Monitorizar e otimizar a execução das regras de análise agendadas
Para garantir que a deteção de ameaças do Microsoft Sentinel fornece cobertura completa no seu ambiente, tire partido das ferramentas de gestão de execução. Estas ferramentas consistem em informações sobre a execução das regras de análise agendadas , com base nos dados de estado de funcionamento e auditoria do Microsoft Sentinel e numa instalação para executar manualmente execuções anteriores de regras em janelas de tempo específicas, para fins de teste e/ou resolução de problemas.
Importante
As informações de regras de análise e a nova execução manual do Microsoft Sentinel estão atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas para disponibilidade geral.
Resumo
Existem duas ferramentas de gestão de execução para regras de análise agendadas: informações de regras agendadas incorporadas e a capacidade de executar novamente as regras agendadas a pedido.
Na página Análise , o painel Informações é apresentado como outro separador no painel de detalhes, juntamente com o separador Informações . O painel Informações fornece informações sobre a atividade e os resultados de uma regra. Por exemplo: execuções falhadas, principais problemas de estado de funcionamento, contagem de alertas ao longo do tempo e classificações de encerramento de incidentes criados pela regra. Estas informações ajudam os seus analistas de segurança a identificar potenciais problemas ou configurações incorretas com regras de análise e permitem-lhes detetar e corrigir falhas de regras e otimizar as configurações de regras para um melhor desempenho e precisão.
Também na página Análise , tem a capacidade de executar novamente as regras de análise a pedido. Esta capacidade fornece flexibilidade e controlo para validar a eficácia das regras. Pode ser útil em cenários como refinamento de regras, testes, validação e outros. Ter flexibilidade para iniciar execuções manuais pode suportar operações de segurança eficientes, ativar uma resposta eficaz a incidentes e melhorar as capacidades gerais de deteção e resposta do sistema.
Casos de utilização e benefícios da nova execução da regra
Eis alguns cenários que podem beneficiar da repetição de execuções específicas de regras de análise:
Refinamento e otimização de regras: As regras de análise podem exigir ajustes periódicos e otimização com base no panorama das ameaças em evolução e na alteração das necessidades organizacionais. Ao executar manualmente as regras, os seus analistas podem avaliar o impacto das modificações de regras e validar a sua eficácia antes de as implementar num ambiente de produção.
Teste e validação: Ao introduzir novas regras de análise, efetuar alterações significativas às existentes ou desenvolver novos manuais de procedimentos de incidentes, é essencial testar exaustivamente o desempenho e a precisão. A nova execução manual permite-lhe simular diferentes cenários, incluindo o fluxo de incidentes automatizado ponto a ponto, e validar as regras relativamente a um conjunto consistente de entradas de dados. Este processo garante que as regras geram os alertas esperados sem produzir falsos positivos excessivos.
Investigação de incidentes: Em caso de incidente de segurança ou atividade suspeita, os seus analistas poderão querer obter detalhes adicionais nos alertas já gerados. Podem fazê-lo ao atualizar a regra e executá-la novamente em intervalos de execução específicos (com uma cópia de segurança de sete dias) para recolher informações adicionais e identificar eventos relacionados. A nova execução manual permite que os seus analistas realizem investigações aprofundadas e ajude a garantir uma cobertura abrangente.
Conformidade e auditoria: Alguns requisitos regulamentares ou políticas internas podem exigir a nova execução de regras de análise periodicamente ou a pedido para demonstrar monitorização e conformidade contínuas. A nova execução manual proporciona a capacidade de cumprir essas obrigações ao garantir que as regras são aplicadas de forma consistente e geram alertas adequados.
Pré-requisitos
Para utilizar as ferramentas de gestão de execução, tem de ter a funcionalidade de estado de funcionamento e auditoria do Microsoft Sentinel ativada e, especificamente, a monitorização do estado de funcionamento da regra de análise. Saiba como ativar o estado de funcionamento e a auditoria.
Ver informações de regras de análise
Para tirar partido destas ferramentas, comece por examinar as informações sobre uma determinada regra.
No menu de navegação do Microsoft Sentinel, selecione Análise.
Localize e selecione uma regra (Agendada ou NRT) cujas informações gostaria de ver.
Selecione o separador Informações no painel de detalhes.
Quando selecionar o separador Informações , o seletor de intervalo de tempo será apresentado. Selecione um período de tempo ou deixe-o como a predefinição das últimas 24 horas.
O painel Informações mostra atualmente quatro tipos de informações. Cada informação é seguida por uma ligação Ver tudo que o leva à página Registos e apresenta a consulta que produziu as informações juntamente com os resultados não processados completos. Eis as informações:
As execuções falhadas apresentam uma lista de execuções falhadas desta regra no período de tempo especificado. Estas informações também são seguidas por uma ligação para o painel Execuções de regras, onde pode ver uma lista de todas as vezes que a regra foi executada e pode reproduzir execuções específicas da regra.
Os principais problemas de estado de funcionamento apresentam uma lista dos problemas de estado de funcionamento mais comuns para esta regra durante o período de tempo especificado. Estas informações também são seguidas por uma ligação Ver execuções que o leva à página Registos onde verá uma consulta de todas as vezes que esta regra foi executada.
O gráfico de alertas mostra um gráfico do número de alertas gerados por esta regra no período de tempo especificado.
A classificação de incidentes mostra um resumo da classificação de incidentes fechados criados por esta regra durante o período de tempo especificado.
Executar novamente regras de análise
Existem vários cenários que podem levá-lo a executar novamente uma regra.
Falha na execução de uma regra devido a uma condição temporária que foi revertida para o normal ou devido a uma configuração incorreta. Depois de corrigir a configuração incorreta ou reparar a condição, deverá voltar a executar a regra na mesma janela de tempo (ou seja, nos mesmos dados) que a execução que falhou, para mitigar as lacunas na cobertura.
Uma regra foi executada com êxito, mas não forneceu informações suficientes nos alertas que gerou. Neste caso, poderá querer editar a regra para fornecer mais informações, seja ao alterar a consulta ou as definições de melhoramento. Em seguida, vai querer executar novamente a regra na mesma janela de tempo (ou seja, nos mesmos dados) da execução para a qual pretende obter mais informações.
Pode estar a experimentar escrever ou editar uma regra e pretende ver como as diferentes definições afetariam os alertas gerados pela regra. Para uma comparação válida, pretende executar novamente a regra na mesma janela de tempo.
Eis como executar novamente uma regra:
Na página Análise , selecione Execuções de regras (Pré-visualização) na barra de ferramentas na parte superior. O painel Execuções de regras será aberto.
Também pode aceder ao painel Execuções de regras ao selecionar Executar novamente as regras a partir da apresentação Execuções falhadas no separador Informações (ver acima).
Selecione as execuções de regras que pretende reproduzir, de acordo com a janela de tempo em que foram executadas originalmente, conforme apresentado na coluna Tempo de execução . Pode escolher mais do que uma execução de regra.
Selecione Reproduzir execução. Serão apresentadas notificações que mostram o progresso dos pedidos e que as regras foram em fila de espera para execução.
Selecione Atualizar para ver o estado atualizado das execuções da regra. Verá que os seus pedidos são apresentados entre os mesmos, com o estado Em curso (será eventualmente apresentado como Êxito) e um tipo de Acionado pelo Utilizador em oposição ao Acionado pelo Sistema.
Também irá reparar que o tempo de execução das execuções pedidas é o mesmo que a execução original da execução acionada pelo sistema e não o tempo de execução da sua nova execução. Isto é para lhe mostrar qual é a janela de tempo que a sua nova execução está a referenciar.
Só pode reproduzir execuções de regras acionadas pelo sistema e não as acionadas pelo utilizador.
Selecione Ver detalhes completos no final da linha de qualquer execução de regra para ver os detalhes completos e não processados no ecrã Registos .
Passos seguintes
- Monitorize o estado de funcionamento e audite a integridade das suas regras de análise.
- Saiba mais sobre a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Ative a auditoria e a monitorização do estado de funcionamento no Microsoft Sentinel.
- Veja mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit .