Gerenciar versões de modelo para suas regras de análise agendadas no Microsoft Sentinel
Importante
Esse recurso está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Introdução
O Microsoft Sentinel contém modelos de regra de análise que você transforma em regras ativas, com a criação efetiva de uma cópia delas – isso é o que acontece quando você cria uma regra com base em um modelo. Nesse ponto, no entanto, a regra ativa não está mais conectada ao modelo. Se alterações são feitas em um modelo de regra, por engenheiros da Microsoft ou qualquer outra pessoa, as regras criadas com antecedência a partir desse modelo não são atualizadas dinamicamente para corresponder ao novo modelo.
No entanto, as regras criadas a partir de modelos se lembram de quais modelos eles foram criados, o que permite duas vantagens:
Se você fez alterações em uma regra ao criá-la a partir de um modelo, ou a qualquer momento depois disso, sempre poderá reverter a regra de volta para a versão original.
Você é notificado quando um modelo é atualizado. Você pode atualizar as regras para a nova versão dos modelos ou deixá-las como estão.
Este artigo mostra como gerenciar essas tarefas e o que ter em mente. Os procedimentos discutidos abaixo se aplicam a todas as regras de análise Agendadas criadas com base em modelos.
Descobrir o número de versão do modelo da regra
Com a implementação do controle de versão do modelo, você pode ver e acompanhar as versões dos modelos de regra e as regras criadas com eles. As regras com modelos atualizados exibem um selo “Atualizar” ao lado do nome da regra.
Na página Análise, selecione a guia Regras ativas.
Selecione qualquer regra do tipo Agendada.
Se a regra exibir a notificação “Atualização”, o painel de detalhes terá um botão Revisar e atualizar ao lado do botão Editar (ver a imagem 1 na próxima etapa abaixo).
Se a regra foi criada com base em um modelo, mas não tem a notificação “Atualização”, o painel de detalhes terá um botão Comparar com o modelo ao lado do botão Editar (ver imagens 2 e 3 na próxima etapa).
Se houver apenas um botão Editar, a regra foi criada do zero, não com base em um modelo.
Role a página para baixo até a parte inferior do painel de detalhes, em que você verá dois números de versão: a versão do modelo do qual a regra foi criada e a versão mais recente disponível do modelo.
O número está em um formato “1.0.0” – versão principal, versão secundária e build.
Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar como a regra detecta ameaças ou até mesmo sua capacidade de funcionar completamente. Você deseja incluir essa alteração em suas regras.
Uma diferença no número de versão secundária indica uma pequena melhoria no modelo – uma alteração superficial ou algo semelhante – que seria “bom ter”, mas não é essencial para manter a funcionalidade, a eficácia ou o desempenho da regra. Você poderia facilmente pegar essa alteração ou deixá-la assim.
Observação
As imagens 2 e 3 mostram dois exemplos de regras criadas com base em modelos, em que o modelo não foi atualizado.
- A Imagem 2 mostra uma regra que tem um número de versão para seu modelo atual. Isso sinaliza que a regra foi criada após a implementação inicial do controle de versão do modelo do Microsoft Sentinel em outubro de 2021.
- A Imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isso mostra que a regra foi criada antes de outubro de 2021. Se houver uma versão de modelo mais recente disponível, provavelmente será uma versão mais recente do modelo do que a usada para criar a regra.
Comparar sua regra ativa com seu modelo
Escolha uma das seguintes guias de acordo com a ação que você deseja tomar, para ver as instruções para essa ação:
Depois de selecionar uma regra e determinar que você deseja atualizá-la, selecione Revisar e atualizar no painel de detalhes (veja acima). Você verá que o Assistente de regra de análise agora tem uma guia Comparar com a última versão.
Nessa guia, você verá uma comparação lado a lado entre as representações de YAML da regra existente e a última versão do modelo.
Observação
Atualizar essa regra substituirá sua regra existente pela versão mais recente do modelo.
Qualquer etapa de automação ou lógica que referencie a regra existente deve ser verificada, caso os nomes referenciados tenham sido alterados. Além disso, todas as personalizações feitas na criação da regra original – alterações na consulta, no agendamento, no agrupamento ou em outras configurações – podem ser substituídas.
Atualizar sua regra com a nova versão do modelo
Se as alterações feitas na nova versão do modelo são aceitáveis para você e nada mais na regra original foi afetado, selecione Revisar e atualizar para validar e aplicar as alterações.
Se você quiser personalizar ainda mais a regra ou aplicar outra vez as alterações que possam ser substituídas, selecione Avançar: alterações personalizadas. Passe pelas guias restantes do Assistente de regra de análise para fazer essas alterações e, depois, valide e aplique as alterações na guia Revisar e atualizar.
Se você não quiser fazer nenhuma alteração na regra existente, mas em vez de manter a versão do modelo existente, basta sair do assistente selecionando o X no canto superior direito.
Próximas etapas
Neste documento, você aprendeu a acompanhar as versões de seus modelos de regra de análise do Microsoft Sentinel e a reverter regras ativas para versões de modelo existentes ou atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Saiba mais sobre as regras de análise.
- Confira mais detalhes sobre o assistente de regra de análise.