Gerir versões de modelos para as regras de análise agendadas no Microsoft Sentinel

Importante

Esta funcionalidade está em PRÉ-VISUALIZAÇÃO. Veja os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Introdução

O Microsoft Sentinel inclui modelos de regras de análise que transforma em regras ativas ao criar efetivamente uma cópia dos mesmos – é o que acontece quando cria uma regra a partir de um modelo. No entanto, nessa altura, a regra ativa já não está ligada ao modelo. Se forem efetuadas alterações a um modelo de regra, por engenheiros da Microsoft ou por qualquer outra pessoa, quaisquer regras criadas previamente a partir desse modelo não serão atualizadas dinamicamente para corresponder ao novo modelo.

No entanto, as regras criadas a partir de modelos lembram-se de que modelos vieram, o que lhe permite duas vantagens:

• Se tiver efetuado alterações a uma regra ao criá-la a partir de um modelo (ou em qualquer altura posterior), pode sempre reverter a regra para a versão original (como uma cópia do modelo).

• Pode ser notificado quando um modelo é atualizado e terá a opção de atualizar as suas regras para a nova versão dos respetivos modelos ou deixá-las tal como estão.

Este artigo irá mostrar-lhe como gerir estas tarefas e o que deve ter em conta. Os procedimentos abordados abaixo aplicam-se a quaisquer regras de Análise agendada criadas a partir de modelos.

Descobrir o número da versão do modelo da regra

Com a implementação do controlo de versões de modelos, pode ver e controlar as versões dos seus modelos de regras e as regras criadas a partir dos mesmos. As regras cujos modelos foram atualizados apresentam um distintivo "Atualização disponível" junto ao nome da regra.

1. No painel Análise , selecione o separador Regras ativas .

2. Selecione qualquer regra do tipo Agendado.

   • Se a regra apresentar o destaque "Atualização disponível", o painel de detalhes terá um botão Rever e atualizar junto ao botão Editar (ver imagem 1 no passo seguinte abaixo).

   • Se a regra tiver sido criada a partir de um modelo, mas não tiver o distintivo "Atualização disponível", o painel de detalhes terá um botão Comparar com modelo junto ao botão Editar (veja as imagens 2 e 3 no passo seguinte abaixo).

   • Se existir apenas um botão Editar , a regra foi criada de raiz e não a partir de um modelo.

     

3. Desloque-se para baixo até à parte inferior do painel de detalhes, onde verá dois números de versão: a versão do modelo a partir do qual a regra foi criada e a versão mais recente disponível do modelo.

   

   O número está num formato "1.0.0" – versão principal, versão secundária e compilação.

   • Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar a forma como a regra deteta ameaças ou até mesmo a sua capacidade de funcionar completamente. Esta é uma alteração que vai querer incluir nas suas regras.

   • Uma diferença no número da versão secundária indica uma pequena melhoria no modelo – uma alteração cosmética ou algo semelhante – que seria "agradável de ter", mas não é fundamental para manter a funcionalidade, eficácia ou desempenho da regra. Esta é uma alteração que pode tirar ou sair facilmente.

   Nota

   As imagens 2 e 3 acima mostram dois exemplos de regras criadas a partir de modelos, em que o modelo não foi atualizado.

   • A imagem 2 mostra uma regra que tem um número de versão para o modelo atual. Isto indica que a regra foi criada após a implementação inicial do controlo de versões do modelo pelo Microsoft Sentinel em outubro de 2021.
   • A imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isto mostra que a regra tinha sido criada antes de outubro de 2021. Se existir uma versão de modelo mais recente disponível, é provável que seja uma versão mais recente do modelo do que a utilizada para criar a regra.

Comparar a regra ativa com o respetivo modelo

Escolha um dos seguintes separadores de acordo com a ação que pretende efetuar, para ver as instruções para essa ação:

Atualizar modelo

Depois de ter selecionado uma regra e determinado que pretende considerar atualizá-la, selecione Rever e atualizar no painel de detalhes (ver acima). Verá que o assistente de regras de Análise tem agora um separador Comparar com a versão mais recente .

Neste separador, verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.

Nota

A atualização desta regra substituirá a regra existente pela versão mais recente do modelo.

Qualquer passo ou lógica de automatização que faça referência à regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, quaisquer personalizações efetuadas na criação da regra original – alterações à consulta, agendamento, agrupamento ou outras definições – podem ser substituídas.

Atualizar a regra com a nova versão do modelo

• Se as alterações efetuadas à nova versão do modelo forem aceitáveis para si e nada mais na regra original tiver sido afetada, selecione Rever e atualizar para validar e aplicar as alterações.

• Se quiser personalizar ainda mais a regra ou voltar a aplicar quaisquer alterações que possam ser substituídas, selecione Seguinte: Alterações personalizadas. Se escolher esta opção, irá percorrer os restantes separadores do assistente de regras de Análise para efetuar essas alterações, após o qual irá validar e aplicar as alterações no separador Rever e atualizar .

• Se não quiser fazer alterações à regra existente, mas sim manter a versão do modelo existente, basta sair do assistente ao selecionar o X no canto superior direito.

Reverter para modelo

Depois de ter selecionado uma regra e determinado que pretende reverter para a versão original, selecione Comparar com o modelo no painel de detalhes (ver acima). Verá que o assistente de regras de Análise tem agora um separador Comparar com a versão mais recente .

Neste separador, verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo. Estes dois números de versão podem ser os mesmos, mas o lado esquerdo mostra a regra ativa, incluindo as alterações que lhe foram feitas durante ou após a criação do modelo, enquanto o lado direito mostra o modelo inalterado.

Nota

A atualização desta regra substituirá a regra existente pela versão mais recente do modelo. Qualquer passo ou lógica de automatização que faça referência à regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, quaisquer personalizações efetuadas na criação da regra original – alterações à consulta, agendamento, agrupamento ou outras definições – podem ser substituídas.

Reverter a regra para a versão original do modelo

• Se quiser reverter completamente para a versão original desta regra - uma cópia limpa do modelo - selecione Rever e atualizar para validar e aplicar as alterações.

• Se quiser personalizar a regra de forma diferente ou voltar a aplicar quaisquer alterações que possam ser substituídas, selecione Seguinte: Alterações personalizadas. Se escolher esta opção, irá percorrer os restantes separadores do assistente de regras de Análise para efetuar essas alterações, após o qual irá validar e aplicar as alterações no separador Rever e atualizar .

• Se não quiser efetuar alterações à regra existente, basta sair do assistente ao selecionar o X no canto superior direito.

Passos seguintes

Neste documento, aprendeu a controlar as versões dos seus modelos de regras de análise do Microsoft Sentinel e a reverter regras ativas para versões de modelo existentes ou a atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba mais sobre as regras de análise.
• Veja mais detalhes sobre o assistente de regras de análise.