Criar uma regra de análise do assistente
Você pode criar uma regra de análise personalizada para pesquisar atividades suspeitas e ameaças na Contoso.
Criar uma regra de análise programada personalizada
Criar uma regra personalizada com base no tipo de regra de consulta agendada fornece o nível mais elevado de personalização. Ao associar a regra a um guia estratégico do Microsoft Sentinel, você pode definir seu próprio código KQL, definir um agendamento para executar os alertas e fornecer uma ação automatizada.
Para criar uma regra de consulta agendada no portal do Azure, em Microsoft Sentinel, selecione Análise. Na barra do cabeçalho, selecione +Criar e Regra de consulta agendada.
Observação
Também é possível criar uma regra agendada ao selecionar uma regra agendada da lista Regras e modelos no painel Análise e Criar regra no painel de detalhes.
Uma regra de consulta programada criada é composta pelos seguintes elementos:
Guia Geral
A tabela a seguir lista os campos de entrada do painel Geral.
| Campo | Descrição |
|---|---|
| Nome | Forneça um nome descritivo para explicar o tipo de atividade suspeita que o alerta detecta. |
| Descrição | Insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz. |
| Táticas | Na lista suspensa Táticas, escolha uma entre as categorias disponíveis de ataques para classificar a regra seguindo as táticas do MITRE. |
| Severidade | Selecione a lista suspensa Gravidade para categorizar o nível de importância do alerta como uma das quatro opções: Alta, Média, Baixa ou Informativo. |
| Status | Especifique o status da regra. Por padrão, o status é Habilitar. Selecione Desabilitar para desabilitar a regra se ela gerar um número elevado de falsos positivos. |
Guia Definir lógica de regra
Na guia Definir lógica de regra, defina o método de detecção especificando o código KQL que é executado no workspace do Microsoft Sentinel. A consulta KQL filtra os dados de segurança que são usados para disparar e criar um incidente.
Ao inserir a cadeia de caracteres de consulta KQL no campo Consulta de regra, use a seção Simulação de resultados (versão prévia) para examinar os resultados da consulta. A seção Simulação de resultados (versão prévia) ajuda você a determinar se a consulta retornou os resultados esperados.
A consulta de exemplo a seguir alerta você quando um número anormal de recursos é criado na Atividade do Azure.
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
Dica
Para obter assistência com a linguagem de consulta KQL, confira a Visão geral do KQL (Linguagem de Consulta Kusto).
Enriquecimento de alerta (versão prévia)
O enriquecimento de alertas permite que você personalize ainda mais o resultado da sua consulta.
Mapeamento de entidade
Na seção Mapeamento de entidade, você pode definir até cinco entidades dos resultados da consulta e usar essas entidades para executar uma análise detalhada. Ao selecionar Adicionar nova entidade para adicionar essas entidades na regra de consulta. Essas entidades podem ajudar você a realizar uma investigação visual, porque serão exibidas como um grupo na guia Incidente. Algumas das entidades contêm informações que representam um usuário, um host ou um endereço IP.
Detalhes personalizados
Na seção Detalhes personalizados, você pode definir pares chave-valor que, se aparecerem no resultado da consulta, exibirão um parâmetro de evento nos resultados.
Detalhes do Alerta
Na seção Detalhes do alerta, insira um texto livre como parâmetros que possam ser representados em cada instância do alerta. Eles também podem conter as táticas e a gravidade atribuídas a essa instância do alerta.
Agendamento de consulta
Na seção Agendamento de consulta, você pode configurar a frequência com que a consulta deve ser executada e até quando pesquisar os dados no histórico de pesquisa. É importante que você não pesquise dados anteriores à frequência de execução da consulta, pois isso pode criar alertas duplicados.
Limite de alerta
Na seção Limite de alerta, especifique o número de resultados positivos que podem ser retornados para a regra antes que um alerta seja gerado. Você pode usar os seguintes operadores lógicos para definir uma expressão lógica apropriada:
- É maior que
- É menor que
- É igual a
- Não é igual a
Agrupamento de eventos
Na seção Agrupamento de eventos, selecione uma destas duas opções:
- Agrupar todos os eventos em um único alerta. Essa é a opção padrão e cria um único alerta caso a consulta retorne mais resultados do que o limite de alertas especificado.
- Disparar um alerta para cada evento. Essa opção cria alertas exclusivos para cada evento retornado pela consulta.
Supressão
Na seção Supressão, você pode configurar a opção Interromper a execução da Consulta após a geração do alerta como Ativado ou Desativado. Ao selecionar Ativado, o Microsoft Sentinel pausará a criação de incidentes adicionais caso a regra seja disparada novamente, pelo tempo que você desejar que a regra seja suprimida.
Configurações de incidente (versão prévia)
Use a guia Configurações de incidente para criar incidentes, os quais são gerados pelo agrupamento de alertas com base em gatilhos e quadros de tempo.
Na seção Agrupamento de alertas, você pode reduzir o ruído de vários alertas agrupando-os em um incidente. Ao habilitar o agrupamento de alertas relacionados, você pode escolher entre as seguintes opções:
- Agrupar alertas em um único incidente se todas as entidades corresponderem (recomendado)
- Agrupar todos os alertas disparados por essa regra em um único incidente
- Agrupar alertas em um incidente se as entidades selecionadas corresponderem, por exemplo, endereços IP de origem ou de destino.
Também é possível Reabrir incidentes de correspondência fechados se outro alerta for gerado e pertencer a um incidente anteriormente fechado.
Guia de resposta automatizada
Não usado neste exercício.
Definir a guia lógica da regra – exercício
Na guia Resposta Automatizada, selecione uma regra de automação existente ou crie uma. As regras de automação podem executar guias estratégicos com base nas condições e nos gatilhos escolhidos.
Para obter mais informações sobre como criar um guia estratégico e executar a atividade automatizada em uma criação de incidentes, confira o módulo “Resposta a ameaças com os guias estratégicos do Microsoft Sentinel”.
Guia Revisar e criar
Na guia Revisar e criar, revise as configurações definidas no assistente antes de criar uma regra.