Criar uma regra de análise com base em modelos
A seção de Análise no Microsoft Sentinel contém modelos de regra que são pré-carregados do repositório do GitHub do Microsoft Sentinel. Você pode usar esses modelos para criar uma regra a fim de detectar ameaças à segurança.
Explorar os modelos de regra existentes
Você pode usar alguns dos modelos de regra existentes para criar uma única regra e outros para criar várias regras com diferentes opções de personalização. Os modelos em uso exibem o rótulo EM USO na página do modelo, conforme mostrado na captura de tela a seguir.
Ao selecionar uma das regras na guia Modelos de Regra, você pode observar as propriedades da regra. Para cada regra, é possível examinar:
Nível de gravidade. Indica a importância do alerta. Há quatro níveis de gravidade:
- Alto
- Médio
- Baixo
- Informativo
Nome da regra. Fornece um nome significativo para a regra de alerta.
Tipo de regra. Define o tipo da regra, o qual pode ser um dos seguintes:
- Anomalia
- Fusão
- Microsoft Security
- Análise do comportamento de ML
- Agendado
Fonte de dados. Especifica o conector da fonte de dados que gerou o alerta.
Táticas. Isso especifica metodologias no modelo MITRE ATT&CK usado por diferentes tipos de malware.
Observação
O MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias com base em observações do mundo real. A base de dados de conhecimento ATT&CK fornece uma base para o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na comunidade de produtos e serviços de segurança cibernética.
Ao selecionar uma regra da lista presente nas guias Regras ativas ou Modelos de regra, o painel de detalhes fornece mais informações para a regra selecionada.
Criar uma regra analítica com base em um modelo de regra
Ao selecionar um modelo de regra predefinido, o painel de detalhes pode exibir filtros que podem ser usados para definir como essa regra se comporta. Para regras de análise de comportamento de fusão e ML, a Microsoft não fornece nenhuma informação editável. No entanto, para regras agendadas e Segurança da Microsoft, você pode exibir ou editar a consulta, os filtros e incluir e excluir os usados na detecção de ameaças. Ao selecionar o botão Criar regra, você pode definir a lógica de regra de análise usando um assistente que ajuda a personalizar uma regra do modelo selecionado.
Você só pode habilitar ou desabilitar modelos de análise de comportamento de fusão e ML como regras ativas.
Uma regra criada com base nos modelos de segurança da Microsoft é composta pelos seguintes elementos:
Guia Geral
A tabela a seguir lista as entradas da guia Geral.
| Campo | Descrição |
|---|---|
| Nome | É preenchido previamente com o nome do modelo de regra. |
| Descrição | Fornece mais detalhes sobre a criação dos alertas. |
| Status | Indica se a regra de análise está habilitada ou desabilitada. |
| Serviço de segurança da Microsoft | Indica a origem do alerta de um dos serviços de segurança da Microsoft. |
| Filtrar por gravidade | Use para ajustar os alertas de uma fonte com base no nível de gravidade; caso selecione para personalizar, será possível especificar Alto, Médio, Baixo ou Informativo. |
| Incluir alertas específicos | Adicione uma ou mais palavras para incluir resultados de alertas que contenham um texto específico no nome. |
| Excluir alertas específicos | Adicione uma ou mais palavras para excluir resultados de alertas que contenham um texto específico no nome. |
Resposta automatizada
Na guia Resposta automatizada, você pode definir regras de automação. Se você selecionar Adicionar novo, o painel Criar nova regra de automação será aberto. Os campos a seguir são entradas:
| Campo | Descrição |
|---|---|
| Nome da regra de automação | Escolha um nome que descreva essa regra de automação exclusivamente |
| Gatilho | Valor predefinido que não pode ser alterado. |
| Condições | Constructo típico de filtro de consulta que pode ser editado e classificado. |
| Ações | Lista de seleção de ações; selecione qual ação você deseja realizar caso as condições do filtro de consulta sejam atendidas. |
| Expiração da regra | Data e hora para a regra ser desabilitada. O padrão é indefinido. |
| Ordem | Se várias regras forem criadas, selecione números sequenciais para reordenar as regras de automação de incidentes no painel esquerdo. |
Observação
Quando você implementar filtros para incluir ou excluir alertas específicos com base em uma cadeia de caracteres de texto, esses alertas não aparecerão no Microsoft Sentinel.
A captura de tela a seguir mostra um exemplo de criação de um incidente de alertas gerados pelo Microsoft Defender para Nuvem.
Para obter instruções sobre como criar uma regra de análise a partir de um modelo de tipo de regra agendada, confira Criar uma regra de análise de um modelo de regra agendada na próxima unidade (Unidade 6).
Observação
Para determinados modelos de regra, o botão Criar regra pode ser desabilitado, o que indica que você não pode criar uma regra do modelo selecionado devido a uma fonte de dados ausente.