na lista suspensa Táticas, escolha uma entre as categorias de ataques disponíveis para classificar a regra de acordo com as táticas MITRE. |
| Severidade | Selecione a lista suspensa Gravidade para categorizar o nível de importância do alerta como uma das quatro opções: Alta, Média, Baixa ou Informações. |
| Situação | Especifique o status da regra. Por padrão, o status é Habilitar. Você pode selecionar Desabilitar para desabilitar a regra se ela gerar um grande número de falsos positivos. |
Guia Definir lógica de regra
Na guia Definir lógica de regra , você pode definir o método de detecção especificando o código KQL executado no workspace do Microsoft Sentinel. A consulta KQL filtra os dados de segurança que são usados para disparar e criar um incidente.
Ao inserir a cadeia de caracteres de consulta KQL no campo Consulta de regra , você pode usar a seção Simulação de Resultados (versão prévia) para examinar os resultados da consulta. A seção Simulação de Resultados (versão prévia) ajuda você a determinar se a consulta retornou os resultados esperados.
A consulta de exemplo a seguir alerta você quando um número anormal de recursos é criado na Atividade do Azure.
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Dica
Para obter assistência com a linguagem de consulta KQL, consulte a visão geral da KQL (Linguagem de Consulta Kusto).
Enriquecimento de alerta (versão prévia)
O enriquecimento de alertas permite que você personalize ainda mais o resultado da sua consulta.
Mapeamento de entidade
Na seção mapeamento de entidade , você pode definir até cinco entidades dos resultados da consulta e, em seguida, usar essas entidades para executar uma análise detalhada. Selecionando Adicionar nova entidade para adicionar essas entidades à regra de consulta. Essas entidades podem ajudá-lo a executar uma investigação visual porque elas aparecerão como um grupo na guia Incidente . Algumas das entidades contêm informações que representam um usuário, um host ou um endereço IP.
Detalhes personalizados
Na seção Detalhes personalizados , você pode definir pares de valores de chave, que, se eles aparecerem no resultado da consulta, exibirão um parâmetro de evento nos resultados.
Detalhes do alerta
Na seção Detalhes do Alerta , você pode inserir texto gratuito como parâmetros que podem ser representados em cada instância do alerta; elas também podem conter as táticas e a gravidade atribuídas a essa instância do alerta.
Agendamento de consulta
Na seção Agendamento de Consultas , você pode configurar a frequência com que a consulta deve ser executada e o quão distante no histórico a consulta deve pesquisar os dados. É importante que você não pesquise dados anteriores à frequência de execução da consulta, pois isso pode criar alertas duplicados.
Limite do alerta
Na seção Limite de Alerta , você pode especificar o número de um resultado positivo que pode ser retornado para a regra antes que ela gere um alerta. Você pode usar os seguintes operadores lógicos para definir uma expressão lógica apropriada:
- É maior que
- É menor que
- É igual a
- Não é igual a
Agrupamento de eventos
Na seção Agrupamento de eventos, você pode selecionar uma das duas seguintes opções:
- Agrupe todos os eventos em um único alerta. Essa é a opção padrão e cria um único alerta caso a consulta retorne mais resultados do que o limite de alertas especificado.
- Gere um alerta para cada evento. Essa opção cria alertas exclusivos para cada evento retornado pela consulta.
Supressão
Na seção Supressão , você pode definir a opção Parar de executar a Consulta depois que o alerta for gerado como Ativado ou Desativado. Quando você seleciona Ativado, o Microsoft Sentinel pausa a criação de incidentes adicionais se a regra for disparada novamente durante a duração que você deseja que a regra seja suprimida.
Configurações de incidente (versão prévia)
Use a guia Configurações de incidente para criar incidentes, que são gerados pelo agrupamento de alertas com base em gatilhos e quadros de tempo.
Na seção Agrupamento de alertas , você pode reduzir o ruído de vários alertas agrupando-os em um incidente. Ao habilitar o agrupamento de alertas relacionados, você pode escolher entre as seguintes opções:
- Agrupar alertas em um único incidente se todas as entidades corresponderem (recomendado)
- Agrupar todos os alertas disparados por essa regra em um único incidente
- Agrupar alertas em um único incidente se as entidades selecionadas corresponderem (por exemplo, endereços IP de origem ou de destino).
Você também poderá reabrir incidentes correspondentes fechados se outro alerta for gerado que pertença a um incidente fechado anteriormente.
Guia Resposta automatizada
Não usado neste exercício.
Definir a guia lógica da regra – exercício
Na guia Resposta Automatizada , selecione uma regra de automação existente ou crie uma nova. As regras de automação podem executar guias estratégicos com base nas condições e nos gatilhos escolhidos.
Para obter mais informações sobre como criar um guia estratégico e executar a atividade automatizada em uma criação de incidentes, confira o módulo “Resposta a ameaças com os guias estratégicos do Microsoft Sentinel”.
Guia Examinar e criar
Na guia Revisar e criar , examine as configurações que você configurou no assistente antes de criar uma nova regra.