Partilhar via

Criar uma regra de análise agendada a partir do zero

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Você configurou conectores e outros meios de coletar dados de atividade na sua infraestrutura digital. Agora você precisa vasculhar todos esses dados para detetar padrões de atividade e descobrir atividades que não se encaixam nesses padrões e que podem representar uma ameaça à segurança.

O Microsoft Sentinel e suas muitas soluções fornecidas no hub de conteúdo oferecem modelos para os tipos mais usados de regras de análise, e você é altamente encorajado a usar esses modelos, personalizando-os para se adequarem aos seus cenários específicos. Mas é possível que você precise de algo completamente diferente, então, nesse caso, você pode criar uma regra do zero, usando o assistente de regras de análise.

Note

Se você estiver revisando os detalhes de uma recomendação de otimização SOC na página de otimização SOC e seguiu o link Saiba mais para esta página, talvez esteja procurando a lista de regras de análise sugeridas. Nesse caso, role até a parte inferior da guia de detalhes de otimização e selecione Ir para o hub de conteúdo para localizar e instalar as regras recomendadas específicas para essa recomendação. Para obter mais informações, consulte Fluxo de uso de otimização SOC.

Este artigo descreve o processo de criação de uma regra de análise a partir do zero, incluindo o uso do assistente de regras do Google Analytics. Inclui capturas de ecrã e instruções para aceder ao assistente tanto no portal Azure como no portal Defender.

Important

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Prerequisites

  • Você deve ter a função de Colaborador do Microsoft Sentinel ou qualquer outra função ou conjunto de permissões que inclua permissões de gravação em seu espaço de trabalho do Log Analytics e seu grupo de recursos.

  • Você deve ter pelo menos uma familiaridade básica com ciência e análise de dados e a Kusto Query Language.

  • Você deve se familiarizar com o assistente de regras de análise e todas as opções de configuração disponíveis. Para obter mais informações, consulte Regras de análise agendada no Microsoft Sentinel.

Projete e construa sua consulta

Antes de fazer qualquer outra coisa, você deve projetar e criar uma consulta no Kusto Query Language (KQL) que sua regra usará para consultar uma ou mais tabelas em seu espaço de trabalho do Log Analytics.

  1. Determine uma fonte de dados, ou um conjunto de fontes de dados, que você deseja pesquisar para detetar atividades incomuns ou suspeitas. Encontre o nome da tabela do Log Analytics na qual os dados dessas fontes são ingeridos. Você pode encontrar o nome da tabela na página do conector de dados para essa fonte. Use este nome de tabela (ou uma função baseada nele) como base para sua consulta.

  2. Decida que tipo de análise você deseja que essa consulta execute na tabela. Esta decisão determina que comandos e funções deve usar na consulta.

  3. Decida quais elementos de dados (campos, colunas) você deseja dos resultados da consulta. Esta decisão determina como você estrutura o resultado da consulta.

    Important

    Certifique-se de que a sua consulta devolve a coluna TimeGenerated, pois as regras de análise agendada usam-na como referência para o período de retrospetiva. Isto significa que a regra só avalia registos onde o TimeGenerated valor se enquadra na janela de consulta especificada.

  4. Crie e teste suas consultas na tela Logs . Quando estiver satisfeito, guarde a consulta para usar na sua regra.

Para obter mais informações, consulte:

Crie sua regra de análise

Esta secção descreve como criar uma regra usando os portais Azure ou Defender.

Introdução à criação de uma regra de consulta agendada

Para começar, vá para a página Analytics no Microsoft Sentinel para criar uma regra de análise agendada.

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Analytics. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Analytics.

  2. Selecione +Criar e selecione Regra de consulta agendada.

Nomeie a regra e defina informações gerais

No portal Azure, os níveis aparecem como separadores. No portal Defender, aparecem como marcos numa linha temporal.

  1. Insira as seguintes informações para sua regra.

    Field Description
    Name Um nome exclusivo para sua regra. Este campo suporta apenas texto simples. Todos os URLs incluídos no nome devem seguir o formato de codificação percentual para que sejam exibidos corretamente.
    Description Uma descrição em texto livre para a sua regra.
    Se o Microsoft Sentinel estiver integrado ao portal do Defender, este campo suporta apenas texto sem formatação. Todos os URLs incluídos na descrição devem seguir o formato de codificação percentual para que sejam exibidos corretamente.
    Severity Corresponda ao impacto que a atividade que desencadeia a regra pode ter no ambiente alvo, se a regra for verdadeiramente positiva.

    Informativo: Sem impacto no seu sistema, mas as informações podem ser indicativas de etapas futuras planejadas por um agente de ameaça.
    Baixo: O impacto imediato é mínimo. Um agente de ameaça provavelmente precisaria realizar várias etapas antes de alcançar um impacto em um ambiente.
    Médio: O agente da ameaça poderia ter algum impacto no ambiente com esta atividade, mas seria limitado em termos de âmbito ou exigiria atividade adicional.
    Elevado: A atividade identificada proporciona ao agente da ameaça um amplo acesso para realizar ações no ambiente ou é desencadeada pelo impacto no ambiente.
    MITRE ATT&CK Escolha as atividades de ameaça que se aplicam à sua regra. Selecione a partir das táticas e técnicas MITRE ATT&CK apresentadas no menu suspenso. Você pode fazer várias seleções.

    Para obter mais informações sobre como maximizar sua cobertura do cenário de ameaças MITRE ATT&CK, consulte Compreender a cobertura de segurança pela estrutura MITRE ATT&CK®.
    Status Habilitado: a regra é executada imediatamente após a criação ou na data e hora específicas que você escolher para agendá-la (atualmente em VISUALIZAÇÃO).
    Desabilitado: a regra é criada, mas não é executada. Habilite-o mais tarde na guia Regras ativas quando precisar.

  2. Selecione Avançar: Definir lógica da regra.

Definir a lógica da regra

O passo seguinte é definir a lógica das regras, que inclui adicionar a consulta Kusto que criou.

  1. Insira a consulta de regra e a configuração de aprimoramento de alerta.

    Setting Description
    Consulta de regras Cole a consulta que concebeu, construiu e testou na janela Consulta de Regra. Cada alteração que fizer nesta janela é imediatamente validada, por isso, se houver algum erro, verá uma indicação logo abaixo da janela.
    Entidades do mapa Expanda o mapeamento de entidades e defina até 10 tipos de entidades reconhecidas pelo Microsoft Sentinel em campos nos resultados da consulta. Esse mapeamento integra as entidades identificadas no campo Entidades no seu esquema de alerta.

    Para obter instruções completas sobre como mapear entidades, consulte Mapear campos de dados para entidades no Microsoft Sentinel.
    Realce detalhes personalizados nos seus alertas Expanda Detalhes Personalizados e defina quaisquer campos nos resultados da sua consulta que queira que apareçam nos seus alertas como detalhes personalizados. Esses campos também aparecem em quaisquer incidentes que resultem.

    Para obter instruções completas sobre como revelar detalhes personalizados, consulte Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel.
    Personalizar detalhes do alerta Expanda Detalhes do alerta e personalize as propriedades de alerta padrão de acordo com o conteúdo de vários campos em cada alerta individual. Por exemplo, personalize o nome ou a descrição do alerta para incluir um nome de usuário ou endereço IP apresentado no alerta.

    Para obter instruções completas sobre como personalizar detalhes de alerta, consulte Personalizar detalhes de alerta no Microsoft Sentinel.

  2. Agende e defina o escopo da consulta. Defina os seguintes parâmetros na seção Agendamento de consultas :

    Setting Descrição / Opções
    Executar consulta a cada Controla o intervalo de consulta: com que frequência a consulta é executada.
    Intervalo permitido: 5 minutos a 14 dias.
    Dados de pesquisa do último Determina o período de retrospetiva: o período de tempo coberto pela consulta.
    Intervalo permitido: 5 minutos a 14 dias.
    Deve ser maior ou igual ao intervalo de consulta.
    Comecem a correr Automaticamente: A regra executa-se pela primeira vez imediatamente após ser criada, e depois disso no intervalo de consulta.
    Num momento específico (Pré-visualização): Defina uma data e hora para a primeira execução da regra, após o que ela é executada no intervalo da consulta.
    Intervalo permitido: 10 minutos a 30 dias após o tempo de criação (ou habilitação) da regra.

  3. Defina o limite para a criação de alertas.

    Use a seção Limite de alerta para definir o nível de sensibilidade da regra. Por exemplo, defina um limite mínimo de 100:

    Setting Description
    Gerar alerta quando o número de resultados da consulta exceder um determinado limite É maior que
    Número de eventos 100

    Se não quiseres definir um limiar, insere 0 o campo de números.

  4. Defina as configurações de agrupamento de eventos.

    Em Agrupamento de eventos, escolha uma das duas maneiras de lidar com o agrupamento de eventos em alertas:

    Setting Behavior
    Agrupar todos os eventos em um único alerta
    (default)    		 A regra gera um único alerta sempre que é executada, desde que a consulta retorne mais resultados do que o limite de alerta especificado acima. Este alerta único resume todos os eventos retornados nos resultados da consulta.
    Disparar um alerta para cada evento A regra gera um alerta exclusivo para cada evento retornado pela consulta. Esta opção é útil se quiser que os eventos sejam exibidos individualmente, ou se quiser agrupá-los por certos parâmetros — por utilizador, nome do hospedeiro ou outra opção. Você pode definir esses parâmetros na consulta.

  5. Suprima temporariamente a regra depois que um alerta é gerado.

    Para suprimir uma regra depois do próximo horário de execução se um alerta for gerado, ative a configuração Parar de executar a consulta após o alerta ser geradoLigada. Se ativar isto, defina Parar de executar a consulta por o período durante o qual a consulta deve parar de ser executada, até 24 horas.

  6. Simule os resultados da consulta e as configurações lógicas.

    Na área Simulação de resultados , selecione Testar com dados atuais para ver como seriam os resultados da regra se ela estivesse sendo executada nos dados atuais. O Microsoft Sentinel simula a execução da regra 50 vezes nos dados atuais, usando a agenda definida, e mostra um gráfico dos resultados (eventos de log). Se você modificar a consulta, selecione Testar com dados atuais novamente para atualizar o gráfico. O gráfico mostra o número de resultados ao longo do período de tempo definido pelas configurações na seção Agendamento de consultas .

  7. Selecione Next: Incident settings (Próximo: Configurações de incidente).

Definir as configurações de criação de incidentes

Na guia Configurações de incidentes , escolha se o Microsoft Sentinel transforma alertas em incidentes acionáveis e se e como os alertas são agrupados em incidentes.

  1. Habilite a criação de incidentes.

    Na secção de Definições de Incidentes , Criar incidentes a partir de alertas desencadeados por esta regra de análise está definido por defeito para Ativado, o que significa que o Microsoft Sentinel cria um único incidente separado de cada alerta desencadeado pela regra.

    • Se não quiser que esta regra crie incidentes (por exemplo, se esta regra for apenas para recolher informação para análise subsequente), defina esta opção como Desativada.

      Important

      Se você integrou o Microsoft Sentinel ao portal do Microsoft Defender, deixe esta configuração Habilitada.

      • Neste cenário, o Microsoft Defender XDR cria incidentes, não o Microsoft Sentinel.
      • Esses incidentes aparecem na fila de incidentes nos portais do Azure e do Defender.
      • No portal do Azure, novos incidentes são exibidos com "Microsoft XDR" como o nome do provedor de incidentes.

    • Se você quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, consulte a próxima etapa.

  2. Defina as configurações de agrupamento de alertas.

    Na seção Agrupamento de alertas, se pretender que um único incidente seja gerado a partir de um grupo de até 150 alertas semelhantes ou recorrentes (consulte a nota), defina Agrupar alertas relacionados, acionados por esta regra de análise, em incidentes para Habilitado e configure os seguintes parâmetros.

    1. Limitar o grupo a alertas criados dentro do período selecionado: defina o período de tempo dentro do qual os alertas semelhantes ou recorrentes são agrupados. Os alertas fora deste período geram um incidente separado ou um conjunto de incidentes.

    2. Agrupe alertas acionados por esta regra de análise em um único incidente por: Escolha como os alertas são agrupados:

      Option Description
      Agrupar alertas num único incidente caso todas as entidades coincidirem Os alertas são agrupados se compartilharem valores idênticos para cada uma das entidades mapeadas (definidas na guia Definir lógica da regra acima). Esta é a definição recomendada.
      Agrupe todos os alertas acionados por essa regra em um único incidente Todos os alertas gerados por esta regra são agrupados, mesmo que não partilhem valores idênticos.
      Agrupar alertas em um único incidente se as entidades e os detalhes selecionados corresponderem Os alertas são agrupados se compartilharem valores idênticos para todas as entidades mapeadas, detalhes do alerta e detalhes personalizados selecionados nas respetivas listas suspensas.

    3. Reabrir incidentes fechados correspondentes: Se um incidente for resolvido e fechado, e mais tarde for gerado outro alerta que deveria pertencer a esse incidente, defina esta definição para Ativado se quiser que o incidente encerrado seja reaberto, e deixe como Desativado se quiser que o alerta crie um novo incidente.

      Esta opção não está disponível quando o Microsoft Sentinel está integrado no portal Microsoft Defender.

    Important

    Se você integrou o Microsoft Sentinel ao portal do Microsoft Defender, as configurações de agrupamento de alertas entrarão em vigor somente no momento em que o incidente for criado.

    Como o mecanismo de correlação do portal do Defender é responsável pela correlação de alerta nesse cenário, ele aceita essas configurações como instruções iniciais, mas também pode tomar decisões sobre correlação de alerta que não levam essas configurações em consideração.

    Portanto, a maneira como os alertas são agrupados em incidentes pode muitas vezes ser diferente do que você esperaria com base nessas configurações.

    Note

    Até 150 alertas podem ser agrupados em um único incidente.

    • O incidente só é criado depois de todos os alertas serem gerados. Todos os alertas são adicionados ao incidente imediatamente após a sua criação.

    • Se forem gerados mais de 150 alertas por uma regra que os agrupa num único incidente, é gerado um novo incidente com os mesmos detalhes do incidente original, e os alertas excedentes são agrupados no novo incidente.

  3. Selecione Next: Resposta automatizada.

Rever ou adicionar respostas automáticas

  1. Na guia Respostas automatizadas , consulte as regras de automação exibidas na lista. Se quiser adicionar respostas que ainda não estejam cobertas pelas regras existentes, você tem duas opções:

    • Edite uma regra existente se quiser que a resposta adicionada se aplique a muitas ou a todas as regras.
    • Selecione Adicionar novo para criar uma nova regra de automação que se aplique apenas a esta regra de análise.

    Para saber mais sobre para que pode usar regras de automação, consulte Automatizar resposta a ameaças no Microsoft Sentinel com regras de automação.

    • Em Automação de Alertas (clássico) no fundo do ecrã, vês todos os playbooks que configuraste para correr automaticamente quando um alerta é gerado usando o método antigo.

      • A partir de junho de 2023, não pode adicionar playbooks a esta lista. Os playbooks já listados aqui continuam a funcionar até que este método seja descontinuado, com efeito a partir de março de 2026.

      • Se ainda tiver algum playbook listado aqui, crie uma regra de automação baseada no alerta criado e invoce o playbook a partir da regra de automação. Depois de completar esse passo, selecione a reticência no final da linha do playbook aqui indicada e selecione Remover. Consulte Migre os seus playbooks de acionamento de alertas do Microsoft Sentinel para regras de automação para obter instruções completas.

  2. Selecione Seguinte: Rever e criar para rever todas as definições da sua nova regra de análise.

Validar a configuração e criar a regra

  1. Quando a mensagem "Validação aprovada" aparecer, selecione Criar.

  2. Se, em vez disso, aparecer um erro, localize e selecione o X vermelho na guia do assistente onde o erro ocorreu.

  3. Corrija o erro e volte para a guia Revisar e criar para executar a validação novamente.

Exibir a regra e sua saída

Ver a definição da regra

Você pode encontrar sua regra personalizada recém-criada (do tipo "Agendada") na tabela na guia Regras ativas na tela principal do Google Analytics . A partir desta lista, pode ativar, desativar ou eliminar cada regra.

Ver os resultados da regra

Para visualizar os resultados das regras de análise criadas no portal do Defender, expanda Investigação & resposta no menu de navegação e, em seguida, Incidentes & alertas. Veja os incidentes na página Incidentes , onde pode triar incidentes, investigá-los e remediar as ameaças. Veja alertas individuais na página Alertas .

Captura de ecrã da página de incidentes no portal do Azure.

Ajuste a regra

Note

Os alertas gerados no Microsoft Sentinel estão disponíveis através do Microsoft Graph Security. Para obter mais informações, consulte a documentação de alertas de segurança do Microsoft Graph.

Exportar a regra para um modelo ARM

Se você quiser empacotar sua regra para ser gerenciada e implantada como código, poderá exportá-la facilmente para um modelo do Azure Resource Manager (ARM). Você também pode importar regras de arquivos de modelo para visualizá-las e editá-las na interface do usuário.

Próximos passos

Ao usar regras de análise para detetar ameaças do Microsoft Sentinel, certifique-se de habilitar todas as regras associadas às fontes de dados conectadas para garantir cobertura total de segurança para seu ambiente.

Para automatizar a ativação de regras, envie regras para o Microsoft Sentinel via API e PowerShell, embora isso exija um esforço extra. Ao usar a API ou o PowerShell, você deve primeiro exportar as regras para JSON antes de habilitar as regras. A API ou o PowerShell podem ser úteis ao ativar regras em múltiplas instâncias do Microsoft Sentinel com definições idênticas em cada instância.

Para obter mais informações, consulte:

Além disso, aprenda com um exemplo de uso de regras de análise personalizadas ao monitorar o Zoom com um conector personalizado.

  • Last updated on