Partilhar via

Monitore a integridade e audite a integridade de suas regras de análise

  • Artigo

Para garantir uma deteção de ameaças abrangente, ininterrupta e sem adulteração em seu serviço Microsoft Sentinel, acompanhe a integridade e a integridade de suas regras de análise e mantenha-as funcionando de forma otimizada, monitorando suas perceções de execução, consultando os logs de integridade e auditoria e usando a repetição manual para testar e otimizar suas regras.

Configure notificações de eventos de integridade e auditoria para as partes interessadas relevantes, que podem então tomar medidas. Por exemplo, defina e envie mensagens de e-mail ou do Microsoft Teams, crie novos tíquetes em seu sistema de tíquetes e assim por diante.

Este artigo descreve como usar os recursos de auditoria e monitoramento de integridade do Microsoft Sentinel para acompanhar a integridade e a integridade de suas regras de análise no Microsoft Sentinel.

Para obter informações sobre insights de regras e repetição manual de regras, consulte Monitorar e otimizar a execução de suas regras de análise agendadas.

Importante

As tabelas de dados SentinelHealth e SentinelAudit estão atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Resumo

  • Logs de integridade da regra de análise do Microsoft Sentinel:

    • Esse log captura eventos que registram a execução de regras de análise e o resultado final dessas execuções — se elas foram bem-sucedidas ou falharam e, se falharam, por quê.
    • O log também registra, para cada execução de uma regra de análise:
      • Quantos eventos foram capturados pela consulta da regra.
      • Se o número de eventos ultrapassou o limite definido na regra, fazendo com que a regra dispare um alerta.

    Esses logs são coletados na tabela SentinelHealth no Log Analytics.

  • Logs de auditoria de regras de análise do Microsoft Sentinel:

    • Esse log captura eventos que registram alterações feitas em qualquer regra de análise, incluindo os seguintes detalhes:
      • O nome da regra que foi alterada.
      • Quais propriedades da regra foram alteradas.
      • O estado das configurações da regra antes e depois da alteração.
      • O usuário ou identidade que fez a alteração.
      • O IP de origem e a data/hora da alteração.
      • ... e muito mais.

    Esses logs são coletados na tabela SentinelAudit no Log Analytics.

Utilizar as tabelas de dados SentinelHealth e SentinelAudit (Pré-visualização)

Para obter dados de auditoria e integridade das tabelas descritas acima, você deve primeiro ativar o recurso de integridade do Microsoft Sentinel para seu espaço de trabalho. Para obter mais informações, consulte Ativar auditoria e monitoramento de integridade para o Microsoft Sentinel.

Quando o recurso de integridade é ativado, a tabela de dados do SentinelHealth é criada no primeiro evento de sucesso ou falha gerado para suas regras e playbooks de automação.

Compreender os eventos da tabela SentinelHealth e SentinelAudit

Os seguintes tipos de eventos de integridade da regra de análise são registrados na tabela SentinelHealth :

  • Execução de regra de análise agendada.

  • Execução da regra de análise NRT.

    Para obter mais informações, consulte Esquema de colunas da tabela SentinelHealth.

Os seguintes tipos de eventos de auditoria de regras de análise são registrados na tabela SentinelAudit :

  • Criar ou atualizar regra de análise.

  • Regra de análise excluída.

    Para obter mais informações, consulte Esquema de colunas da tabela SentinelAudit.

Executar consultas para detetar problemas de integridade e integridade

Para obter melhores resultados, você deve criar suas consultas nas funções pré-criadas nessas tabelas, _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções garantem a manutenção da compatibilidade com versões anteriores de suas consultas no caso de alterações sendo feitas no esquema das próprias tabelas.

Como primeiro passo, suas consultas devem filtrar as tabelas em busca de dados relacionados às regras de análise. Use o SentinelResourceType parâmetro.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se desejar, você pode filtrar ainda mais a lista para um tipo específico de regra de análise. Use o SentinelResourceKind parâmetro para isso.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Aqui estão alguns exemplos de consultas para ajudá-lo a começar:

  • Encontre regras que não foram executadas com êxito:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Status != "Success"

  • Encontre regras que foram "desativadas automaticamente":

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| where Reason == "The analytics rule is disabled and was not executed."

  • Conte as regras e execuções que tiveram sucesso ou falharam, por motivo:

    _SentinelHealth()
| where SentinelResourceType == "Analytics Rule"
| summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason

  • Localizar atividade de exclusão de regra:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| where Description =="Analytics rule deleted"

  • Encontre atividade em regras, por nome da regra e nome da atividade:

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| summarize Count= count() by RuleName=SentinelResourceName, Activity=Description

  • Encontre a atividade nas regras, pelo nome do chamador (a identidade que executou a atividade):

    _SentinelAudit()
| where SentinelResourceType =="Analytic Rule"
| extend Caller= tostring(ExtendedProperties.CallerName)
| summarize Count = count() by Caller, Activity=Description

Status, erros e etapas sugeridas

Para execução de regra de análise agendada ou execução de regra de análise NRT, você pode ver qualquer um dos seguintes status e descrições:

  • Sucesso: Regra executada com sucesso, gerando <n> alerta(s).

  • Êxito: Regra executada com êxito, mas não atingiu o limite (<n>) necessário para gerar um alerta.

  • Falha: Estas são as descrições possíveis para falha de regra e o que você pode fazer a respeito.

    Description Remediação
    Ocorreu um erro interno do servidor durante a execução da consulta.
    A execução da consulta atingiu o tempo limite.
    Uma tabela referenciada na consulta não foi encontrada. Verifique se a fonte de dados relevante está conectada.
    Ocorreu um erro semântico durante a execução da consulta. Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
    Uma função chamada pela consulta é nomeada com uma palavra reservada. Remova ou renomeie a função.
    Ocorreu um erro de sintaxe durante a execução da consulta. Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
    O espaço de trabalho não existe.
    Verificou-se que esta consulta utilizava demasiados recursos do sistema e foi impedida de ser executada. Revise e ajuste a regra de análise. Consulte nossa visão geral do Kusto Query Language e a documentação de práticas recomendadas.
    Uma função chamada pela consulta não foi encontrada. Verifique a existência em seu espaço de trabalho de todas as funções chamadas pela consulta.
    O espaço de trabalho usado na consulta não foi encontrado. Verifique se todos os espaços de trabalho na consulta existem.
    Você não tem permissões para executar essa consulta. Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
    Você não tem permissões de acesso a um ou mais dos recursos na consulta.
    A consulta referia-se a um caminho de armazenamento que não foi encontrado.
    Foi negado à consulta acesso a um caminho de armazenamento.
    Várias funções com o mesmo nome são definidas neste espaço de trabalho. Remova ou renomeie a função redundante e redefina a regra editando-a e salvando-a.
    Esta consulta não retornou nenhum resultado.
    Não são permitidos vários conjuntos de resultados nesta consulta.
    Os resultados da consulta contêm um número inconsistente de campos por linha.
    A execução da regra foi atrasada devido aos longos tempos de ingestão de dados.
    A execução da regra foi adiada devido a problemas temporários.
    O alerta não foi enriquecido devido a problemas temporários.
    O alerta não foi enriquecido devido a problemas de mapeamento de entidades.
    <entidades de número> foram descartadas no nome> do alerta <devido ao limite de tamanho do alerta de 32 KB.
    <número> de entidades foram descartadas no nome> do alerta <devido a problemas de mapeamento de entidade.
    A consulta resultou em <eventos numéricos>, que excedem o máximo de resultados de limite> permitido para< regras de tipo> de regra com configuração de <agrupamento de eventos de alerta por linha. O alerta por linha foi gerado para os primeiros <eventos de limite 1> e um alerta agregado adicional foi gerado para contabilizar todos os eventos.
    - <número> = número de eventos retornados pela consulta
    - <limite> = atualmente 150 alertas para regras programadas, 30 para regras NRT
    - <tipo> de regra = Programado ou NRT

Usar a pasta de trabalho de auditoria e monitoramento de integridade

  1. Para disponibilizar a pasta de trabalho em seu espaço de trabalho, você deve instalar a solução de pasta de trabalho do hub de conteúdo do Microsoft Sentinel:

    1. No portal do Microsoft Sentinel, selecione Hub de conteúdo (Visualização) no menu Gerenciamento de conteúdo.

    2. No hub Conteúdo, insira a integridade na barra de pesquisa e selecione Integridade do Google Analytics & Auditoria entre as soluções da pasta de trabalho em Autônomo nos resultados.

      Captura de tela da seleção da pasta de trabalho de integridade de análise do hub de conteúdo.

    3. Selecione Instalar no painel de detalhes e, em seguida, selecione Salvar que aparece em seu lugar.

  2. Quando a solução indicar que está instalada, selecione Pastas de trabalho no menu Gerenciamento de ameaças.

    Captura de tela da indicação de que a solução de pasta de trabalho de integridade de análise está instalada a partir do hub de conteúdo.

  3. Na galeria Pastas de trabalho, selecione a guia Modelos, insira integridade na barra de pesquisa e selecione Integridade do Google Analytics & Auditoria entre os resultados.

    Captura de ecrã a mostrar a seleção do livro de estado de funcionamento da análise a partir da galeria de modelos.

  4. Selecione Salvar no painel de detalhes para criar uma cópia editável e utilizável da pasta de trabalho. Quando a cópia for criada, selecione Ver livro guardado.

  5. Uma vez na pasta de trabalho, selecione primeiro a assinatura e o espaço de trabalho que você deseja exibir (eles já podem estar selecionados) e, em seguida, defina o TimeRange para filtrar os dados de acordo com suas necessidades. Use a alternância Mostrar ajuda para exibir a explicação in-loco da pasta de trabalho.

    Captura de ecrã do separador Descrição geral do livro de estado de funcionamento da regra de análise.

Há três seções com guias nesta pasta de trabalho:

Separador Descrição Geral

A guia Visão geral mostra resumos de integridade e auditoria:

  • Resumos de integridade do status da regra de análise é executada no espaço de trabalho selecionado: número de execuções, sucessos e falhas e detalhes de eventos de falha.
  • Resumos de auditoria de atividades em regras de análise no espaço de trabalho selecionado: número de atividades ao longo do tempo, número de atividades por tipo e número de atividades de diferentes tipos por regra.

Guia Saúde

A guia Integridade permite detalhar eventos de integridade específicos.

Captura de tela da seleção da guia integridade na pasta de trabalho de integridade de análise.

  • Filtre todos os dados da página por status (sucesso/falha) e tipo de regra (agendado/NRT).
  • Veja as tendências de execuções de regras bem-sucedidas e/ou falhadas (dependendo do filtro de status) durante o período de tempo selecionado. Você pode "escovar o tempo" no gráfico de tendência para ver um subconjunto do intervalo de tempo original. A captura de tela da regra de análise é executada ao longo do tempo na pasta de trabalho de integridade da análise.
  • Filtre o resto da página por motivo.
  • Veja o número total de execuções para todas as regras de análise, exibidas proporcionalmente por status em um gráfico de pizza.
  • Segue-se uma tabela que mostra o número de regras de análise exclusivas que foram executadas, discriminadas por tipo de regra e estado.
    • Selecione um status para filtrar os gráficos restantes para esse status.
    • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela do número de regras executadas por status e tipo na pasta de trabalho de integridade de análise.
  • Veja cada status, com o número de possíveis razões para esse status. (Apenas os motivos representados nas corridas no período de tempo selecionado serão mostrados.)
    • Selecione um status para filtrar os gráficos restantes para esse status.
    • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela do número de motivos exclusivos por status na pasta de trabalho de integridade da análise.
  • Em seguida, veja uma lista desses motivos, com o número total de execuções de regras combinadas e o número de regras exclusivas que foram executadas.
    • Selecione um motivo para filtrar os gráficos a seguir por esse motivo.
    • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela da regra executada por motivo exclusivo na pasta de trabalho de integridade de análise.
  • Depois disso, é apresentada uma lista das regras de análise exclusivas que foram executadas, com os resultados mais recentes e as linhas de tendência do seu sucesso e/ou fracasso (dependendo do status selecionado para filtrar a lista).
    • Selecione uma regra para detalhar e mostrar uma nova tabela com todas as execuções dessa regra (no período de tempo selecionado).
    • Limpe essa tabela selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela da lista de regras exclusivas executadas, com status e linhas de tendência, na pasta de trabalho de integridade de análise.
  • Se você selecionou uma regra na lista acima, uma nova tabela aparecerá com os detalhes de integridade da regra selecionada. Captura de tela da lista de execuções da regra de análise selecionada, na pasta de trabalho de integridade da análise.

Guia Auditoria

A guia Auditoria permite detalhar eventos de auditoria específicos.

Captura de tela da seleção da guia auditoria na pasta de trabalho de integridade da análise.

  • Filtre os dados da página inteira por tipo de regra de auditoria (agendada/Fusão).
  • Veja as tendências da atividade auditada nas regras de análise ao longo do período selecionado. Você pode "escovar o tempo" no gráfico de tendência para ver um subconjunto do intervalo de tempo original. Captura de tela da atividade de auditoria em tendência na pasta de trabalho de integridade de análise.
  • Veja os números de eventos auditados, discriminados por atividade e tipo de regra.
    • Selecione uma atividade para filtrar os gráficos a seguir para essa atividade.
    • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela de contagens de eventos de auditoria por atividade e tipo na pasta de trabalho de integridade da análise.
  • Veja o número de eventos auditados por nome de regra.
    • Selecione um nome de regra para filtrar a tabela a seguir para essa regra e para detalhar e mostrar uma nova tabela com toda a atividade nessa regra (no período selecionado). (Veja depois a captura de tela a seguir.)
    • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico. Captura de tela de eventos auditados por nome de regra e chamador na pasta de trabalho de integridade de análise.
  • Veja o número de eventos auditados por chamador (a identidade que executou a atividade).
  • Se você selecionou um nome de regra no gráfico descrito acima, outra tabela aparecerá mostrando as atividades auditadas nessa regra. Selecione o valor que aparece como um link na coluna ExtendedProperties para abrir um painel lateral exibindo as alterações feitas na regra. Captura de tela da atividade de auditoria da regra selecionada na pasta de trabalho de integridade da análise.

Próximos passos