Criar regras de análise agendada a partir de modelos

De longe, o tipo mais comum de regra de análise, as regras Agendadas baseiam-se em consultas Kusto configuradas para serem executadas em intervalos regulares e examinar dados não processados de um período de "lookback" definido. Estas consultas podem realizar operações estatísticas complexas nos dados de destino, revelando linhas de base e valores atípicos em grupos de eventos. Se o número de resultados capturados pela consulta passar o limiar configurado na regra, a regra produzirá um alerta.

A Microsoft disponibiliza-lhe uma vasta gama de modelos de regras de análiseatravés das muitas soluções fornecidas no Hub de conteúdos e incentiva-o vivamente a utilizá-los para criar as suas regras. As consultas nos modelos de regras agendadas são escritas por especialistas em ciência de dados e segurança, da Microsoft ou do fornecedor da solução que fornece o modelo.

Este artigo mostra-lhe como criar uma regra de análise agendada com um modelo.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Ver regras de análise existentes

Para ver as regras de análise instaladas no Microsoft Sentinel, aceda à página Análise. O separador Modelos de regra apresenta todos os modelos de regras instalados. Para encontrar mais modelos de regras, aceda ao Hub de conteúdos no Microsoft Sentinel para instalar as soluções de produto relacionadas ou o conteúdo autónomo.

Portal do Defender

1. No menu de navegação Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

2. No ecrã Análise , selecione o separador Modelos de regra.

3. Se quiser filtrar a lista de Modelos agendados :

   1. Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.

   2. Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.

   

portal do Azure

1. Na secção Configuração do menu de navegação Microsoft Sentinel, selecione Análise.

2. No ecrã Análise , selecione o separador Modelos de regra.

3. Se quiser filtrar a lista de Modelos agendados :

   1. Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.

   2. Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.

   

Criar uma regra a partir de um modelo

Este procedimento descreve como criar uma regra de análise a partir de um modelo.

Portal do Defender

No menu de navegação Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

portal do Azure

Na secção Configuração do menu de navegação Microsoft Sentinel, selecione Análise.

1. No ecrã Análise , selecione o separador Modelos de regra.

2. Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.

   Cada modelo tem uma lista das origens de dados necessárias. Quando abre o modelo, as origens de dados são verificadas automaticamente quanto à disponibilidade. Se uma origem de dados não estiver ativada, o botão Criar regra poderá estar desativado ou poderá ver uma mensagem nesse sentido.

   

3. O assistente de criação de regras é aberto. Todos os detalhes são preenchidos automaticamente.

4. Percorra os separadores do assistente, personalizando a lógica e outras definições de regra sempre que possível para se adequar melhor às suas necessidades específicas. Para mais informações, consulte:

   • Linguagem de Pesquisa Kusto em Microsoft Sentinel
   • Guia de referência rápida do KQL
   • Melhores práticas para consultas de Linguagem de Pesquisa Kusto

   Quando chegar ao fim do assistente de criação de regras, Microsoft Sentinel cria a regra. A nova regra é apresentada no separador Regras ativas .

   Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar as regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.

Sugestão

• Certifique-se de que ativa todas as regras associadas às origens de dados ligadas para garantir uma cobertura de segurança total para o seu ambiente. A forma mais eficiente de ativar as regras de análise é diretamente a partir da página do conector de dados, que lista quaisquer regras relacionadas. Para obter mais informações, veja Ligar origens de dados.

• Também pode emitir regras para Microsoft Sentinel através da API e do PowerShell, embora isso exija esforço adicional.

  Ao utilizar a API ou o PowerShell, primeiro tem de exportar as regras para JSON antes de ativar as regras. A API ou o PowerShell podem ser úteis ao ativar regras em várias instâncias de Microsoft Sentinel com definições idênticas em cada instância.

Passos seguintes

Neste documento, aprendeu a criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.

• Saiba mais sobre as regras de análise.
• Saiba como criar uma regra de análise do zero.