Deteção de ameaças no Microsoft Sentinel
Depois de configurar o Microsoft Sentinel para coletar dados de toda a sua organização, você precisa vasculhar constantemente todos esses dados para detetar ameaças à segurança do seu ambiente. Para realizar essa tarefa, o Microsoft Sentinel fornece regras de deteção de ameaças que são executadas regularmente, consultando os dados coletados e analisando-os para descobrir ameaças. Essas regras vêm em alguns tipos diferentes e são coletivamente conhecidas como regras de análise.
Essas regras geram alertas quando eles encontram o que estão procurando. Os alertas contêm informações sobre os eventos detetados, como as entidades (usuários, dispositivos, endereços e outros itens) envolvidas. Os alertas são agregados e correlacionados em incidentes — arquivos de caso — que você pode atribuir e investigar para saber a extensão total da ameaça detetada e responder de acordo. Você também pode criar respostas pré-determinadas e automatizadas na própria configuração das regras.
Você pode criar essas regras do zero, usando o assistente de regras de análise interno. No entanto, a Microsoft recomenda fortemente que você use a vasta gama de modelos de regras de análise disponíveis para você por meio das muitas soluções para o Microsoft Sentinel fornecidas no hub de conteúdo. Esses modelos são protótipos de regras pré-construídos, projetados por equipes de especialistas em segurança e analistas com base em seu conhecimento de ameaças conhecidas, vetores de ataque comuns e cadeias de escalonamento de atividades suspeitas. Você ativa regras desses modelos para pesquisar automaticamente em seu ambiente qualquer atividade que pareça suspeita. Muitos dos modelos podem ser personalizados para pesquisar tipos específicos de eventos, ou filtrá-los, de acordo com suas necessidades.
Este artigo ajuda você a entender como o Microsoft Sentinel deteta ameaças e o que acontece em seguida.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Tipos de regras de análise
Você pode exibir as regras de análise e os modelos disponíveis para uso na página Analytics do menu Configuração no Microsoft Sentinel. As regras atualmente ativas são visíveis em uma guia e os modelos para criar novas regras em outra guia. Uma terceira guia exibe Anomalias, um tipo de regra especial descrito posteriormente neste artigo.
Para encontrar mais modelos de regras do que os exibidos atualmente, vá para o hub de conteúdo no Microsoft Sentinel para instalar as soluções de produto relacionadas ou o conteúdo autônomo. Os modelos de regras do Google Analytics estão disponíveis com quase todas as soluções de produtos no hub de conteúdo.
Os seguintes tipos de regras de análise e modelos de regras estão disponíveis no Microsoft Sentinel:
- Regras programadas
- Regras quase em tempo real (NRT)
- Regras de anomalia
- Regras de segurança da Microsoft
Além dos tipos de regra anteriores, existem alguns outros tipos de modelo especializados que podem criar uma instância de uma regra, com opções de configuração limitadas:
- Informações sobre ameaças
- Deteção avançada de ataques em vários estágios ("Fusion")
- Análise de comportamento de aprendizado de máquina (ML)
Regras programadas
De longe o tipo mais comum de regra de análise, as regras agendadas são baseadas em consultas Kusto configuradas para serem executadas em intervalos regulares e examinarem dados brutos de um período de "retrospetiva" definido. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.
As consultas em modelos de regras agendadas foram escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo. As consultas podem realizar operações estatísticas complexas em seus dados de destino, revelando linhas de base e valores atípicos em grupos de eventos.
A lógica de consulta é exibida na configuração da regra. Você pode usar a lógica de consulta e as configurações de agendamento e retrospetiva, conforme definido no modelo, ou personalizá-las para criar novas regras. Como alternativa, você pode criar regras totalmente novas do zero.
Saiba mais sobre as regras de análise agendada no Microsoft Sentinel.
Regras quase em tempo real (NRT)
As regras NRT são um subconjunto limitado de regras programadas. Eles são projetados para funcionar uma vez a cada minuto, a fim de fornecer informações o mais atualizadas possível.
Eles funcionam principalmente como regras agendadas e são configurados de forma semelhante, com algumas limitações.
Saiba mais sobre a deteção rápida de ameaças com regras de análise quase em tempo real (NRT) no Microsoft Sentinel.
Regras de anomalia
As regras de anomalia usam o aprendizado de máquina para observar tipos específicos de comportamentos durante um período de tempo para determinar uma linha de base. Cada regra tem seus próprios parâmetros e limites exclusivos, adequados ao comportamento que está sendo analisado. Após a conclusão do período de observação, a linha de base é definida. Quando a regra observa comportamentos que excedem os limites estabelecidos na linha de base, ela sinaliza essas ocorrências como anômalas.
Embora as configurações de regras prontas para uso não possam ser alteradas ou ajustadas, você pode duplicar uma regra e, em seguida, alterar e ajustar a duplicata. Nesses casos, execute a duplicata no modo Flighting e o original simultaneamente no modo Produção . Em seguida, compare os resultados e mude a duplicata para Produção se e quando o ajuste fino for do seu agrado.
As anomalias não indicam necessariamente comportamentos maliciosos ou mesmo suspeitos por si só. Portanto, as regras de anomalia não geram seus próprios alertas. Em vez disso, eles registram os resultados de sua análise – as anomalias detetadas – na tabela Anomalias . Você pode consultar esta tabela para fornecer contexto que melhore suas deteções, investigações e caça a ameaças.
Para obter mais informações, consulte Usar anomalias personalizáveis para detetar ameaças no Microsoft Sentinel e Trabalhar com regras de análise de deteção de anomalias no Microsoft Sentinel.
Regras de segurança da Microsoft
Embora as regras agendadas e NRT criem automaticamente incidentes para os alertas que geram, os alertas gerados em serviços externos e ingeridos no Microsoft Sentinel não criam seus próprios incidentes. As regras de segurança da Microsoft criam automaticamente incidentes do Microsoft Sentinel a partir dos alertas gerados em outras soluções de segurança da Microsoft, em tempo real. Você pode usar modelos de segurança da Microsoft para criar novas regras com lógica semelhante.
Importante
As regras de segurança da Microsoft não estarão disponíveis se tiver:
- Integração de incidentes do Microsoft Defender XDR habilitada ou
- Microsoft Sentinel integrado ao portal Defender.
Nesses cenários, o Microsoft Defender XDR cria os incidentes.
Todas as regras que você definiu anteriormente são automaticamente desativadas.
Para obter mais informações sobre as regras de criação de incidentes de segurança da Microsoft, consulte Criar incidentes automaticamente a partir de alertas de segurança da Microsoft.
Informações sobre ameaças
Aproveite as informações sobre ameaças produzidas pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Microsoft Threat Intelligence Analytics . Esta regra exclusiva não é personalizável, mas quando ativada, faz a correspondência automática de logs CEF (Common Event Format), dados Syslog ou eventos DNS do Windows com indicadores de ameaça de domínio, IP e URL do Microsoft Threat Intelligence. Alguns indicadores contêm mais informações de contexto através do MDTI (Microsoft Defender Threat Intelligence).
Para obter mais informações sobre como habilitar essa regra, consulte Usar análise de correspondência para detetar ameaças.
Para obter mais informações sobre o MDTI, consulte O que é o Microsoft Defender Threat Intelligence.
Deteção avançada de ataques em vários estágios (Fusion)
O Microsoft Sentinel usa o mecanismo de correlação Fusion, com seus algoritmos escaláveis de aprendizado de máquina, para detetar ataques avançados de vários estágios, correlacionando muitos alertas e eventos de baixa fidelidade em vários produtos em incidentes acionáveis e de alta fidelidade. A regra de deteção avançada de ataques em vários estágios está habilitada por padrão. Como a lógica é oculta e, portanto, não personalizável, pode haver apenas uma regra com esse modelo.
O mecanismo Fusion também pode correlacionar alertas produzidos por regras de análise programada com alertas de outros sistemas, produzindo incidentes de alta fidelidade como resultado.
Importante
O tipo de regra de deteção avançada de ataque de vários estágios não estará disponível se você tiver:
- Integração de incidentes do Microsoft Defender XDR habilitada ou
- Microsoft Sentinel integrado ao portal Defender.
Nesses cenários, o Microsoft Defender XDR cria os incidentes.
Além disso, alguns dos modelos de deteção do Fusion estão atualmente em PREVIEW (consulte Deteção avançada de ataques em vários estágios no Microsoft Sentinel para ver quais). Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Análise comportamental de aprendizagem automática (ML)
Aproveite os algoritmos proprietários de aprendizado de máquina da Microsoft para gerar alertas e incidentes de alta fidelidade com as regras do ML Behavior Analytics . Essas regras exclusivas (atualmente em Visualização) não são personalizáveis, mas quando habilitadas, detetam comportamentos de login específicos anômalos de SSH e RDP com base em IP e geolocalização e informações de histórico do usuário.
Permissões de acesso para regras de análise
Quando você cria uma regra de análise, um token de permissões de acesso é aplicado à regra e salvo junto com ela. Esse token garante que a regra possa acessar o espaço de trabalho que contém os dados consultados pela regra e que esse acesso seja mantido mesmo que o criador da regra perca o acesso a esse espaço de trabalho.
No entanto, há uma exceção a esse acesso: quando uma regra é criada para acessar espaços de trabalho em outras assinaturas ou locatários, como o que acontece no caso de um MSSP, o Microsoft Sentinel toma medidas de segurança adicionais para impedir o acesso não autorizado aos dados do cliente. Para esses tipos de regras, as credenciais do usuário que criou a regra são aplicadas à regra em vez de um token de acesso independente, de modo que, quando o usuário não tiver mais acesso à outra assinatura ou locatário, a regra pare de funcionar.
Se você operar o Microsoft Sentinel em um cenário de assinatura cruzada ou locatário cruzado, quando um de seus analistas ou engenheiros perder o acesso a um espaço de trabalho específico, todas as regras criadas por esse usuário pararão de funcionar. Nessa situação, você recebe uma mensagem de monitoramento de integridade sobre "acesso insuficiente ao recurso" e a regra é desabilitada automaticamente depois de ter falhado um determinado número de vezes.
Exportar regras para um modelo ARM
Você pode exportar facilmente sua regra para um modelo do Azure Resource Manager (ARM) se quiser gerenciar e implantar suas regras como código. Você também pode importar regras de arquivos de modelo para visualizá-las e editá-las na interface do usuário.
Próximos passos
Saiba mais sobre as regras de análise agendada no Microsoft Sentinel e a deteção rápida de ameaças com regras de análise quase em tempo real (NRT) no Microsoft Sentinel.
Para encontrar mais modelos de regras, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.