Agregar dados do Microsoft Sentinel com regras de resumo (Pré-visualização)

Use regras de resumo pré-criadas ou personalizadas no Microsoft Sentinel para agregar informações em uma cadência regular a partir de grandes conjuntos de dados em qualquer camada de log, incluindo a camada de log auxiliar. Trabalhar com dados resumidos melhora o desempenho da consulta e ajuda a otimizar seus dados para:

• Análise e relatórios, especialmente em grandes conjuntos de dados e intervalos de tempo, conforme necessário para análise de segurança e incidentes, relatórios de negócios mês a mês ou anuais e assim por diante.
• Economia de custos em logs detalhados, que se podem reter por um período tão curto ou longo quanto necessário numa camada de log mais barata, enviando apenas dados resumidos para uma tabela de Analytics para análise e relatórios.
• Segurança e privacidade de dados, removendo ou ofuscando detalhes de privacidade em dados compartilháveis resumidos e limitando o acesso a tabelas com dados brutos.

O Microsoft Sentinel armazena os resultados da regra de resumo em tabelas personalizadas com o plano de dados do Analytics. Para obter mais informações sobre planos de dados e custos de armazenamento, consulte Planos de tabela de log.

Este artigo explica como criar regras de resumo ou implantar modelos de regra de resumo pré-criados no Microsoft Sentinel e fornece exemplos de cenários comuns para usar regras de resumo.

Importante

As regras resumidas estão atualmente em prévia. Consulte os Termos de Utilização Complementares das Visualizações Prévias do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão em beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5. A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente. Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel (blog).

Pré-requisitos

Para criar regras de resumo no Microsoft Sentinel:

• O Microsoft Sentinel deve estar habilitado em pelo menos um espaço de trabalho e consumir logs ativamente.

• Você deve ser capaz de acessar o Microsoft Sentinel com permissões de Colaborador do Microsoft Sentinel . Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.

• Para criar regras de resumo no portal do Microsoft Defender, você deve primeiro integrar seu espaço de trabalho ao portal do Defender. Para obter mais informações, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.

Recomendamos que você experimente a consulta de regra de resumo na página Logs antes de criar a regra. Verifique se a consulta não atinge ou se aproxima do limite de consulta e verifique se a consulta produz o esquema pretendido e os resultados esperados. Se a consulta estiver próxima dos limites de consulta, considere usar um menor binSize para processar menos dados por compartimento. Você também pode modificar a consulta para retornar menos registros ou remover campos com maior volume.

Criar uma nova regra de resumo

Crie uma nova regra de resumo para agregar um grande conjunto específico de dados em uma tabela dinâmica. Configure a frequência da regra para determinar com que frequência o conjunto de dados agregados é atualizado a partir dos dados brutos.

1. Abra o assistente de regra de resumo:

   • No portal do Defender, selecione Configuração do Microsoft Sentinel > Regras de Resumo > (Pré-visualização).

   • No portal do Azure, no menu de navegação do Microsoft Sentinel, em Configuração, selecione Regras de resumo (Pré-visualização). Por exemplo:

     

2. Selecione + Criar e insira os seguintes detalhes:

   • Nome. Insira um nome significativo para sua regra.

   • Descrição. Insira uma descrição opcional.

   • Tabela de destino. Defina a tabela de log personalizada onde seus dados são agregados:

     • Se você selecionar Tabela de log personalizada existente, selecione a tabela que deseja usar.

     • Se você selecionar Nova tabela de log personalizada, insira um nome significativo para a tabela. O nome completo da tabela usa a seguinte sintaxe: <tableName>_CL.

3. Recomendamos que você habilite as configurações de diagnóstico do SummaryLogs em seu espaço de trabalho para obter visibilidade para runas e falhas históricas. Se as configurações de diagnóstico SummaryLogs não estiverem habilitadas, você será solicitado a habilitá-las na área Configurações de diagnóstico .

   Se as configurações de diagnóstico SummaryLogs já estiverem habilitadas, mas você quiser modificá-las, selecione Configurar configurações avançadas de diagnóstico. Quando voltar à página do assistente de regras de resumo, selecione Atualizar para atualizar os detalhes da configuração.

   Importante

   A configuração de diagnóstico SummaryLogs tem custos adicionais. Para obter mais informações, consulte Configurações de diagnóstico no Azure Monitor.

4. Selecione Avançar: Definir lógica >de resumo para continuar.

5. Na página Definir lógica de resumo , insira sua consulta de resumo. Por exemplo, para resumir dados do Google Cloud Platform, insira a:

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   Para obter mais informações, consulte Cenários de regras de resumo de amostra e Linguagem de Consulta Kusto (KQL) no Azure Monitor.

6. Selecione Visualizar resultados para mostrar um exemplo dos dados que você coletaria com a consulta configurada.

7. Na área Agendamento de consultas , defina os seguintes detalhes:

   • Com que frequência pretende que a regra seja executada
   • Se quiser que a regra seja executada com algum atraso, em minutos
   • Quando você deseja que a regra comece a ser executada

   Os horários definidos no agendamento são baseados na timegenerated coluna em seus dados

8. Selecione Seguinte: Rever + criar >>Guardar para concluir a regra de resumo.

As regras de resumo existentes são listadas na página Regras de resumo (Pré-visualização), onde pode rever o estado da regra. Para cada regra, selecione o menu de opções no final da linha para executar qualquer uma das seguintes ações:

• Exiba os dados atuais da regra na página Logs , como se fosse executar a consulta imediatamente
• Exibir o histórico de execução da regra selecionada
• Desative ou habilite a regra.
• Editar a configuração da regra

Para eliminar uma regra, selecione a linha da regra e, em seguida, selecione Eliminar na barra de ferramentas na parte superior da página.

Nota

O Azure Monitor também dá suporte à criação de regras de resumo por meio da API ou de um modelo do Azure Resource Monitor (ARM). Para obter mais informações, consulte Criar ou atualizar uma regra de resumo.

Implantar modelos de regras de resumo pré-definidos

Os modelos de regras de resumo são regras de resumo pré-criadas que você pode implantar as-is ou personalizar de acordo com suas necessidades.

Para desdobrar um modelo de resumo de regras:

1. Abra o hub Conteúdo e filtre Tipo de conteúdo por Regras de resumo para exibir os modelos de regras de resumo disponíveis.

   

2. Selecione um modelo de regra de resumo.

   Um painel com informações sobre o modelo de regra de resumo é aberto, exibindo campos como descrição, consulta de resumo e tabela de destino.

   

3. Selecione Instalar para instalar o modelo.

4. Selecione a guia Modelos na página Regras de resumo e selecione a regra de resumo instalada.

   

5. Selecione Criar para abrir o assistente de Regra de Resumo, onde todos os campos são preenchidos previamente.

6. Percorra o assistente Regra de resumo e selecione Salvar para implantar a regra de resumo.

   Para obter mais informações sobre o assistente de regra de resumo, consulte Criar uma nova regra de resumo.

Exemplos de cenários de regra de resumo no Microsoft Sentinel

Esta seção analisa cenários comuns para a criação de regras de resumo no Microsoft Sentinel e nossas recomendações sobre como configurar cada regra. Para obter mais informações e exemplos, consulte Resumir informações de dados brutos numa tabela Auxiliar para uma tabela Analytics no Microsoft Sentinel (Pré-visualização) e Fontes de registo a utilizar para a ingestão de Registos Auxiliares.

Encontre rapidamente um endereço IP malicioso no seu tráfego de rede

Cenário: Você é um caçador de ameaças e um dos objetivos da sua equipe é identificar todas as instâncias de quando um endereço IP mal-intencionado interagiu nos logs de tráfego de rede de um incidente ativo, nos últimos 90 dias.

Desafio: Atualmente, o Microsoft Sentinel ingere vários terabytes de logs de rede por dia. Você precisa analisá-los rapidamente para encontrar correspondências para o endereço IP malicioso.

Solução: recomendamos o uso de regras de resumo para fazer o seguinte:

1. Crie um conjunto de dados resumido para cada endereço IP relacionado ao incidente, incluindo o SourceIP, DestinationIP, MaliciousIP, RemoteIP, , cada listando atributos importantes, como IPType, FirstTimeSeene LastTimeSeen.

   O conjunto de dados de resumo permite pesquisar rapidamente um endereço IP específico e reduzir o intervalo de tempo onde o endereço IP é encontrado. Você pode fazer isso mesmo quando os eventos pesquisados ocorreram há mais de 90 dias, o que excede o período de retenção do espaço de trabalho.

   Neste exemplo, configure o resumo para ser executado diariamente, para que a consulta adicione novos registros de resumo todos os dias até expirar.

2. Crie uma regra de análise que seja executada por menos de dois minutos no conjunto de dados de resumo, detalhando rapidamente o intervalo de tempo específico em que o endereço IP mal-intencionado interagiu com a rede da empresa.

   Certifique-se de configurar intervalos de execução de até cinco minutos, no mínimo, para acomodar diferentes tamanhos de carga útil resumida. Isso garante que não haja perdas, mesmo quando há um atraso na ingestão de eventos.

   Por exemplo:

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. Execute uma pesquisa subsequente ou correlação com outros dados para completar a história do ataque.

Gerar alertas sobre correspondências de inteligência de ameaças com dados de rede

Gere alertas sobre correspondências de inteligência de ameaças em dados de rede que são barulhentos, de alto volume e de baixo valor de segurança.

Cenário: Você precisa criar uma regra de análise para que os logs de firewall correspondam aos nomes de domínio no sistema que foram visitados em relação a uma lista de nomes de domínio de inteligência de ameaças.

A maioria das fontes de dados são registos brutos que são ruidosos e têm volume elevado, mas têm menor valor de segurança, incluindo endereços IP, tráfego do Firewall Azure, tráfego Fortigate, entre outros. Há um volume total de cerca de 1 TB por dia.

Desafio: Criar regras separadas requer vários aplicativos lógicos, exigindo despesas gerais e custos extras de configuração e manutenção.

Solução: recomendamos o uso de regras de resumo para fazer o seguinte:

1. Crie uma regra de resumo:

   1. Expanda a sua consulta para extrair campos-chave, como o endereço de origem, o endereço de destino e a porta de destino da tabela CommonSecurityLog_CL, que é a CommonSecurityLog com o plano Auxiliar.

   2. Realize uma pesquisa interna nos Indicadores de Inteligência de Ameaças ativos para identificar quaisquer correspondências com nosso endereço de origem. Isso permite que você faça referência cruzada de seus dados com ameaças conhecidas.

   3. Informações relevantes do projeto, incluindo o tempo gerado, o tipo de atividade e quaisquer IPs de origem mal-intencionados, juntamente com os detalhes do destino. Defina a frequência com que deseja que a consulta seja executada e a tabela de destino, como MaliciousIPDetection . Os resultados nesta tabela estão no nível analítico e são cobrados de acordo.

2. Crie um alerta:

   Criação de uma regra de análise no Microsoft Sentinel que alerta com base nos resultados da tabela MaliciousIPDetection . Esta etapa é crucial para a deteção proativa de ameaças e resposta a incidentes.

Exemplo de regra de resumo:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Conteúdos relacionados

• Agregar dados no workspace do Log Analytics com regras de resumo
• Planeje os custos e entenda os preços e a cobrança do Microsoft Sentinel
• Fontes de registos que devem ser usadas para a ingestão de registos auxiliares
• Restrições e limitações de regras sumárias