Compartilhar via

Usar a análise de correspondência para detectar ameaças

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aproveite a inteligência contra ameaças produzida pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Análise de Informações sobre Ameaças do Microsoft Defender. Essa regra integrada no Microsoft Sentinel corresponde a indicadores com logs CEF (Formato Comum de Evento), eventos DNS do Windows com indicadores de domínio e ameaça IPv4, dados syslog e muito mais.

Importante

A análise de correspondência está atualmente em versão prévia. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.

Pré-requisitos

Você deve instalar um ou mais dos conectores de dados com suporte para gerar alertas e incidentes de alta fidelidade. Uma licença premium do Informações sobre Ameaças do Microsoft Defender não é necessária. Instalar as soluções adequadas do Hub de conteúdo para conectar essas fontes de dados:

  • Formato Comum de Evento
  • DNS (Versão Prévia)
  • syslog
  • Logs de atividades do Office
  • Logs de atividades do Azure
  • Logs DNS do ASIM
  • Sessões de rede ASIM

Uma captura de tela que mostra as conexões de fonte de dados da regra Análise de Informações sobre Ameaças do Microsoft Defender.

Por exemplo, dependendo da fonte de dados, você pode usar as soluções e os conectores de dados a seguir:

Solução Conector de dados
Solução do Formato Comum de Evento para Sentinel Conector no Formato Comum de Evento (CEF) para o Microsoft Sentinel
Servidor DNS do Windows Conector DNS para Microsoft Sentinel
Solução Syslog para Sentinel Conector Syslog para o Microsoft Sentinel
Solução do Microsoft 365 para Sentinel Conector Office 365 para Microsoft Sentinel
Solução de Atividade do Azure para Sentinel Conector Atividades do Azure para Microsoft Sentinel

Configurar a regra de análise de correspondência

A análise de correspondência é configurada quando você habilita a regra Análise de Inteligência contra Ameaças da Microsoft Defender.

  1. Na seção Configuração, selecione o menu Análise.

  2. Selecione a guia Modelos de regra.

  3. Na janela de pesquisa, insira inteligência contra ameaças.

  4. Selecione o modelo de regra Análise de Inteligência contra Ameaças da Microsoft Defender.

  5. Selecione Criar regra. Os detalhes da regra são somente leitura e o status padrão da regra é habilitado.

  6. Selecione Examinar>Criar.

Uma captura de tela que mostra a regra Análise de Informações sobre Ameaças do Microsoft Defender habilitada na guia Regras ativas.

Fontes de dados e indicadores

A Análise de Informações sobre Ameaças do Microsoft Defender corresponde aos logs com indicadores de domínio, IP e URL das seguintes maneiras:

  • Os logs de CEF ingeridos na tabela CommonSecurityLog do Log Analytics corresponderão aos indicadores de URL e domínio se preenchidos no campo RequestURL e aos indicadores IPv4 no campo DestinationIP.
  • Os logs de DNS do Windows em que o evento SubType == "LookupQuery" ingerido na tabela DnsEvents corresponderá aos indicadores de domínio preenchidos no campo Name e aos indicadores IPv4 no campo IPAddresses.
  • Os eventos de Syslog nos quais o Facility == "cron" ingerido na tabela Syslog corresponderão aos indicadores de domínio e IPv4 diretamente do campo SyslogMessage.
  • Os Logs de atividades do Office ingeridos na tabela OfficeActivity corresponderão aos indicadores IPv4 diretamente do campo ClientIP.
  • Logs de atividades do Azure ingeridos na tabela AzureActivity corresponderão aos indicadores IPv4 diretamente do campo CallerIpAddress.
  • Os logs de DNS do ASIM ingeridos na tabelaASimDnsActivityLogs correspondem aos indicadores de domínio se preenchidos no campo DnsQuery e aos indicadores IPv4 no campo DnsResponseName.
  • Sessões de Rede ASIM ingeridas na tabela ASimNetworkSessionLogs correspondem a indicadores IPv4 se preenchidas em um ou mais dos seguintes campos: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Triagem de um incidente gerado pela análise de correspondência

Se a análise da Microsoft encontrar uma correspondência, todos os alertas gerados serão agrupados em incidentes.

Siga estas etapas para fazer a triagem dos incidentes gerados pela regra Análise de Inteligência contra Ameaças da Microsoft Defender:

  1. No workspace do Microsoft Sentinel em que você habilitou a regra Análise de Informações sobre Ameaças do Microsoft Defender, selecione Incidentes e pesquise por Análise de Informações sobre Ameaças do Microsoft Defender.

    Os incidentes encontrados aparecem na grade.

  2. Selecione Visualizar detalhes completos para visualizar entidades e outros detalhes sobre o incidente, como alertas específicos.

    Veja um exemplo.

    Captura de tela do incidente gerado pela análise correspondente com o painel de detalhes.

  3. Observe a severidade atribuída aos alertas e ao incidente. Dependendo de como o indicador é correspondido, uma severidade apropriada é atribuída a um alerta de Informational a High. Por exemplo, se o indicador corresponder aos logs de firewall que permitiram o tráfego, será gerado um alerta de severidade alta. Se o mesmo indicador corresponder aos logs de firewall que bloquearam o tráfego, o alerta gerado será baixo ou médio.

    Em seguida, os alertas são agrupados de acordo com a capacidade de observação do indicador. Por exemplo, todos os alertas gerados em um período de 24 horas que correspondem ao domínio contoso.com são agrupados em um único incidente com a severidade atribuída com base na severidade do alerta mais alta.

  4. Observar as informações do indicador. Quando uma correspondência é encontrada, o indicador é publicado na tabela ThreatIntelligenceIndicators do Log Analytics e aparece na página Inteligência Contra Ameaças. Para todos os indicadores publicados por essa regra, a origem é definida como Análise de inteligência contra ameaças da Microsoft Defender.

Veja um exemplo da tabela ThreatIntelligenceIndicators.

Captura de tela da tabela ThreatIntelligenceIndicator mostrando o indicador com o SourceSystem da Análise de Informações sobre ameaças da Microsoft.

Confira um exemplo da página Inteligência Contra Ameaças.

Captura de tela que mostra a visão geral da Inteligência Contra Ameaças com o indicador selecionado mostrando a origem como a Análise de Informações sobre ameaças da Microsoft.

Obter mais contexto da Inteligência contra ameaças do Microsoft Defender

Assim como com os alertas e incidentes de alta fidelidade, alguns indicadores de Informações sobre Ameaças do Microsoft Defender incluem um link para um artigo de referência no portal da comunidade do Informações sobre Ameaças do Microsoft Defender.

Captura de tela que mostra um incidente com um link para o artigo de referência do Informações sobre Ameaças do Microsoft Defender.

Para obter mais informações, confira O que são as Informações sobre Ameaças do Microsoft Defender?.

Conteúdo relacionado

Neste artigo, você aprendeu a conectar a inteligência contra ameaças produzida pela Microsoft para gerar alertas e incidentes. Para saber mais sobre a inteligência contra ameaças no Microsoft Sentinel, confira os seguintes artigos: