Criar uma regra de análise personalizada a partir do zero

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Você configurou conectores e outros meios de coletar dados de atividade em seu patrimônio digital. Agora você precisa vasculhar todos esses dados para detetar padrões de atividade e descobrir atividades que não se encaixam nesses padrões e que podem representar uma ameaça à segurança.

O Microsoft Sentinel e suas muitas soluções fornecidas no hub de conteúdo oferecem modelos para os tipos mais usados de regras de análise, e você é altamente encorajado a usar esses modelos, personalizando-os para se adequarem aos seus cenários específicos. Mas é possível que você precise de algo completamente diferente, então, nesse caso, você pode criar uma regra do zero, usando o assistente de regras de análise.

Este artigo orienta você pelo assistente de regras do Google Analytics e explica todas as opções disponíveis. Ele é acompanhado por capturas de tela e instruções para acessar o assistente no portal do Azure, para usuários do Microsoft Sentinel que não são também assinantes do Microsoft Defender, e no portal do Defender, para usuários da plataforma unificada de operações de segurança do Microsoft Defender.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

• Você deve ter a função de Colaborador do Microsoft Sentinel ou qualquer outra função ou conjunto de permissões que inclua permissões de gravação em seu espaço de trabalho do Log Analytics e seu grupo de recursos.

Projete e construa sua consulta

Antes de fazer qualquer outra coisa, você deve projetar e criar uma consulta no Kusto Query Language (KQL) que sua regra usará para consultar uma ou mais tabelas em seu espaço de trabalho do Log Analytics.

1. Determine uma fonte de dados que você deseja pesquisar para detetar atividades incomuns ou suspeitas. Encontre o nome da tabela do Log Analytics na qual os dados dessa fonte são ingeridos. Você pode encontrar o nome da tabela na página do conector de dados para essa fonte. Use este nome de tabela (ou uma função baseada nele) como base para sua consulta.

2. Decida que tipo de análise você deseja que essa consulta execute na tabela. Essa decisão determinará quais comandos e funções você deve usar na consulta.

3. Decida quais elementos de dados (campos, colunas) você deseja dos resultados da consulta. Essa decisão determinará como você estrutura a saída da consulta.

Práticas recomendadas para consultas de regras de análise

• É recomendável usar um analisador ASIM (Advanced Security Information Model) como fonte de consulta, em vez de usar uma tabela nativa. Isso garantirá que a consulta ofereça suporte a qualquer fonte de dados relevante atual ou futura ou família de fontes de dados, em vez de depender de uma única fonte de dados.

• O comprimento da consulta deve estar entre 1 e 10.000 caracteres e não pode conter "search *" ou "union *". Você pode usar funções definidas pelo usuário para superar a limitação de comprimento da consulta.

• Não há suporte para o uso de funções ADX para criar consultas do Azure Data Explorer dentro da janela de consulta do Log Analytics.

• Ao usar a bag_unpack função em uma consulta, se você projetar as colunas como campos usando "project field1" e a coluna não existir, a consulta falhará. Para evitar que isso aconteça, você deve projetar a coluna da seguinte forma:

  project field1 = column_ifexists("field1","")

Para obter mais ajuda na criação de consultas Kusto, consulte Kusto Query Language no Microsoft Sentinel e Práticas recomendadas para consultas Kusto Query Language.

Crie e teste suas consultas na tela Logs . Quando estiver satisfeito, salve a consulta para uso em sua regra.

Crie sua regra de análise

Esta seção descreve como criar uma regra usando os portais do Azure ou do Defender.

Iniciar o assistente de regras do Google Analytics

Portal do Azure

1. Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.

2. Na barra de ações na parte superior, selecione +Criar e selecione Regra de consulta agendada. Isso abre o assistente de regras do Google Analytics.

   

Portal do Defender

1. No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

2. Na barra de ações na parte superior da grade, selecione +Criar e selecione Regra de consulta agendada. Isso abre o assistente de regras do Google Analytics.

   

Nomeie a regra e defina informações gerais

No portal do Azure, os estágios são representados visualmente como guias. No portal do Defender, eles são representados visualmente como marcos em uma linha do tempo. Veja as capturas de tela abaixo para exemplos.

1. Forneça um Nome e uma Descrição exclusivos.

2. Defina a gravidade do alerta conforme apropriado, correspondendo ao impacto que a atividade que aciona a regra pode ter no ambiente de destino, caso a regra seja realmente positiva.

   Gravidade	Description
   Informativo	Nenhum impacto no seu sistema, mas as informações podem ser indicativas de etapas futuras planejadas por um agente de ameaça.
   Baixo	O impacto imediato seria mínimo. Um agente de ameaça provavelmente precisaria realizar várias etapas antes de alcançar um impacto em um ambiente.
   Medium	O agente da ameaça poderia ter algum impacto no ambiente com esta atividade, mas o seu âmbito seria limitado ou exigiria uma atividade adicional.
   Alto	A atividade identificada proporciona ao agente da ameaça um amplo acesso para realizar ações no ambiente ou é desencadeada pelo impacto no ambiente.

   Os padrões de nível de severidade não são uma garantia do nível de impacto atual ou ambiental. Personalize os detalhes do alerta para personalizar a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta com os valores de quaisquer campos relevantes de uma saída de consulta.

   As definições de gravidade para modelos de regras de análise do Microsoft Sentinel são relevantes apenas para alertas criados por regras de análise. Para alertas ingeridos de outros serviços, a gravidade é definida pelo serviço de segurança de origem.

3. No campo Táticas e técnicas, você pode escolher entre as categorias de atividades de ameaça pelas quais classificar a regra. Estes são baseados nas táticas e técnicas do framework MITRE ATT&CK .

   Os incidentes criados a partir de alertas detetados por regras mapeadas para táticas e técnicas MITRE ATT&CK herdam automaticamente o mapeamento da regra.

   Para obter mais informações sobre como maximizar sua cobertura do cenário de ameaças MITRE ATT&CK, consulte Compreender a cobertura de segurança pela estrutura MITRE ATT&CK®

4. Quando você cria a regra, seu Status é Habilitado por padrão, o que significa que ela será executada imediatamente após você terminar de criá-la. Se você não quiser que ele seja executado imediatamente, selecione Desativado e a regra será adicionada à guia Regras ativas e você poderá ativá-la a partir daí quando precisar.

   Nota

   Há outra maneira, atualmente em visualização, de criar uma regra sem que ela seja executada imediatamente. Você pode agendar a regra para ser executada pela primeira vez em uma data e hora específicas. Consulte Agendar e escopo da consulta abaixo.

5. Selecione Avançar : Definir lógica da regra.

   Portal do Azure

   

   Portal do Defender

   

---

Definir a lógica da regra

1. Insira uma consulta para sua regra.

   Cole a consulta que você criou, criou e testou na janela de consulta Regra. Todas as alterações feitas nesta janela são validadas instantaneamente, portanto, se houver algum erro, você verá uma indicação logo abaixo da janela.

2. Mapear entidades.

   As entidades são essenciais para detetar e investigar ameaças. Mapeie os tipos de entidade reconhecidos pelo Microsoft Sentinel em campos nos resultados da consulta. Esse mapeamento integra as entidades descobertas no campo Entidades no esquema de alerta.

   Para obter instruções completas sobre como mapear entidades, consulte Mapear campos de dados para entidades no Microsoft Sentinel.

3. Apresente detalhes personalizados nos seus alertas.

   Por padrão, apenas as entidades de alerta e os metadados são visíveis em incidentes sem detalhar os eventos brutos nos resultados da consulta. Esta etapa pega outros campos nos resultados da consulta e os integra ao campo ExtendedProperties em seus alertas, fazendo com que eles sejam exibidos antecipadamente em seus alertas e em quaisquer incidentes criados a partir desses alertas.

   Para obter instruções completas sobre como revelar detalhes personalizados, consulte Detalhes de eventos personalizados do Surface em alertas no Microsoft Sentinel.

4. Personalize os detalhes do alerta.

   Essa configuração permite personalizar propriedades de alerta padrão de acordo com o conteúdo de vários campos em cada alerta individual. Essas personalizações são integradas ao campo ExtendedProperties em seus alertas. Por exemplo, você pode personalizar o nome ou a descrição do alerta para incluir um nome de usuário ou endereço IP apresentado no alerta.

   Para obter instruções completas sobre como personalizar detalhes de alerta, consulte Personalizar detalhes de alerta no Microsoft Sentinel.

5. Agende e defina o escopo da consulta.

   1. Defina os seguintes parâmetros na seção Agendamento de consultas:

      Definição	Comportamento
      Executar consulta a cada	Controla o intervalo de consulta: com que frequência a consulta é executada.
      Dados de pesquisa do último	Determina o período de retrospetiva: o período de tempo coberto pela consulta.

      • O intervalo permitido para ambos os parâmetros é de 5 minutos a 14 dias.

      • O intervalo de consulta deve ser menor ou igual ao período de retrospetiva. Se for mais curto, os períodos de consulta irão sobrepor-se e isso pode causar alguma duplicação de resultados. No entanto, a validação da regra não permitirá que você defina um intervalo maior do que o período de retrospetiva, pois isso resultaria em lacunas em sua cobertura.

   2. Definir Iniciar execução:

      Definição	Comportamento
      Automaticamente	A regra será executada pela primeira vez imediatamente após ser criada e, depois disso, no intervalo definido na consulta Executar, todas as configurações.
      Em momento específico (Pré-visualização)	Defina uma data e hora para a primeira execução da regra, após a qual ela será executada no intervalo definido na configuração Executar consulta a cada página.

      • O tempo de início da execução deve ser entre 10 minutos e 30 dias após o tempo de criação (ou habilitação) da regra.

      • A linha de texto sob a configuração Iniciar execução (com o ícone de informações à esquerda) resume as configurações atuais de agendamento e retrospetiva de consultas.

        

      Portal do Azure

      

      Portal do Defender

      

   Nota

   Atraso na ingestão

   Para levar em conta a latência que pode ocorrer entre a geração de um evento na origem e sua ingestão no Microsoft Sentinel, e para garantir uma cobertura completa sem duplicação de dados, o Microsoft Sentinel executa regras de análise agendadas com um atraso de cinco minutos em relação à hora agendada.

   Para obter mais informações, consulte Manipular atraso de ingestão em regras de análise agendadas.

6. Defina o limite para a criação de alertas.

   Use a seção Limite de alerta para definir o nível de sensibilidade da regra.

   • Defina Gerar alerta quando o número de resultados da consulta for maior que e insira o número mínimo de eventos que precisam ser encontrados durante o período de tempo da consulta para que a regra gere um alerta.
   • Este é um campo obrigatório, portanto, se você não quiser definir um limite, ou seja, se quiser disparar o alerta para um único evento em um determinado período de tempo, insira 0 o campo número.

7. Defina as configurações de agrupamento de eventos.

   Em Agrupamento de eventos, escolha uma das duas maneiras de lidar com o agrupamento de eventos em alertas:

   Definição	Comportamento
   Agrupar todos os eventos em um único alerta (predefinição)	A regra gera um único alerta sempre que é executada, desde que a consulta retorne mais resultados do que o limite de alerta especificado acima. Este alerta único resume todos os eventos retornados nos resultados da consulta.
   Disparar um alerta para cada evento	A regra gera um alerta exclusivo para cada evento retornado pela consulta. Isso é útil se você quiser que os eventos sejam exibidos individualmente ou se quiser agrupá-los por determinados parâmetros — por usuário, nome de host ou outra coisa. Você pode definir esses parâmetros na consulta.

   As regras do Google Analytics podem gerar até 150 alertas. Se o agrupamento de eventos estiver definido como Disparar um alerta para cada evento e a consulta da regra retornar mais de 150 eventos, os primeiros 149 eventos gerarão um alerta exclusivo (para 149 alertas) e o 150º alerta resumirá todo o conjunto de eventos retornados. Em outras palavras, o 150º alerta é o que teria sido gerado se o agrupamento de eventos tivesse sido definido para agrupar todos os eventos em um único alerta.

8. Suprima temporariamente a regra depois que um alerta é gerado.

   Na seção Supressão, você pode ativar a configuração Parar a execução da consulta após o alerta ser gerado se, depois de receber um alerta, desejar suspender a operação dessa regra por um período de tempo superior ao intervalo de consulta. Se você ativar isso, deverá definir Parar consulta de execução para a quantidade de tempo que a consulta deve parar de ser executada, até 24 horas.

9. Simule os resultados da consulta e as configurações lógicas.

   Na área Simulação de resultados, selecione Testar com dados atuais e o Microsoft Sentinel mostrará um gráfico dos resultados (eventos de log) que a consulta teria gerado nas últimas 50 vezes que teria sido executada, de acordo com o cronograma definido atualmente. Se você modificar a consulta, selecione Testar com dados atuais novamente para atualizar o gráfico. O gráfico mostra o número de resultados durante o período de tempo definido, que é determinado pelas configurações na seção Agendamento de consultas.

   Veja como a simulação de resultados pode parecer para a consulta na captura de tela acima. O lado esquerdo é a visualização padrão, e o lado direito é o que você vê quando passa o mouse sobre um ponto no tempo no gráfico.

   

   Se você vir que sua consulta acionaria alertas muito ou muito frequentes, você pode experimentar as configurações nas seções Agendamento de consultas e Limite de alerta e selecionar Testar com dados atuais novamente.

10. Selecione Next: Incident settings (Próximo: Configurações de incidente).

Definir as configurações de criação de incidentes

Na guia Configurações de incidentes, escolha se o Microsoft Sentinel transforma alertas em incidentes acionáveis e se e como os alertas são agrupados em incidentes.

1. Habilite a criação de incidentes.

   Na seção Configurações de incidentes, Criar incidentes a partir de alertas acionados por esta regra de análise é definido por padrão como Habilitado, o que significa que o Microsoft Sentinel criará um incidente único e separado de cada alerta acionado pela regra.

   • Se você não quiser que essa regra resulte na criação de incidentes (por exemplo, se essa regra for apenas para coletar informações para análise subsequente), defina-a como Desabilitada.

     Importante

     Se você integrou o Microsoft Sentinel à plataforma unificada de operações de segurança no portal do Microsoft Defender e esta regra está consultando e criando alertas de fontes do Microsoft 365 ou do Microsoft Defender, você deve definir essa configuração como Desabilitado.

   • Se quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, consulte a próxima seção.

2. Defina as configurações de agrupamento de alertas.

   Na seção Agrupamento de alertas, se desejar que um único incidente seja gerado a partir de um grupo de até 150 alertas semelhantes ou recorrentes (consulte a nota), defina alertas relacionados ao grupo, acionados por esta regra de análise, como incidentes como Habilitado e defina os seguintes parâmetros.

   1. Limitar o grupo a alertas criados dentro do período selecionado: determine o período de tempo dentro do qual os alertas semelhantes ou recorrentes serão agrupados. Todos os alertas correspondentes dentro deste período de tempo gerarão coletivamente um incidente ou um conjunto de incidentes (dependendo das configurações de agrupamento abaixo). Os alertas fora deste período de tempo gerarão um incidente separado ou um conjunto de incidentes.

   2. Agrupe alertas acionados por esta regra de análise em um único incidente por: Escolha a base na qual os alertas serão agrupados:

      Opção	Description
      Alertas de grupo em um único incidente se todas as entidades corresponderem	Os alertas são agrupados se compartilharem valores idênticos para cada uma das entidades mapeadas (definidas na guia Definir lógica da regra acima). Esta é a definição recomendada.
      Agrupe todos os alertas acionados por essa regra em um único incidente	Todos os alertas gerados por esta regra são agrupados, mesmo que não partilhem valores idênticos.
      Agrupar alertas em um único incidente se as entidades e os detalhes selecionados corresponderem	Os alertas são agrupados se compartilharem valores idênticos para todas as entidades mapeadas, detalhes do alerta e detalhes personalizados selecionados nas respetivas listas suspensas. Talvez você queira usar essa configuração se, por exemplo, quiser criar incidentes separados com base nos endereços IP de origem ou de destino ou se quiser agrupar alertas que correspondam a uma entidade e gravidade específicas. Nota: Ao selecionar essa opção, você deve ter pelo menos um tipo de entidade ou campo selecionado para a regra. Caso contrário, a validação da regra falhará e a regra não será criada.

   3. Reabrir incidentes de correspondência fechados: se um incidente tiver sido resolvido e fechado e, posteriormente, for gerado outro alerta que deve pertencer a esse incidente, defina essa configuração como Habilitado se quiser que o incidente fechado seja reaberto e deixe como Desativado se quiser que o alerta crie um novo incidente.

   Nota

   Até 150 alertas podem ser agrupados em um único incidente.

   • O incidente só será criado depois de todos os alertas terem sido gerados. Todos os alertas serão adicionados ao incidente imediatamente após a sua criação.

   • Se mais de 150 alertas forem gerados por uma regra que os agrupa em um único incidente, um novo incidente será gerado com os mesmos detalhes do incidente que o original, e os alertas em excesso serão agrupados no novo incidente.

3. Selecione Next: Resposta automatizada.

   Portal do Azure

   

   Portal do Defender

   

Definir respostas automatizadas e criar a regra

Na guia Respostas automatizadas, você pode usar regras de automação para definir respostas automatizadas para ocorrer em qualquer um dos três tipos de ocasiões:

• Quando um alerta é gerado por esta regra de análise.
• Quando um incidente é criado a partir de alertas gerados por esta regra de análise.
• Quando um incidente é atualizado com alertas gerados por esta regra de análise.

A grade exibida em Regras de automação mostra as regras de automação que já se aplicam a essa regra de análise (em virtude de ela atender às condições definidas nessas regras). Você pode editar qualquer um deles selecionando o nome da regra ou as reticências no final de cada linha. Ou, você pode selecionar Adicionar novo para criar uma nova regra de automação.

Use regras de automação para executar triagem básica, atribuição, fluxo de trabalho e fechamento de incidentes.

Automatize tarefas mais complexas e invoque respostas de sistemas remotos para remediar ameaças chamando playbooks a partir dessas regras de automação. Você pode invocar playbooks para incidentes, bem como para alertas individuais.

• Para obter mais informações e instruções sobre como criar playbooks e regras de automação, consulte Automatizar respostas a ameaças.

• Para obter mais informações sobre quando usar o gatilho criado pelo incidente, o gatilho atualizado pelo incidente ou o gatilho criado pelo alerta, consulte Usar gatilhos e ações nos manuais do Microsoft Sentinel.

Portal do Azure

Portal do Defender

• Em Automação de alertas (clássica) na parte inferior da tela, você verá todos os playbooks configurados para serem executados automaticamente quando um alerta for gerado usando o método antigo.

  • A partir de junho de 2023, você não poderá mais adicionar playbooks a essa lista. Os playbooks já listados aqui continuarão a ser executados até que este método seja preterido, a partir de março de 2026.

  • Se você ainda tiver algum playbook listado aqui, crie uma regra de automação com base no gatilho de alerta criado e invoque o playbook a partir da regra de automação. Depois de fazer isso, selecione as reticências no final da linha do manual listado aqui e selecione Remover. Consulte Migrar seus playbooks de disparo de alerta do Microsoft Sentinel para regras de automação para obter instruções completas.

Selecione Seguinte: Rever e criar para rever todas as definições da sua nova regra de análise. Quando a mensagem "Validação aprovada" aparecer, selecione Criar.

Portal do Azure

Portal do Defender

Exibir a regra e sua saída

Veja a definição da regra:

• Você pode encontrar sua regra personalizada recém-criada (do tipo "Agendada") na tabela na guia Regras ativas na tela principal do Google Analytics. Nessa lista, você pode ativar, desabilitar ou excluir cada regra.

Veja os resultados da regra:

Portal do Azure

• Para ver os resultados das regras de análise que cria no portal do Azure, aceda à página Incidentes , onde pode triar incidentes, investigá-los e corrigir as ameaças.

Portal do Defender

• Para visualizar os resultados das regras de análise criadas no portal do Defender, expanda Investigação & resposta no menu de navegação e, em seguida , Incidentes & alertas. Veja os incidentes na página Incidentes , onde pode triar incidentes, investigá-los e remediar as ameaças. Veja alertas individuais na página Alertas .

Ajuste a regra:

• Você pode atualizar a consulta de regra para excluir falsos positivos. Para obter mais informações, consulte Manipular falsos positivos no Microsoft Sentinel.

Nota

Os alertas gerados no Microsoft Sentinel estão disponíveis através do Microsoft Graph Security. Para obter mais informações, consulte a documentação de alertas de segurança do Microsoft Graph.

Exportar a regra para um modelo ARM

Se você quiser empacotar sua regra para ser gerenciada e implantada como código, poderá exportá-la facilmente para um modelo do Azure Resource Manager (ARM). Você também pode importar regras de arquivos de modelo para visualizá-las e editá-las na interface do usuário.

Próximos passos

Ao usar regras de análise para detetar ameaças do Microsoft Sentinel, certifique-se de habilitar todas as regras associadas às fontes de dados conectadas para garantir cobertura total de segurança para seu ambiente.

Para automatizar a habilitação de regras, envie regras para o Microsoft Sentinel via API e PowerShell, embora isso exija esforço adicional. Ao usar a API ou o PowerShell, você deve primeiro exportar as regras para JSON antes de habilitar as regras. A API ou o PowerShell podem ser úteis ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.

Para obter mais informações, consulte:

• Solução de problemas de regras de análise no Microsoft Sentinel
• Navegar e investigar incidentes no Microsoft Sentinel
• Entidades no Microsoft Sentinel
• Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel

Além disso, aprenda com um exemplo de uso de regras de análise personalizadas ao monitorar o Zoom com um conector personalizado.