Monitore e otimize a execução das suas regras de análise agendadas
Para garantir que a detecção de ameaças do Microsoft Sentinel forneça cobertura completa em seu ambiente, aproveite suas ferramentas de gerenciamento de execução. Essas ferramentas consistem em informações sobre a execução das suas regras analíticas agendadas, com base nos dados de integridade e auditoria do Microsoft Sentinel, e um recurso para reexecutar manualmente as execuções anteriores de regras em janelas de tempo específicas, para fins de teste e/ou solução de problemas.
Importante
As informações das regras de análise e a reexecução manual do Microsoft Sentinel estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Resumo
Há duas ferramentas de gerenciamento de execução para as regras de análise agendadas: insights internos de regras agendadas e a capacidade de reexecutar as regras agendadas sob demanda.
Na página Analytics, o painel Insights é exibido como outra guia no painel de detalhes, ao lado da guia Info. O painel Insights fornece informações sobre a atividade e os resultados de uma regra. Por exemplo: execuções com falha, principais problemas de integridade, contagem de alertas ao longo do tempo e classificações de fechamento de incidentes criados pela regra. Esses insights ajudam seus analistas de segurança a identificar possíveis problemas ou configurações incorretas com as regras de análise e permitem que eles descubram e corrijam falhas nas regras e otimizem as configurações das regras para melhorar o desempenho e a precisão.
Também na página Analytics, você pode reexecutar as regras de análise sob demanda. Essa capacidade fornece flexibilidade e controle na validação da eficácia das regras. Ele pode ser útil em cenários como aperfeiçoamento de regras, testes, validação e outros. Ter a flexibilidade de iniciar repetições manuais pode dar suporte a eficientes operações de segurança, permitir uma resposta eficaz a incidentes e aprimorar os recursos gerais de detecção e resposta do sistema.
Casos de uso e benefícios da reexecução de regras
Aqui estão alguns cenários que podem se beneficiar da reprodução de execuções específicas de regras de análise:
Aperfeiçoamento e ajuste de regras: as regras do Analytics podem exigir ajustes periódicos e aperfeiçoamento com base no cenário de ameaças em evolução e nas necessidades organizacionais em constante mudança. Ao reexecutar manualmente as regras, seus analistas podem avaliar o impacto das modificações nas regras e validar sua eficácia antes de implantá-las em um ambiente de produção.
Teste e validação: ao introduzir novas regras de análise, fazer alterações significativas nas existentes ou desenvolver novos manuais de incidentes, é essencial testar exaustivamente seu desempenho e precisão. A reexecução manual permite que você simule diferentes cenários, inclusive o fluxo de incidentes automatizados de ponta a ponta, e valide as regras em relação a um conjunto consistente de entradas de dados. Esse processo garante que as regras gerem os alertas esperados sem produzir falsos positivos em excesso.
Investigação de incidentes: no caso de um incidente de segurança ou atividade suspeita, seus analistas podem querer exibir detalhes adicionais nos alertas já gerados. Eles podem fazer isso atualizando a regra e executando-a novamente em intervalos de execução específicos (de até sete dias) para coletar informações adicionais e identificar os eventos relacionados. A reexecução manual permite que seus analistas realizem investigações detalhadas e ajuda a garantir uma cobertura abrangente.
Conformidade e auditoria: alguns requisitos regulamentares ou políticas internas podem exigir a reexecução de regras de análise periodicamente ou sob demanda para demonstrar um monitoramento e uma conformidade contínuos. A reexecução manual oferece a capacidade de cumprir essas obrigações, garantindo que as regras sejam aplicadas de forma consistente e gerem alertas apropriados.
Pré-requisitos
Para usar as ferramentas de gerenciamento de execução, você deve ter o recurso de integridade e auditoria do Microsoft Sentinel habilitado e, especificamente, o monitoramento da integridade da regra de análise. Saiba como habilitar a integridade e a auditoria.
Exibir insights de regras analíticas
Para aproveitar essas ferramentas, comece examinando os insights sobre uma determinada regra.
No menu de navegação do Microsoft Sentinel, selecione Análise.
Encontre e selecione uma regra (Agendada ou NRT) cujos insights você gostaria de ver.
Selecione a guia Insights no painel de detalhes.
Ao selecionar a guia Insights, o seletor de período aparecerá. Selecione um período ou deixe-o como o padrão das últimas 24 horas.
O painel Insights atualmente mostra quatro tipos de insights. Cada insight é seguido por um link Exibir tudo que leva você à página Logs e exibe a consulta que produziu o insight juntamente com os resultados brutos completos. Aqui estão os insights:
Execuções com falha exibe uma lista de execuções com falha dessa regra no período determinado. Esse insight também é seguido por um link para o painel Execuções de regras, no qual você pode ver uma lista de todas as vezes em que a regra foi executada e pode repetir execuções específicas da regra.
Principais problemas de integridade exibe uma lista dos problemas de integridade mais comuns para essa regra durante o período determinado. Esse insight também é seguido por um link Exibir execuções que leva você à página Logs, na qual você verá uma consulta de todas as vezes em que essa regra foi executada.
Gráfico de alertas mostra um gráfico do número de alertas gerados por essa regra no período determinado.
Classificação de incidentes mostra um resumo da classificação de incidentes fechados criados por essa regra durante o período determinado.
Reexecutar as regras de análise
Há vários cenários que podem levar você a reexecutar uma regra.
Uma regra não foi executada devido a uma condição temporária que foi revertida para o normal ou devido a uma configuração incorreta. Após a correção da configuração incorreta ou o reparo da condição, você deverá reexecutar a regra na mesma janela de tempo (ou seja, nos mesmos dados) da execução que falhou, para atenuar as lacunas na cobertura.
Uma regra foi executada com êxito, mas não forneceu informações suficientes nos alertas que gerou. Nesse caso, convém editar a regra para fornecer mais informações, seja alterando a consulta ou as configurações de enriquecimento. Em seguida, você deverá reexecutar a regra na mesma janela de tempo (ou seja, nos mesmos dados) da execução para a qual deseja obter mais informações.
Talvez você esteja experimentando escrever ou editar uma regra e queira ver como diferentes configurações afetariam os alertas gerados pela regra. Para uma comparação válida, convém reexecutar a regra na mesma janela de tempo.
Veja como reexecutar uma regra:
Na página Analytics, selecione Execução de regras (Versão prévia) na barra de ferramentas na parte superior. O painel Regra executada será aberto.
Você também pode acessar o painel Execuções de regras selecionando Reexecutar regras na exibição Execuções com falha na guia Insights (veja acima).
Selecione as execuções de regras que você deseja reproduzir, de acordo com a janela de tempo em que elas foram executadas originalmente, conforme exibido na coluna Tempo de execução. Você pode escolher mais de uma execução de regra.
Selecione Repetir execução. Serão exibidas notificações mostrando o andamento das solicitações e que as regras foram colocadas na fila para execução.
Selecione Atualizar para exibir o status atualizado das execuções da regra. Você verá que suas solicitações são exibidas entre elas, com um status de Em andamento (eventualmente será exibido como Êxito) e um tipo de Disparada pelo usuário em vez de Disparada pelo sistema.
Você também notará que o tempo de execução das suas repetições solicitadas é o mesmo que o da execução original disparada pelo sistema, e não o tempo de execução da sua reexecução. Isso serve para mostrar a qual janela de tempo a reexecução está se referindo.
Só é possível reproduzir as execuções de regras disparadas pelo sistema, não as disparadas pelo usuário.
Selecione Exibir detalhes completos no final da linha de qualquer regra executada para ver os detalhes completos e brutos na tela Logs.
Próximas etapas
- Monitore e audite a integridade das suas regras de análise.
- Saiba mais sobre a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
- Confira mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit.