Partilhar via

Monitorizar e otimizar a execução das regras de análise agendadas

  • Artigo

Para garantir que a deteção de ameaças do Microsoft Sentinel fornece cobertura completa no seu ambiente, tire partido das ferramentas de gestão de execução. Estas ferramentas consistem em informações sobre a execução das regras de análise agendadas , com base nos dados de estado de funcionamento e auditoria do Microsoft Sentinel e numa instalação para executar manualmente execuções anteriores de regras em janelas de tempo específicas, para fins de teste e/ou resolução de problemas.

Importante

As informações de regras de análise e a nova execução manual do Microsoft Sentinel estão atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas para disponibilidade geral.

Resumo

Existem duas ferramentas de gestão de execução para regras de análise agendadas: informações de regras agendadas incorporadas e a capacidade de executar novamente as regras agendadas a pedido.

Na página Análise , o painel Informações é apresentado como outro separador no painel de detalhes, juntamente com o separador Informações . O painel Informações fornece informações sobre a atividade e os resultados de uma regra. Por exemplo: execuções falhadas, principais problemas de estado de funcionamento, contagem de alertas ao longo do tempo e classificações de encerramento de incidentes criados pela regra. Estas informações ajudam os seus analistas de segurança a identificar potenciais problemas ou configurações incorretas com regras de análise e permitem-lhes detetar e corrigir falhas de regras e otimizar as configurações de regras para um melhor desempenho e precisão.

Também na página Análise , tem a capacidade de executar novamente as regras de análise a pedido. Esta capacidade fornece flexibilidade e controlo para validar a eficácia das regras. Pode ser útil em cenários como refinamento de regras, testes, validação e outros. Ter flexibilidade para iniciar execuções manuais pode suportar operações de segurança eficientes, ativar uma resposta eficaz a incidentes e melhorar as capacidades gerais de deteção e resposta do sistema.

Casos de utilização e benefícios da nova execução da regra

Eis alguns cenários que podem beneficiar da repetição de execuções específicas de regras de análise:

Refinamento e otimização de regras: As regras de análise podem exigir ajustes periódicos e otimização com base no panorama das ameaças em evolução e na alteração das necessidades organizacionais. Ao executar manualmente as regras, os seus analistas podem avaliar o impacto das modificações de regras e validar a sua eficácia antes de as implementar num ambiente de produção.

Teste e validação: Ao introduzir novas regras de análise, efetuar alterações significativas às existentes ou desenvolver novos manuais de procedimentos de incidentes, é essencial testar exaustivamente o desempenho e a precisão. A nova execução manual permite-lhe simular diferentes cenários, incluindo o fluxo de incidentes automatizado ponto a ponto, e validar as regras relativamente a um conjunto consistente de entradas de dados. Este processo garante que as regras geram os alertas esperados sem produzir falsos positivos excessivos.

Investigação de incidentes: Em caso de incidente de segurança ou atividade suspeita, os seus analistas poderão querer obter detalhes adicionais nos alertas já gerados. Podem fazê-lo ao atualizar a regra e executá-la novamente em intervalos de execução específicos (com uma cópia de segurança de sete dias) para recolher informações adicionais e identificar eventos relacionados. A nova execução manual permite que os seus analistas realizem investigações aprofundadas e ajude a garantir uma cobertura abrangente.

Conformidade e auditoria: Alguns requisitos regulamentares ou políticas internas podem exigir a nova execução de regras de análise periodicamente ou a pedido para demonstrar monitorização e conformidade contínuas. A nova execução manual proporciona a capacidade de cumprir essas obrigações ao garantir que as regras são aplicadas de forma consistente e geram alertas adequados.

Pré-requisitos

Para utilizar as ferramentas de gestão de execução, tem de ter a funcionalidade de estado de funcionamento e auditoria do Microsoft Sentinel ativada e, especificamente, a monitorização do estado de funcionamento da regra de análise. Saiba como ativar o estado de funcionamento e a auditoria.

Ver informações de regras de análise

Para tirar partido destas ferramentas, comece por examinar as informações sobre uma determinada regra.

  1. No menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Localize e selecione uma regra (Agendada ou NRT) cujas informações gostaria de ver.

  3. Selecione o separador Informações no painel de detalhes.

    Captura de ecrã a mostrar a seleção de uma regra de análise.

  4. Quando selecionar o separador Informações , o seletor de intervalo de tempo será apresentado. Selecione um período de tempo ou deixe-o como a predefinição das últimas 24 horas.

    Captura de ecrã do seletor de intervalo de tempo na página Análise.

O painel Informações mostra atualmente quatro tipos de informações. Cada informação é seguida por uma ligação Ver tudo que o leva à página Registos e apresenta a consulta que produziu as informações juntamente com os resultados não processados completos. Eis as informações:

  • As execuções falhadas apresentam uma lista de execuções falhadas desta regra no período de tempo especificado. Estas informações também são seguidas por uma ligação para o painel Execuções de regras, onde pode ver uma lista de todas as vezes que a regra foi executada e pode reproduzir execuções específicas da regra.

  • Os principais problemas de estado de funcionamento apresentam uma lista dos problemas de estado de funcionamento mais comuns para esta regra durante o período de tempo especificado. Estas informações também são seguidas por uma ligação Ver execuções que o leva à página Registos onde verá uma consulta de todas as vezes que esta regra foi executada.

  • O gráfico de alertas mostra um gráfico do número de alertas gerados por esta regra no período de tempo especificado.

  • A classificação de incidentes mostra um resumo da classificação de incidentes fechados criados por esta regra durante o período de tempo especificado.

Executar novamente regras de análise

Existem vários cenários que podem levá-lo a executar novamente uma regra.

  • Falha na execução de uma regra devido a uma condição temporária que foi revertida para o normal ou devido a uma configuração incorreta. Depois de corrigir a configuração incorreta ou reparar a condição, deverá voltar a executar a regra na mesma janela de tempo (ou seja, nos mesmos dados) que a execução que falhou, para mitigar as lacunas na cobertura.

  • Uma regra foi executada com êxito, mas não forneceu informações suficientes nos alertas que gerou. Neste caso, poderá querer editar a regra para fornecer mais informações, seja ao alterar a consulta ou as definições de melhoramento. Em seguida, vai querer executar novamente a regra na mesma janela de tempo (ou seja, nos mesmos dados) da execução para a qual pretende obter mais informações.

  • Pode estar a experimentar escrever ou editar uma regra e pretende ver como as diferentes definições afetariam os alertas gerados pela regra. Para uma comparação válida, pretende executar novamente a regra na mesma janela de tempo.

Eis como executar novamente uma regra:

  1. Na página Análise , selecione Execuções de regras (Pré-visualização) na barra de ferramentas na parte superior. O painel Execuções de regras será aberto.

    Captura de ecrã a mostrar como aceder ao painel de execuções de regras.

    Também pode aceder ao painel Execuções de regras ao selecionar Executar novamente as regras a partir da apresentação Execuções falhadas no separador Informações (ver acima).

    Captura de ecrã do painel de execuções de regras.

  2. Selecione as execuções de regras que pretende reproduzir, de acordo com a janela de tempo em que foram executadas originalmente, conforme apresentado na coluna Tempo de execução . Pode escolher mais do que uma execução de regra.

    Captura de ecrã a mostrar a escolha de execuções de regras para serem executadas novamente.

  3. Selecione Reproduzir execução. Serão apresentadas notificações que mostram o progresso dos pedidos e que as regras foram em fila de espera para execução.

    Captura de ecrã a mostrar as notificações de execução de regras.

  4. Selecione Atualizar para ver o estado atualizado das execuções da regra. Verá que os seus pedidos são apresentados entre os mesmos, com o estado Em curso (será eventualmente apresentado como Êxito) e um tipo de Acionado pelo Utilizador em oposição ao Acionado pelo Sistema.

    Captura de ecrã a mostrar o progresso das repetições de regras.

    Também irá reparar que o tempo de execução das execuções pedidas é o mesmo que a execução original da execução acionada pelo sistema e não o tempo de execução da sua nova execução. Isto é para lhe mostrar qual é a janela de tempo que a sua nova execução está a referenciar.

    Só pode reproduzir execuções de regras acionadas pelo sistema e não as acionadas pelo utilizador.

Selecione Ver detalhes completos no final da linha de qualquer execução de regra para ver os detalhes completos e não processados no ecrã Registos .

Passos seguintes