Criar regras de análise agendadas a partir de modelos
De longe, o tipo mais comum de regra de análise, as regras Agendadas, é baseado em consultas Kusto que são configuradas para serem executadas em intervalos regulares e examinam dados brutos de um período de "lookback" definido. Essas consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e exceções em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.
A Microsoft disponibiliza uma ampla variedade de modelos de regra de análise para você por meio das muitas soluções fornecidas no Hub de Conteúdo e incentiva você a usá-los para criar suas regras. As consultas em modelos de regra agendada foram escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo.
Este artigo mostra como criar uma regra de análise agendada usando um modelo.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Exibir regras de análise existentes
Para exibir as regras de análise instaladas no Microsoft Sentinel, vá para a página Análise. A guia Modelos de regra exibe todos os modelos de regra instalados. Para encontrar mais modelos de regra, acesse o Hub de conteúdos no Microsoft Sentinel para instalar as soluções relacionadas ao produto ou conteúdos autônomos.
Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.
Na tela Análise, selecione a guia Modelos de regra.
Se você quiser filtrar a lista de modelos Agendados:
Selecione Adicionar filtro e escolha o Tipo de regra na lista de filtros.
Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.
Criar uma regra com base em um modelo
Este procedimento descreve como criar uma regra de análise a partir de um modelo.
Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.
Na tela Análise, selecione a guia Modelos de regra.
Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.
Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, as fontes de dados são verificadas automaticamente quanto à disponibilidade. Se uma fonte de dados não estiver habilitada, o botão Criar regra poderá estar desabilitado ou você poderá ver uma mensagem nesse sentido.
O assistente de criação de regra é aberto. Todos os detalhes são preenchidos automaticamente.
Percorra as guias do assistente, personalizando a lógica e outras configurações de regra sempre que possível para atender melhor às suas necessidades específicas.
Quando você chega ao final do assistente de criação de regra, o Microsoft Sentinel cria a regra. A nova regra aparece na guia Regras ativas.
Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.
Dica
Habilite todas as regras associadas às fontes de dados conectadas para garantir a cobertura de segurança total para o ambiente. A maneira mais eficiente de habilitar as regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, confira Conectar fontes de dados.
Você também pode enviar regras por push ao Microsoft Sentinel por meio da API e do PowerShell, embora isso exija ações adicionais.
Ao usar a API ou o PowerShell, você precisa primeiro exportar as regras ao JSON para depois habilitar as regras. A API ou o PowerShell pode ser útil ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.
Próximas etapas
Neste documento, você aprendeu a criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.
- Saiba mais sobre as regras de análise.
- Saiba como criar uma regra de análise do zero.