Partilhar via

Monitore e otimize a execução de suas regras de análise agendadas

  • Artigo

Para garantir que a deteção de ameaças do Microsoft Sentinel forneça cobertura completa em seu ambiente, aproveite suas ferramentas de gerenciamento de execução. Essas ferramentas consistem em informações sobre a execução das regras de análise agendadas, com base nos dados de integridade e auditoria do Microsoft Sentinel, e um recurso para executar manualmente execuções anteriores de regras em janelas de tempo específicas, para fins de teste e/ou solução de problemas.

Importante

As informações da regra de análise do Microsoft Sentinel e a repetição manual estão atualmente em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Resumo

Há duas ferramentas de gerenciamento de execução para regras de análise agendadas: insights de regras agendadas internas e a capacidade de executar novamente regras agendadas sob demanda.

Na página Análise, o painel Informações é exibido como outra guia no painel de detalhes, ao lado da guia Informações. O painel Insights fornece informações sobre a atividade e os resultados de uma regra. Por exemplo: execuções com falha, principais problemas de integridade, contagem de alertas ao longo do tempo e classificações de fechamento de incidentes criados pela regra. Essas informações ajudam seus analistas de segurança a identificar possíveis problemas ou configurações incorretas com regras de análise e permitem que eles descubram e corrijam falhas de regras e otimizem as configurações de regras para melhor desempenho e precisão.

Também na página Análise , você pode executar novamente as regras de análise sob demanda. Esta capacidade proporciona flexibilidade e controlo na validação da eficácia das regras. Ele pode ser útil em cenários como refinamento de regras, testes, validação e outros. Ter a flexibilidade de iniciar reexecuções manuais pode oferecer suporte a operações de segurança eficientes, permitir uma resposta eficaz a incidentes e melhorar as capacidades gerais de deteção e resposta do sistema.

Casos de uso e benefícios da repetição de regras

Aqui estão alguns cenários que podem se beneficiar da repetição de execuções específicas de regras de análise:

Refinamento e ajuste de regras: as regras do Google Analytics podem exigir ajustes periódicos e ajustes finos com base no cenário de ameaças em evolução e nas necessidades organizacionais em mudança. Ao executar regras manualmente, seus analistas podem avaliar o impacto das modificações de regras e validar sua eficácia antes de implantá-las em um ambiente de produção.

Teste e validação: Ao introduzir novas regras de análise, fazer alterações significativas nas existentes ou desenvolver novos manuais de incidentes, é essencial testar exaustivamente o seu desempenho e precisão. A reexecução manual permite simular diferentes cenários, incluindo o fluxo automatizado de incidentes de ponta a ponta, e validar as regras em relação a um conjunto consistente de entradas de dados. Esse processo garante que as regras gerem os alertas esperados sem produzir falsos positivos excessivos.

Investigação de incidentes: No caso de um incidente de segurança ou atividade suspeita, seus analistas podem querer exibir detalhes adicionais nos alertas já gerados. Eles podem fazer isso atualizando a regra e executando-a novamente em intervalos de execução específicos (voltando até sete dias) para coletar informações adicionais e identificar eventos relacionados. A repetição manual permite que seus analistas realizem investigações aprofundadas e ajuda a garantir uma cobertura abrangente.

Conformidade e auditoria: alguns requisitos normativos ou políticas internas podem exigir a repetição das regras de análise periodicamente ou sob demanda para demonstrar monitoramento e conformidade contínuos. A repetição manual fornece a capacidade de cumprir tais obrigações, garantindo que as regras sejam aplicadas de forma consistente e gerem alertas apropriados.

Pré-requisitos

Para usar as ferramentas de gerenciamento de execução, você deve ter o recurso de integridade e auditoria do Microsoft Sentinel habilitado e, especificamente, o monitoramento da integridade da regra de análise. Saiba como habilitar a integridade e a auditoria.

Ver informações sobre regras de análise

Para tirar proveito dessas ferramentas, comece examinando os insights sobre uma determinada regra.

  1. No menu de navegação do Microsoft Sentinel, selecione Analytics.

  2. Encontre e selecione uma regra (Agendada ou NRT) cujos insights você gostaria de ver.

  3. Selecione a guia Informações no painel de detalhes.

    Captura de ecrã a mostrar a seleção de uma regra de análise.

  4. Quando você seleciona a guia Insights , o seletor de período de tempo aparecerá. Selecione um período de tempo ou deixe-o como o padrão das últimas 24 horas.

    Captura de ecrã do seletor de períodos de tempo na página do Google Analytics.

Atualmente, o painel Insights mostra quatro tipos de insights. Cada insight é seguido por um link Exibir tudo que leva você à página Logs e exibe a consulta que produziu o insight junto com os resultados brutos completos. Aqui estão os insights:

  • Execuções com falha exibe uma lista de execuções com falha dessa regra no período de tempo determinado. Essa perceção também é seguida por um link para o painel Execuções de regras, onde você pode ver uma lista de todas as vezes que a regra foi executada e pode repetir execuções específicas da regra.

  • Principais problemas de saúde exibe uma lista dos problemas de saúde mais comuns para essa regra durante um determinado período de tempo. Essa perceção também é seguida por um link Exibir execuções que leva você à página Logs , onde você verá uma consulta de todas as vezes que essa regra foi executada.

  • O gráfico de alertas mostra um gráfico do número de alertas gerados por esta regra no período de tempo determinado.

  • A classificação de incidentes mostra um resumo da classificação de incidentes fechados criados por esta regra durante o período de tempo determinado.

Executar novamente regras de análise

Há vários cenários que podem levá-lo a executar novamente uma regra.

  • Uma regra não pôde ser executada devido a uma condição temporária que voltou ao normal ou devido a uma configuração incorreta. Depois de corrigir a configuração incorreta ou reparar a condição, convém executar novamente a regra na mesma janela de tempo (ou seja, nos mesmos dados) que a execução que falhou, para mitigar as lacunas na cobertura.

  • Uma regra conseguiu ser executada, mas não forneceu informações suficientes nos alertas gerados. Nesse caso, talvez você queira editar a regra para fornecer mais informações, seja alterando a consulta ou as configurações de enriquecimento. Em seguida, você desejará executar novamente a regra na mesma janela de tempo (ou seja, nos mesmos dados) que a execução para a qual deseja obter mais informações.

  • Você pode estar experimentando escrever ou editar uma regra e quiser ver como configurações diferentes afetariam os alertas gerados pela regra. Para uma comparação válida, você deseja executar novamente a regra na mesma janela de tempo.

Veja como executar novamente uma regra:

  1. Na página Análise, selecione Execução de regras (Pré-visualização) na barra de ferramentas na parte superior. O painel Execução da regra será aberto.

    Captura de tela do painel de execução de regras de acesso.

    Você também pode acessar o painel Execuções de regras selecionando Executar regras novamente na exibição Execuções com falha na guia Informações (veja acima).

    Captura de ecrã do painel de execução da regra.

  2. Selecione as execuções de regras que deseja repetir, de acordo com a janela de tempo em que foram executadas originalmente, conforme exibido na coluna Tempo de execução. Você pode escolher mais de uma regra executada.

    Captura de tela mostrando a escolha da regra é executada para ser executada novamente.

  3. Selecione Executar repetição. Serão exibidas notificações que mostram o andamento das solicitações e que as regras foram enfileiradas para execução.

    Captura de tela das notificações de execução de regras.

  4. Selecione Atualizar para exibir o status atualizado das execuções da regra. Você verá que suas solicitações são exibidas entre eles, com um status de Em andamento (que eventualmente será exibido como Sucesso) e um tipo de acionado pelo usuário em vez de acionado pelo sistema.

    Captura de tela do progresso das reexecuções de regras.

    Você também notará que o tempo de execução das reexecuções solicitadas é o mesmo que a execução da execução acionada pelo sistema original, e não o tempo de execução da reexecução. Isso é para mostrar qual janela de tempo sua reprise está referenciando.

    Você só pode reproduzir execuções de regras acionadas pelo sistema, não as acionadas pelo usuário.

Selecione Exibir detalhes completos no final da linha de qualquer execução de regra para exibir todos os detalhes brutos na tela Logs .

Próximos passos