Gerir versões de modelos para as regras de análise agendadas no Microsoft Sentinel
Importante
Esta funcionalidade está em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Introdução
O Microsoft Sentinel inclui modelos de regras de análise que transforma em regras ativas ao criar efetivamente uma cópia dos mesmos – é o que acontece quando cria uma regra a partir de um modelo. No entanto, nessa altura, a regra ativa já não está ligada ao modelo. Se forem efetuadas alterações a um modelo de regra, por engenheiros da Microsoft ou por qualquer outra pessoa, quaisquer regras criadas previamente a partir desse modelo não serão atualizadas dinamicamente para corresponder ao novo modelo.
No entanto, as regras criadas a partir de modelos lembram-se de que modelos vieram, o que lhe permite duas vantagens:
Se tiver efetuado alterações a uma regra ao criá-la a partir de um modelo (ou em qualquer altura posterior), pode sempre reverter a regra para a versão original (como uma cópia do modelo).
Pode ser notificado quando um modelo é atualizado e terá a opção de atualizar as suas regras para a nova versão dos respetivos modelos ou deixá-las tal como estão.
Este artigo irá mostrar-lhe como gerir estas tarefas e o que deve ter em conta. Os procedimentos abordados abaixo aplicam-se a quaisquer regras de Análise agendada criadas a partir de modelos.
Descobrir o número da versão do modelo da regra
Com a implementação do controlo de versões de modelos, pode ver e controlar as versões dos seus modelos de regras e as regras criadas a partir dos mesmos. As regras cujos modelos foram atualizados apresentam um distintivo "Atualização disponível" junto ao nome da regra.
No painel Análise , selecione o separador Regras ativas .
Selecione qualquer regra do tipo Agendado.
Se a regra apresentar o destaque "Atualização disponível", o painel de detalhes terá um botão Rever e atualizar junto ao botão Editar (ver imagem 1 no passo seguinte abaixo).
Se a regra tiver sido criada a partir de um modelo, mas não tiver o distintivo "Atualização disponível", o painel de detalhes terá um botão Comparar com modelo junto ao botão Editar (veja as imagens 2 e 3 no passo seguinte abaixo).
Se existir apenas um botão Editar , a regra foi criada de raiz e não a partir de um modelo.
Desloque-se para baixo até à parte inferior do painel de detalhes, onde verá dois números de versão: a versão do modelo a partir do qual a regra foi criada e a versão mais recente disponível do modelo.
O número está num formato "1.0.0" – versão principal, versão secundária e compilação.
Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar a forma como a regra deteta ameaças ou até mesmo a sua capacidade de funcionar completamente. Esta é uma alteração que vai querer incluir nas suas regras.
Uma diferença no número da versão secundária indica uma pequena melhoria no modelo – uma alteração cosmética ou algo semelhante – que seria "agradável de ter", mas não é fundamental para manter a funcionalidade, eficácia ou desempenho da regra. Esta é uma alteração que pode tirar ou sair facilmente.
Nota
As imagens 2 e 3 acima mostram dois exemplos de regras criadas a partir de modelos, em que o modelo não foi atualizado.
- A imagem 2 mostra uma regra que tem um número de versão para o modelo atual. Isto indica que a regra foi criada após a implementação inicial do controlo de versões do modelo pelo Microsoft Sentinel em outubro de 2021.
- A imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isto mostra que a regra tinha sido criada antes de outubro de 2021. Se existir uma versão de modelo mais recente disponível, é provável que seja uma versão mais recente do modelo do que a utilizada para criar a regra.
Comparar a regra ativa com o respetivo modelo
Escolha um dos seguintes separadores de acordo com a ação que pretende efetuar, para ver as instruções para essa ação:
Depois de ter selecionado uma regra e determinado que pretende considerar atualizá-la, selecione Rever e atualizar no painel de detalhes (ver acima). Verá que o assistente de regras de Análise tem agora um separador Comparar com a versão mais recente .
Neste separador, verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.
Nota
A atualização desta regra substituirá a regra existente pela versão mais recente do modelo.
Qualquer passo ou lógica de automatização que faça referência à regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, quaisquer personalizações efetuadas na criação da regra original – alterações à consulta, agendamento, agrupamento ou outras definições – podem ser substituídas.
Atualizar a regra com a nova versão do modelo
Se as alterações efetuadas à nova versão do modelo forem aceitáveis para si e nada mais na regra original tiver sido afetada, selecione Rever e atualizar para validar e aplicar as alterações.
Se quiser personalizar ainda mais a regra ou voltar a aplicar quaisquer alterações que possam ser substituídas, selecione Seguinte: Alterações personalizadas. Se escolher esta opção, irá percorrer os restantes separadores do assistente de regras de Análise para efetuar essas alterações, após o qual irá validar e aplicar as alterações no separador Rever e atualizar .
Se não quiser fazer alterações à regra existente, mas sim manter a versão do modelo existente, basta sair do assistente ao selecionar o X no canto superior direito.
Passos seguintes
Neste documento, aprendeu a controlar as versões dos seus modelos de regras de análise do Microsoft Sentinel e a reverter regras ativas para versões de modelo existentes ou a atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba mais sobre as regras de análise.
- Veja mais detalhes sobre o assistente de regras de análise.