Monitorizar o estado de funcionamento e auditar a integridade das regras de análise

Para garantir uma deteção de ameaças abrangente, ininterrupta e sem adulteração no serviço Microsoft Sentinel, controle o estado de funcionamento e a integridade das regras de análise. Mantenha-os a funcionar da melhor forma ao monitorizar as informações de execução, ao consultar os registos de estado de funcionamento e auditoria e ao utilizar a nova execução manual para testar e otimizar as suas regras.

Configure notificações de eventos de estado de funcionamento e auditoria para intervenientes relevantes, que podem então tomar medidas. Por exemplo, defina e envie e-mails ou mensagens do Microsoft Teams, crie novos pedidos de suporte no seu sistema de pedidos de suporte e assim sucessivamente.

Este artigo descreve como utilizar as funcionalidades de auditoria e monitorização do estado de funcionamento do Microsoft Sentinel para controlar o estado de funcionamento e a integridade das regras de análise a partir de Microsoft Sentinel.

Para obter informações sobre as informações de regras e a nova execução manual de regras, veja Monitorizar e otimizar a execução das regras de análise agendada.

Resumo

• Microsoft Sentinel registos de estado de funcionamento da regra de análise:

  • Este registo captura eventos que registam a execução de regras de análise e o resultado final destas execuções— se foram bem-sucedidas ou falharam e, se falharam, porquê.
  • O registo também regista, para cada execução de uma regra de análise:
    • Quantos eventos a consulta da regra capturou.
    • Se o número de eventos passou o limiar definido na regra, fazendo com que a regra acione um alerta.

  Estes registos são recolhidos na tabela SentinelHealth no Log Analytics.

• Microsoft Sentinel registos de auditoria de regras de análise:

  • Este registo captura eventos que registam as alterações efetuadas a qualquer regra de análise, incluindo os seguintes detalhes:
    • O nome da regra que foi alterada.
    • Que propriedades da regra foram alteradas.
    • O estado das definições da regra antes e depois da alteração.
    • O utilizador ou identidade que efetuou a alteração.
    • O IP de origem e a data/hora da alteração.
    • ... e muito mais.

  Estes registos são recolhidos na tabela SentinelAudit no Log Analytics.

Utilizar as tabelas de dados SentinelHealth e SentinelAudit

Para obter dados de auditoria e estado de funcionamento das tabelas descritas anteriormente, primeiro tem de ativar a funcionalidade de estado de funcionamento do Microsoft Sentinel da área de trabalho. Para obter mais informações, veja Ativar a auditoria e a monitorização do estado de funcionamento para Microsoft Sentinel.

Assim que a funcionalidade de estado de funcionamento estiver ativada, a tabela de dados SentinelHealth é criada no primeiro evento de êxito ou falha gerado para as regras de automatização e manuais de procedimentos.

Compreender os eventos de tabela SentinelHealth e SentinelAudit

A tabela SentinelHealth regista os seguintes tipos de eventos de estado de funcionamento da regra de análise:

• Execução da regra de análise agendada.
• Execução da regra de análise NRT.

Para obter mais informações, veja SentinelHealth table columns schema (Esquema de colunas de tabela SentinelHealth).

A tabela SentinelAudit regista os seguintes tipos de eventos de auditoria de regras de análise:

• Criar ou atualizar a regra de análise.
• Regra de análise eliminada.

Para obter mais informações, veja SentinelAudit table columns schema (Esquema de colunas de tabela SentinelAudit).

Executar consultas para detetar problemas de integridade e estado de funcionamento

Para obter os melhores resultados, crie as consultas nas funções pré-criadas para estas tabelas , _SentinelHealth() e _SentinelAudit(), em vez de consultar diretamente as tabelas. Estas funções mantêm a retrocompatibilidade das consultas se forem feitas alterações ao esquema das tabelas.

Como primeiro passo, filtre as tabelas para obter dados relacionados com regras de análise. Utilize o SentinelResourceType parâmetro .

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se quiser, pode filtrar ainda mais a lista para um determinado tipo de regra de análise. Utilize o SentinelResourceKind parâmetro para tal.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Seguem-se algumas consultas de exemplo para o ajudar a começar:

• Localize as regras que são "autodisabled":

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Reason == "The analytics rule is disabled and was not executed."
  

• Conte as regras e execuções que foram bem-sucedidas ou falharam, por motivo:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
  

• Localizar atividade de eliminação de regras:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | where Description =="Analytics rule deleted"
  

• Localize a atividade nas regras, por nome da regra e nome da atividade:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
  

• Localizar atividade nas regras, pelo nome do autor da chamada (a identidade que efetuou a atividade):

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | extend Caller= tostring(ExtendedProperties.CallerName)
  | summarize Count = count() by Caller, Activity=Description
  

Veja mais informações sobre os seguintes itens utilizados nos exemplos anteriores, na documentação do Kusto:

• operador where
• operador summarize
• função tostring()
• função de agregação count()
• função de agregação dcount()

Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Pesquisa Kusto (KQL).

Outros recursos:

• Referência rápida do KQL
• recursos de aprendizagem Linguagem de Pesquisa Kusto

Regras agendadas

Quando uma regra de agendamento falha, é repetida mais cinco vezes na mesma janela. A regra não ignora a janela e falha um alerta, desde que uma das seis tentativas seja bem-sucedida.

Uma falha numa das seis tentativas indica um atraso no acionamento do alerta. A consulta seguinte calcula o atraso exato:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Para procurar falhas completas (ou seja, uma janela que foi ignorada), utilize a seguinte consulta:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Esta consulta procura execuções de regras de análise agendada onde nenhuma das seis tentativas foi bem-sucedida. Pode identificar uma repetição ao observar a hora de início da janela da regra, uma vez que as repetições analisam sempre a hora de início original. Esta consulta dá-lhe a quantidade de janelas ignoradas para cada regra de análise. Esperamos que as janelas ignoradas sejam raras. Se vir que tem regras de análise com janelas ignoradas, utilize as consultas para compreender o motivo da falha destas regras específicas e o índice de razões e mitigações de falhas para as corrigir.

Regras NRT

O mecanismo de repetição das regras NRT comporta-se de forma diferente das regras agendadas. Se uma regra não for executada, o sistema também considera a janela com falha na execução seguinte (um minuto depois). Este comportamento continua até 60 falhas (uma hora).

Uma vez que uma falha de uma execução específica reflete apenas um minuto de atraso, não observe falhas únicas. Em vez disso, utilize a seguinte consulta para monitorizar o atraso de cada regra analítica:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Também pode definir uma regra de análise para acionar alertas sobre atrasos significativos (por exemplo, se uma regra NRT tiver um atraso superior a 10 minutos).

Estados, erros e passos sugeridos

Para a execução da regra de análise agendada ou a execução da regra de análise NRT, poderá ver qualquer um dos seguintes estados e descrições:

• Êxito: regra executada com êxito, gerando <n> alertas.

• Êxito: a regra foi executada com êxito, mas não atingiu o limiar (<n>) necessário para gerar um alerta.

• Falha: estas descrições explicam a falha da regra e o que pode fazer em relação às mesmas.

  Descrição	Remediação
  Ocorreu um erro interno do servidor ao executar a consulta.
  A execução da consulta excedeu o limite de tempo.
  Não foi encontrada uma tabela referenciada na consulta.	Verifique se a origem de dados relevante está ligada.
  Ocorreu um erro semântico ao executar a consulta.	Experimente repor a regra de análise ao editá-la e guardá-la (sem alterar as definições).
  Uma função chamada pela consulta tem o nome com uma palavra reservada.	Remova ou mude o nome da função.
  Ocorreu um erro de sintaxe ao executar a consulta.	Experimente repor a regra de análise ao editá-la e guardá-la (sem alterar as definições).
  A área de trabalho não existe.
  Esta consulta utiliza demasiados recursos do sistema e foi impedida de ser executada.	Reveja e ajuste a regra de análise. Veja a nossa documentação de descrição geral e melhores práticas do Linguagem de Pesquisa Kusto.
  Não foi encontrada uma função chamada pela consulta.	Verifique a existência na área de trabalho de todas as funções chamadas pela consulta.
  A área de trabalho utilizada na consulta não foi encontrada.	Verifique se todas as áreas de trabalho na consulta existem.
  Não tem permissões para executar esta consulta.	Experimente repor a regra de análise ao editá-la e guardá-la (sem alterar as definições).
  Não tem permissões de acesso a um ou mais dos recursos na consulta.
  A consulta referia-se a um caminho de armazenamento que não foi encontrado.
  Foi negado o acesso à consulta a um caminho de armazenamento.
  São definidas múltiplas funções com o mesmo nome nesta área de trabalho.	Remova ou mude o nome da função redundante e reponha a regra ao editá-la e guardá-la.
  Esta consulta não devolveu nenhum resultado.
  Não são permitidos vários conjuntos de resultados nesta consulta.
  Os resultados da consulta contêm um número inconsistente de campos por linha.
  A execução da regra foi adiada devido a tempos de ingestão de dados longos.
  A execução da regra foi adiada devido a problemas temporários.
  O alerta não foi melhorado devido a problemas temporários.
  O alerta não foi melhorado devido a problemas de mapeamento de entidades.
  < número> as entidades foram removidas no nome> do alerta < devido ao limite de tamanho do alerta de 32 KB.
  < número> as entidades foram removidas no nome> do alerta < devido a problemas de mapeamento de entidades.
  A consulta resultou em eventos numéricos><, que excedem o máximo de resultados de limite> permitidos para < regras de <tipo> de regra com a configuração de agrupamento de eventos alerta por linha. O alerta por linha foi gerado para os primeiros < eventos limit-1> e foi gerado um alerta agregado adicional para contabilizar todos os eventos. - <number> = número de eventos devolvidos pela consulta - <limite> = atualmente 150 alertas para regras agendadas, 30 para regras NRT - < tipo >de regra = Agendado ou NRT

Utilizar o livro de auditoria e monitorização do estado de funcionamento

1. Para disponibilizar o livro na área de trabalho, instale a solução de livro a partir do hub de conteúdos Microsoft Sentinel:

   1. No portal Microsoft Sentinel, selecione Hub de conteúdos (Pré-visualização) no menu Gestão de conteúdos.

   2. No Hub de conteúdos, introduza estado de funcionamento na barra de pesquisa e selecione Estado de Funcionamento da Análise & Auditar entre as soluções de Livro em Autónomo nos resultados.

      

   3. Selecione Instalar no painel de detalhes e, em seguida, selecione Guardar que aparece no respetivo local.

2. Quando a solução indicar que está instalada, selecione Livros no menu Gestão de ameaças .

   

3. Na galeria Livros, selecione o separador Modelos, introduza estado de funcionamento na barra de pesquisa e selecione Estado de Funcionamento da Análise & Auditar entre os resultados.

   

4. Selecione Guardar no painel de detalhes para criar uma cópia editável e utilizável do livro. Quando a cópia for criada, selecione Ver livro guardado.

5. Uma vez no livro, primeiro selecione a subscrição e a área de trabalho que pretende ver (podem já estar selecionadas) e, em seguida, defina TimeRange para filtrar os dados de acordo com as suas necessidades. Utilize o botão de alternar Mostrar ajuda para apresentar a explicação no local do livro.

   

Este livro tem três secções com separadores:

Separador Descrição geral

O separador Descrição Geral mostra resumos de estado de funcionamento e auditoria:

• Resumos do estado de funcionamento das execuções da regra de análise na área de trabalho selecionada: número de execuções, êxitos e falhas e detalhes de eventos de falha.
• Auditar resumos de atividades sobre regras de análise na área de trabalho selecionada: número de atividades ao longo do tempo, número de atividades por tipo e número de atividades de diferentes tipos por regra.

Separador Estado de Funcionamento

O separador Estado de Funcionamento permite-lhe explorar eventos de estado de funcionamento específicos.

• Filtre todos os dados da página por estado (êxito ou falha) e tipo de regra (agendado ou NRT).
• Veja as tendências de execuções de regras com êxito e falhadas (dependendo do filtro de estado) durante o período de tempo selecionado. Pode "escovar o tempo" do gráfico de tendências para ver um subconjunto do intervalo de tempo original.
• Filtre o resto da página por motivo.
• Veja o número total de execuções de todas as regras de análise, apresentadas proporcionalmente por estado num gráfico circular.
• Segue-se uma tabela que mostra o número de regras de análise exclusivas executadas, divididas por tipo de regra e estado.
  • Selecione um estado para filtrar os restantes gráficos para esse estado.
  • Limpe o filtro ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Veja cada estado, com o número de possíveis motivos para esse estado. (Apenas são apresentados os motivos representados nas execuções no período de tempo selecionado.)
  • Selecione um estado para filtrar os restantes gráficos para esse estado.
  • Limpe o filtro ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Em seguida, veja uma lista desses motivos, com o número total de execuções de regras combinadas e o número de regras exclusivas que foram executadas.
  • Selecione um motivo para filtrar os seguintes gráficos por esse motivo.
  • Limpe o filtro ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Depois disso, encontra-se uma lista das regras de análise exclusivas executadas, com os resultados mais recentes e as linhas de tendência do êxito e da falha (consoante o estado selecionado para filtrar a lista).
  • Selecione uma regra para desagregar e mostrar uma nova tabela com todas as execuções dessa regra (no período de tempo selecionado).
  • Limpe essa tabela ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Se selecionar uma regra na lista, será apresentada uma nova tabela com os detalhes do estado de funcionamento da regra selecionada.

Separador Auditoria

O separador Auditoria permite-lhe desagregar eventos de auditoria específicos.

• Filtre todos os dados da página por tipo de regra de auditoria (agendado/Fusão).
• Veja as tendências da atividade auditada nas regras de análise durante o período de tempo selecionado. Pode "escovar o tempo" do gráfico de tendências para ver um subconjunto do intervalo de tempo original.
• Veja os números de eventos auditados, divididos por atividade e tipo de regra.
  • Selecione uma atividade para filtrar os seguintes gráficos para essa atividade.
  • Limpe o filtro ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Veja o número de eventos auditados por nome de regra.
  • Selecione um nome de regra para filtrar a seguinte tabela para essa regra e para desagregar e mostrar uma nova tabela com toda a atividade nessa regra (no período de tempo selecionado). (Veja depois da seguinte captura de ecrã.)
  • Limpe o filtro ao selecionar o ícone "Limpar seleção" (parece um ícone "Anular") no canto superior direito do gráfico.
• Veja o número de eventos auditados por autor da chamada (a identidade que efetuou a atividade).
• Se tiver selecionado um nome de regra no gráfico anterior, é apresentada outra tabela a mostrar as atividades auditadas nessa regra. Selecione o valor que aparece como uma ligação na coluna ExtendedProperties para abrir um painel lateral que apresenta as alterações efetuadas à regra.

Passos seguintes

• Monitorizar e otimizar a execução de regras de análise no Microsoft Sentinel.
• Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
• Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
• Monitorize o estado de funcionamento das regras de automatização e dos manuais de procedimentos.
• Monitorizar o estado de funcionamento dos conectores de dados.
• Veja mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit .