Criar e personalizar regras de análise no Microsoft Sentinel

  • 7 minutos

Depois de conectar suas fontes de dados ao Microsoft Sentinel, crie regras de análise personalizadas para ajudar a descobrir ameaças e comportamentos anômalos em seu ambiente.

As regras do Google Analytics pesquisam eventos ou conjuntos de eventos específicos em seu ambiente, alertam quando determinados limites ou condições de eventos são atingidos, geram incidentes para o SOC triar e investigar e responder a ameaças com processos automatizados de rastreamento e correção.

Criar uma regra de análise personalizada com uma consulta agendada

  1. No menu de navegação do Microsoft Sentinel, selecione Analytics.

  2. Na barra de ações na parte superior, selecione + Criar e selecione Regra de consulta agendada. Isso abre o assistente de regras do Google Analytics.

Captura de tela mostrando um exemplo de como executar uma consulta agendada.

Assistente de regras do Google Analytics - guia Geral

  • Forneça um Nome e uma Descrição exclusivos.
  • No campo Táticas e técnicas, você pode escolher entre categorias de ataques para classificar a regra. Estes são baseados nas táticas e técnicas do framework MITRE ATT&CK.
  • Os incidentes criados a partir de alertas detetados por regras mapeadas para táticas e técnicas MITRE ATT&CK herdam automaticamente o mapeamento da regra.
  • Defina a gravidade do alerta conforme apropriado.
    • Informativo. Nenhum impacto no seu sistema, mas as informações podem ser indicativas de etapas futuras planejadas por um agente de ameaça.
    • Baixo. O impacto imediato seria mínimo. Um agente de ameaça provavelmente precisaria realizar várias etapas antes de alcançar um impacto em um ambiente.
    • Média. O agente da ameaça poderia ter algum impacto no ambiente com esta atividade, mas o seu âmbito seria limitado ou exigiria uma atividade adicional.
    • Elevada. A atividade identificada proporciona ao agente da ameaça um amplo acesso para realizar ações no ambiente ou é desencadeada pelo impacto no ambiente.
  • Os padrões de nível de severidade não são uma garantia do nível de impacto atual ou ambiental. Personalize os detalhes do alerta para personalizar a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta com os valores de quaisquer campos relevantes de uma saída de consulta.
  • As definições de gravidade para modelos de regras de análise do Microsoft Sentinel são relevantes apenas para alertas criados por regras de análise. Para alertas ingeridos de outros serviços, a gravidade é definida pelo serviço de segurança de origem.
  • Quando você cria a regra, seu Status é Habilitado por padrão, o que significa que ela será executada imediatamente após você terminar de criá-la. Se você não quiser que ele seja executado imediatamente, selecione Desativado e a regra será adicionada à guia Regras ativas e você poderá ativá-la a partir daí quando precisar.

Captura de ecrã a mostrar um exemplo de como criar uma nova regra.

Definir a lógica de consulta da regra e definir as configurações

Na guia Definir lógica da regra, você pode escrever uma consulta diretamente no campo de consulta Regra ou criar a consulta no Log Analytics e, em seguida, copiá-la e colá-la aqui.

  • As consultas são escritas na Linguagem de Consulta Kusto (KQL).
  • O exemplo mostrado nesta captura de tela consulta a tabela SecurityEvent para exibir um tipo de eventos de logon do Windows com falha.

Captura de tela mostrando um exemplo de como definir a lógica da regra.

Aqui está outra consulta de exemplo, que alertaria você quando um número anômalo de recursos é criado na Atividade do Azure.

Kusto

AzureActivity

| onde OperationNameValue == "MICROSOFT. COMPUTE/VIRTUALMACHINES/WRITE" ou OperationNameValue == "MICROSOFT. RECURSOS/IMPLANTAÇÕES/GRAVAÇÃO"

| onde ActivityStatusValue == "Sucedido"

| make-series dcount(ResourceId) default=0 em EventSubmissionTimestamp no intervalo(ago(7d), now(), 1d) por Caller

Importante

Recomendamos que sua consulta use um analisador ASIM (Advanced Security Information Model) e não uma tabela nativa. Isso garantirá que a consulta ofereça suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.

Práticas recomendadas de consulta de regras:

  • O comprimento da consulta deve estar entre 1 e 10.000 caracteres e não pode conter search * ou union *. Você pode usar funções definidas pelo usuário para superar a limitação de comprimento da consulta.
  • Não há suporte para o uso de funções ADX para criar consultas do Azure Data Explorer dentro da janela de consulta do Log Analytics.
  • Ao usar a bag_unpack função em uma consulta, se você projetar as colunas como campos usando project field1 e a coluna não existir, a consulta falhará. Para evitar que isso aconteça, você deve projetar a coluna da seguinte forma:
    • project field1 = column_ifexists("field1","")

Enriquecimento de alerta

  • Use a seção Configuração de mapeamento de entidade para mapear parâmetros dos resultados da consulta para entidades reconhecidas pelo Microsoft Sentinel. As entidades enriquecem os resultados das regras (alertas e incidentes) com informações essenciais que servem como blocos de construção de quaisquer processos de investigação e ações corretivas que se seguem. Eles também são os critérios pelos quais você pode agrupar alertas em incidentes na guia Configurações de incidentes.
  • Use a seção Configuração de detalhes personalizados para extrair itens de dados de eventos de sua consulta e apresentá-los nos alertas produzidos por esta regra, proporcionando visibilidade imediata do conteúdo do evento em seus alertas e incidentes.
  • Use a seção Configuração de detalhes do alerta para substituir os valores padrão das propriedades do alerta por detalhes dos resultados da consulta subjacente. Os detalhes do alerta permitem que você exiba, por exemplo, o endereço IP ou o nome da conta de um invasor no título do próprio alerta, para que ele apareça na sua fila de incidentes, dando-lhe uma imagem muito mais rica e clara do seu cenário de ameaças.

Nota

O limite de tamanho para um alerta inteiro é de 64 KB.

  • Os alertas que crescerem mais de 64 KB serão truncados. À medida que as entidades são identificadas, elas são adicionadas ao alerta, uma a uma, até que o tamanho do alerta atinja 64 KB e todas as entidades restantes sejam retiradas do alerta.
  • Os outros enriquecimentos de alerta também contribuem para a dimensão do alerta.
  • Para reduzir o tamanho do alerta, use o project-away operador na consulta para remover campos desnecessários. (Considere também o project operador se houver apenas alguns campos que você precisa manter.)

Agendamento de consultas e limite de alerta

  • Na seção Agendamento de consultas, defina os seguintes parâmetros:

Captura de ecrã a mostrar um exemplo de criação de uma nova regra agendada.

  • Defina Executar consulta a cada para controlar a frequência com que a consulta é executada — tão frequentemente quanto a cada 5 minutos ou tão raramente quanto uma vez a cada 14 dias.
  • Defina os dados de Pesquisa do último para determinar o período de tempo dos dados cobertos pela consulta — por exemplo, ele pode consultar os últimos 10 minutos de dados ou as últimas 6 horas de dados. O máximo é de 14 dias.
  • Para a nova configuração Iniciar execução (em Visualização):
    • Deixe-o definido como Continuar automaticamente o comportamento original: a regra será executada pela primeira vez imediatamente após ser criada e, depois disso, no intervalo definido na consulta Executar todas as configurações.
    • Alterne o interruptor para Em hora específica se quiser determinar quando o botão
    • a regra é executada primeiro, em vez de ser executada imediatamente. Em seguida, escolha a data usando o seletor de calendário e insira a hora no formato do exemplo mostrado.

Captura de tela mostrando um exemplo de como configurar parâmetros de agendamento de consulta.

Execuções futuras da regra ocorrerão no intervalo especificado após a primeira execução.

A linha de texto sob a configuração Iniciar execução (com o ícone de informações à esquerda) resume as configurações atuais de agendamento e retrospetiva de consultas.

Intervalos de consulta e período de retrospetiva

Essas duas configurações são independentes uma da outra, até certo ponto. Você pode executar uma consulta em um intervalo curto cobrindo um período de tempo maior do que o intervalo (na verdade, com consultas sobrepostas), mas não pode executar uma consulta em um intervalo que exceda o período de cobertura, caso contrário, você terá lacunas na cobertura geral da consulta.

Atraso na ingestão

Para levar em conta a latência que pode ocorrer entre a geração de um evento na origem e sua ingestão no Microsoft Sentinel, e para garantir uma cobertura completa sem duplicação de dados, o Microsoft Sentinel executa regras de análise agendadas com um atraso de cinco minutos em relação à hora agendada.

Use a seção Limite de alerta para definir o nível de sensibilidade da regra. Por exemplo, defina Gerar alerta quando o número de resultados da consulta for maior que e digite o número 1000 se desejar que a regra gere um alerta somente se a consulta retornar mais de 1000 resultados cada vez que for executada. Este é um campo obrigatório, por isso, se não quiser definir um limite – ou seja, se quiser que o seu alerta registe todos os eventos – introduza 0 no campo número.

Definir as configurações de criação de incidentes

Na guia Configurações de Incidentes, você pode escolher se e como o Microsoft Sentinel transforma alertas em incidentes acionáveis. Se essa guia for deixada sozinha, o Microsoft Sentinel criará um incidente único e separado de cada alerta. Você pode optar por não criar incidentes ou agrupar vários alertas em um único incidente, alterando as configurações nesta guia.

Definições de incidentes

Na seção Configurações de incidentes, Criar incidentes a partir de alertas acionados por esta regra de análise é definido por padrão como Habilitado, o que significa que o Microsoft Sentinel criará um incidente único e separado de cada alerta acionado pela regra.

  • Se você não quiser que essa regra resulte na criação de incidentes (por exemplo, se essa regra for apenas para coletar informações para análise subsequente), defina-a como Desabilitada.
  • Se quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, consulte a próxima seção.

Agrupamento de alertas

Na seção Agrupamento de alertas, se desejar que um único incidente seja gerado a partir de um grupo de até 150 alertas semelhantes ou recorrentes (consulte a nota), defina alertas relacionados ao grupo, acionados por esta regra de análise, como incidentes como Habilitado e defina os seguintes parâmetros.

  • Limitar o grupo a alertas criados dentro do período selecionado: determine o período de tempo dentro do qual os alertas semelhantes ou recorrentes serão agrupados. Todos os alertas correspondentes dentro deste período de tempo gerarão coletivamente um incidente ou um conjunto de incidentes (dependendo das configurações de agrupamento abaixo). Os alertas fora deste período de tempo gerarão um incidente separado ou um conjunto de incidentes.
  • Agrupe alertas acionados por esta regra de análise em um único incidente por: Escolha a base na qual os alertas serão agrupados:
Opção Descrição
Alertas de grupo em um único incidente se todas as entidades corresponderem Os alertas são agrupados se compartilharem valores idênticos para cada uma das entidades mapeadas (definidas na guia Definir lógica da regra acima). Esta é a definição recomendada.
Agrupe todos os alertas acionados por essa regra em um único incidente Todos os alertas gerados por esta regra são agrupados, mesmo que não partilhem valores idênticos.
Agrupar alertas em um único incidente se as entidades e os detalhes selecionados corresponderem Os alertas são agrupados se compartilharem valores idênticos para todas as entidades mapeadas, detalhes do alerta e detalhes personalizados selecionados nas respetivas listas suspensas.

Talvez você queira usar essa configuração se, por exemplo, quiser criar incidentes separados com base nos endereços IP de origem ou de destino ou se quiser agrupar alertas que correspondam a uma entidade e gravidade específicas.

Nota: Ao selecionar essa opção, você deve ter pelo menos um tipo de entidade ou campo selecionado para a regra. Caso contrário, a validação da regra falhará e a regra não será criada.
  • Reabrir incidentes de correspondência fechados: se um incidente tiver sido resolvido e fechado e, posteriormente, for gerado outro alerta que deve pertencer a esse incidente, defina essa configuração como Habilitado se quiser que o incidente fechado seja reaberto e deixe como Desativado se quiser que o alerta crie um novo incidente.

Nota

Até 150 alertas podem ser agrupados em um único incidente.

  • O incidente só será criado depois de todos os alertas terem sido gerados. Todos os alertas serão adicionados ao incidente imediatamente após a sua criação.
  • Se mais de 150 alertas forem gerados por uma regra que os agrupa em um único incidente, um novo incidente será gerado com os mesmos detalhes do incidente que o original, e os alertas em excesso serão agrupados no novo incidente.

Definir respostas automatizadas e criar a regra

Na guia Respostas automatizadas, você pode usar regras de automação para definir respostas automatizadas para ocorrer em qualquer um dos três tipos de ocasiões:

  1. Quando um alerta é gerado por esta regra de análise.
  2. Quando um incidente é criado com alertas gerados por esta regra de análise.
  3. Quando um incidente é atualizado com alertas gerados por esta regra de análise.

A grade exibida em Regras de automação mostra as regras de automação que já se aplicam a essa regra de análise (em virtude de ela atender às condições definidas nessas regras). Você pode editar qualquer um deles selecionando as reticências no final de cada linha. Ou, você pode criar uma nova regra de automação.

Use regras de automação para executar triagem básica, atribuição, fluxo de trabalho e fechamento de incidentes.

Automatize tarefas mais complexas e invoque respostas de sistemas remotos para remediar ameaças chamando playbooks a partir dessas regras de automação. Você pode fazer isso para incidentes, bem como para alertas individuais.

Captura de tela mostrando um exemplo de como configurar uma resposta automatizada.

  • Em Automação de alertas (clássica) na parte inferior da tela, você verá todos os playbooks configurados para serem executados automaticamente quando um alerta for gerado usando o método antigo.
    • A partir de junho de 2023, você não poderá mais adicionar playbooks a essa lista. Os playbooks já listados aqui continuarão a ser executados até que este método seja preterido, a partir de março de 2026.
    • Se você ainda tiver algum playbook listado aqui, você deve, em vez disso, criar uma regra de automação com base no gatilho de alerta criado e invocar o playbook a partir daí. Depois de fazer isso, selecione as reticências no final da linha do manual listado aqui e selecione Remover.

Selecione Rever e criar para rever todas as definições da sua nova regra de análise. Quando a mensagem "Validação aprovada" aparecer, selecione Criar.

Exibir a regra e sua saída

  • Você pode encontrar sua regra personalizada recém-criada (do tipo "Agendada") na tabela na guia Regras ativas na tela principal do Google Analytics. Nessa lista, você pode ativar, desabilitar ou excluir cada regra.
  • Para ver os resultados das regras de análise que criar, aceda à página Incidentes, onde pode triar incidentes, investigá-los e corrigir as ameaças.
  • Você pode atualizar a consulta de regra para excluir falsos positivos.