Criar e gerir regras de deteções personalizadas
Aplica-se a:
- Microsoft Defender XDR
As regras de deteção personalizadas são regras que pode conceber e otimizar com consultas de investigação avançadas . Estas regras permitem-lhe monitorizar proativamente vários eventos e estados do sistema, incluindo atividades suspeitas de violação e pontos finais mal configurados. Pode defini-los para serem executados em intervalos regulares, gerando alertas e efetuando ações de resposta sempre que existirem correspondências.
Permissões necessárias para gerir deteções personalizadas
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Para gerir deteções personalizadas, tem de lhe ser atribuída uma destas funções:
Definições de segurança (gerir) – os utilizadores com esta permissão de Microsoft Defender XDR podem gerir as definições de segurança no portal do Microsoft Defender.
Administrador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.
Operador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal do Microsoft Defender. Esta função só é suficiente para gerir deteções personalizadas se o controlo de acesso baseado em funções (RBAC) estiver desativado no Microsoft Defender para Endpoint. Se tiver o RBAC configurado, também precisa da permissão *Gerir Definições de Segurança para o Defender para Endpoint.
Pode gerir deteções personalizadas que se aplicam a dados de soluções de Microsoft Defender XDR específicas se tiver as permissões certas para as mesmas. Por exemplo, se tiver apenas permissões de gestão para Microsoft Defender para Office 365, pode criar deteções personalizadas através Email*
de tabelas, mas não Identity*
de tabelas.
Da mesma forma, uma vez que a IdentityLogonEvents
tabela contém informações de atividade de autenticação do Microsoft Defender for Cloud Apps e do Defender para Identidade, tem de ter permissões de gestão para ambos os serviços para gerir deteções personalizadas que consultam a tabela indicada.
Nota
Para gerir deteções personalizadas, os Operadores de Segurança têm de ter a permissão Gerir Definições de Segurança no Microsoft Defender para Endpoint se o RBAC estiver ativado.
Para gerir as permissões necessárias, um Administrador Global pode:
Atribua a função Administrador de Segurança ou Operador de Segurança no centro de administração do Microsoft 365 emAdministrador de Segurançade Funções>.
Verifique as definições de RBAC para Microsoft Defender para Endpoint no Microsoft Defender XDR em Definições>Funções de Permissões>. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .
Nota
Um utilizador também precisa de ter as permissões adequadas para os dispositivos no âmbito do dispositivo de uma regra de deteção personalizada que está a criar ou editar antes de poder continuar. Um utilizador não pode editar uma regra de deteção personalizada que esteja confinada para ser executada em todos os dispositivos, se o mesmo utilizador não tiver permissões para todos os dispositivos.
Criar uma regra de deteção personalizada
1. Preparar a consulta
No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Ao utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados.
Importante
Para impedir que o serviço devolva demasiados alertas, cada regra está limitada a gerar apenas 100 alertas sempre que é executado. Antes de criar uma regra, ajuste a consulta para evitar alertas para atividades normais do dia-a-dia.
Colunas necessárias nos resultados da consulta
Para criar uma regra de deteção personalizada, a consulta tem de devolver as seguintes colunas:
-
Timestamp
— utilizado para definir o carimbo de data/hora dos alertas gerados -
ReportId
— ativa pesquisas para os registos originais - Uma das seguintes colunas que identificam dispositivos, utilizadores ou caixas de correio específicos:
DeviceId
DeviceName
RemoteDeviceName
RecipientEmailAddress
-
SenderFromAddress
(remetente de envelope ou endereço Return-Path) -
SenderMailFromAddress
(endereço do remetente apresentado pelo cliente de e-mail) RecipientObjectId
AccountObjectId
AccountSid
AccountUpn
InitiatingProcessAccountSid
InitiatingProcessAccountUpn
InitiatingProcessAccountObjectId
Nota
O suporte para entidades adicionais será adicionado à medida que forem adicionadas novas tabelas ao esquema de investigação avançado.
As consultas simples, como as que não utilizam o project
operador ou summarize
para personalizar ou agregar resultados, normalmente devolvem estas colunas comuns.
Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade numa coluna como DeviceId
, pode continuar a devolver Timestamp
e ReportId
ao ocorrê-la a partir do evento mais recente que envolve cada exclusivo DeviceId
.
Importante
Evite filtrar deteções personalizadas com a Timestamp
coluna. Os dados utilizados para deteções personalizadas são pré-filtrados com base na frequência de deteção.
A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId
) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp
e o correspondente ReportId
, utiliza o summarize
operador com a arg_max
função .
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
Sugestão
Para um melhor desempenho de consultas, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Uma vez que a execução menos frequente é de 24 em 24 horas, a filtragem do último dia irá abranger todos os novos dados.
2. Criar nova regra e fornecer detalhes do alerta
Com a consulta no editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:
- Nome da deteção — nome da regra de deteção; deve ser exclusivo
- Frequência — intervalo para executar a consulta e tomar medidas. Veja mais orientações na secção de frequência de regras
- Título do alerta — título apresentado com alertas acionados pela regra; deve ser exclusivo
- Gravidade — risco potencial do componente ou atividade identificado pela regra
- Categoria — componente de ameaças ou atividade identificada pela regra
- MITRE ATT&técnicas CK — uma ou mais técnicas de ataque identificadas pela regra como documentadas na arquitetura MITRE ATT&CK. Esta secção está oculta para determinadas categorias de alertas, incluindo software maligno, ransomware, atividade suspeita e software indesejável
- Descrição — mais informações sobre o componente ou atividade identificados pela regra
- Ações recomendadas — ações adicionais que os participantes podem tomar em resposta a um alerta
Frequência das regras
Quando guarda uma nova regra, esta é executada e verifica se existem correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos, aplicando uma duração de pesquisa com base na frequência que escolher:
- A cada 24 horas — é executado a cada 24 horas, verificando os dados dos últimos 30 dias
- A cada 12 horas — é executado a cada 12 horas, verificando os dados das últimas 48 horas
- A cada 3 horas — é executada a cada 3 horas, verificando os dados das últimas 12 horas
- A cada hora — é executada de hora a hora, verificando os dados das últimas 4 horas
- Contínua (NRT) — é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT), veja Frequência contínua (NRT)
Sugestão
Corresponda os filtros de tempo na consulta com a duração da pesquisa. Os resultados fora da duração da pesquisa são ignorados.
Quando edita uma regra, esta será executada com as alterações aplicadas na próxima hora de execução agendada de acordo com a frequência que definiu. A frequência da regra baseia-se no carimbo de data/hora do evento e não na hora da ingestão.
Frequência contínua (NRT)
Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) permite-lhe aumentar a capacidade da sua organização de identificar ameaças mais rapidamente.
Nota
A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização de recursos e, por conseguinte, deve ser considerada para qualquer regra de deteção personalizada qualificada na sua organização.
Consultas que pode executar continuamente
Pode executar uma consulta continuamente, desde que:
- A consulta referencia apenas uma tabela.
- A consulta utiliza um operador da lista de operadores KQL suportados. Funcionalidades de KQL suportadas
- A consulta não utiliza associações, uniões ou o
externaldata
operador. - A consulta não inclui nenhuma linha/informação de comentários.
Tabelas que suportam a frequência Contínua (NRT)
As deteções quase em tempo real são suportadas para as seguintes tabelas:
AlertEvidence
CloudAppEvents
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceInfo
DeviceProcessEvents
DeviceRegistryEvents
EmailAttachmentInfo
-
EmailEvents
(excetoLatestDeliveryLocation
eLatestDeliveryAction
colunas) EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents
Nota
Apenas as colunas que estão geralmente disponíveis podem suportar a frequência Contínua (NRT ).
3. Escolha as entidades afetadas
Identifique as colunas nos resultados da consulta onde espera encontrar a entidade principal afetada ou afetada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress
ou SenderMailFromAddress
) e do destinatário (RecipientEmailAddress
). Identificar quais destas colunas representam a entidade afetada principal ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e ações de resposta de destino.
Só pode selecionar uma coluna para cada tipo de entidade (caixa de correio, utilizador ou dispositivo). As colunas que não são devolvidas pela consulta não podem ser selecionadas.
4. Especificar ações
A regra de deteção personalizada pode efetuar automaticamente ações em dispositivos, ficheiros, utilizadores ou e-mails devolvidos pela consulta.
Ações em dispositivos
Estas ações são aplicadas aos dispositivos na DeviceId
coluna dos resultados da consulta:
- Isolar dispositivo — utiliza Microsoft Defender para Endpoint para aplicar isolamento de rede completo, impedindo que o dispositivo se ligue a qualquer aplicação ou serviço. Saiba mais sobre Microsoft Defender para Endpoint isolamento de máquinas
- Recolher pacote de investigação — recolhe informações do dispositivo num ficheiro ZIP. Saiba mais sobre o pacote de investigação Microsoft Defender para Endpoint
- Executar a análise antivírus — executa uma análise completa do Antivírus Microsoft Defender no dispositivo
- Iniciar investigação — inicia uma investigação automatizada no dispositivo
- Restringir a execução de aplicações — define restrições no dispositivo para permitir que apenas os ficheiros assinados com um certificado emitido pela Microsoft sejam executados. Saiba mais sobre as restrições de aplicações com Microsoft Defender para Endpoint
Ações em ficheiros
Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. Os ficheiros de bloqueio só são permitidos se tiver permissões de Remediação para ficheiros e se os resultados da consulta tiverem identificado um ID de ficheiro, como um SHA1. Quando um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio é aplicado, mas não dispositivos específicos.
Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na
SHA1
coluna ,InitiatingProcessSHA1
,SHA256
ouInitiatingProcessSHA256
dos resultados da consulta. Esta ação elimina o ficheiro da localização atual e coloca uma cópia em quarentena.
Ações nos utilizadores
Quando selecionada, a ação Marcar utilizador como comprometido é tomada em utilizadores na
AccountObjectId
coluna ,InitiatingProcessAccountObjectId
ouRecipientObjectId
dos resultados da consulta. Esta ação define o nível de risco dos utilizadores como "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.
Selecione Forçar reposição de palavra-passe para pedir ao utilizador para alterar a palavra-passe na sessão de início de sessão seguinte.
Disable user
As opções e Force password reset
requerem o SID do utilizador, que estão nas colunas AccountSid
, InitiatingProcessAccountSid
, RequestAccountSid
e OnPremSid
.
Para obter mais detalhes sobre as ações do utilizador, leia Remediation actions in Microsoft Defender para Identidade (Ações de remediação no Microsoft Defender para Identidade).
Ações em e-mails
Se a deteção personalizada criar mensagens de e-mail, pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (qualquer uma das pastas Lixo, Caixa de Entrada ou Itens eliminados ). Especificamente, pode mover resultados de e-mail de itens em quarentena (por exemplo, no caso de falsos positivos) ao selecionar a opção Caixa de Entrada .
Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).
As colunas e RecipientEmailAddress
têm de estar presentes NetworkMessageId
nos resultados de saída da consulta para aplicar ações a mensagens de e-mail.
5. Definir o âmbito da regra
Defina o âmbito para especificar os dispositivos abrangidos pela regra. O âmbito influencia as regras que verificam os dispositivos e não afetam regras que verificam apenas caixas de correio e contas de utilizador ou identidades.
Ao definir o âmbito, pode selecionar:
- Todos os dispositivos
- Grupos de dispositivos específicos
Apenas os dados de dispositivos no âmbito serão consultados. Além disso, as ações são realizadas apenas nesses dispositivos.
Nota
Os utilizadores só podem criar ou editar uma regra de deteção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no âmbito da regra. Por exemplo, os administradores só podem criar ou editar regras que estejam confinadas a todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.
6. Rever e ativar a regra
Depois de rever a regra, selecione Criar para guardá-la. A regra de deteção personalizada é executada imediatamente. É executado novamente com base na frequência configurada para verificar a existência de correspondências, gerar alertas e tomar medidas de resposta.
Importante
As deteções personalizadas devem ser revistas regularmente quanto à eficiência e eficácia. Para se certificar de que está a criar deteções que acionam alertas verdadeiros, dedure algum tempo para rever as deteções personalizadas existentes ao seguir os passos em Gerir regras de iões de deteção personalizadas existentes.
Mantém o controlo sobre a amplitude ou a especificidade das suas deteções personalizadas para que quaisquer alertas falsos gerados por deteções personalizadas possam indicar a necessidade de modificar determinados parâmetros das regras.
Gerir regras de deteção personalizadas existentes
Pode ver a lista de regras de deteção personalizadas existentes, verificar as execuções anteriores e rever os alertas que foram acionados. Também pode executar uma regra a pedido e modificá-la.
Sugestão
Os alertas gerados por deteções personalizadas estão disponíveis através de alertas e APIs de incidentes. Para obter mais informações, veja ApIs de Microsoft Defender XDR suportadas.
Ver regras existentes
Para ver todas as regras de deteção personalizadas existentes, navegue paraRegras de deteção personalizadas de investigação>. A página lista todas as regras com as seguintes informações de execução:
- Última execução — quando uma regra foi executada pela última vez para verificar a existência de correspondências de consultas e gerar alertas
- Estado da última execução — se uma regra foi executada com êxito
- Próxima execução — a próxima execução agendada
- Estado — se uma regra foi ativada ou desativada
Ver detalhes da regra, modificar regra e executar regra
Para ver informações abrangentes sobre uma regra de deteção personalizada, aceda a Regras dedeteção personalizadas de investigação> e, em seguida, selecione o nome da regra. Em seguida, pode ver informações gerais sobre a regra, incluindo informações, o respetivo estado de execução e âmbito. A página também fornece a lista de ações e alertas acionados.
Também pode efetuar as seguintes ações na regra a partir desta página:
- Execute — execute a regra imediatamente. Esta ação também repõe o intervalo para a próxima execução.
- Editar — modificar a regra sem alterar a consulta
- Modificar consulta — editar a consulta na investigação avançada
- Ativar / Desativar — ativar a regra ou impedi-la de ser executada
- Eliminar — desative a regra e remova-a
Ver e gerir alertas acionados
No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Alertas acionados, que lista os alertas gerados por correspondências com a regra. Selecione um alerta para ver informações detalhadas sobre o mesmo e efetue as seguintes ações:
- Gerir o alerta ao definir o respetivo estado e classificação (alerta verdadeiro ou falso)
- Ligar o alerta a um incidente
- Executar a consulta que acionou o alerta na investigação avançada
Rever ações
No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Ações acionadas, que lista as ações executadas com base em correspondências com a regra.
Sugestão
Para ver rapidamente as informações e tomar medidas num item numa tabela, utilize a coluna de seleção [✓] à esquerda da tabela.
Nota
Algumas colunas neste artigo podem não estar disponíveis no Microsoft Defender para Endpoint. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Endpoint.
Consulte também
- Descrição geral das deteções personalizadas
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta de investigação avançada
- Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint
- API de segurança do Microsoft Graph para deteções personalizadas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.