Criar regras de análise agendadas a partir de modelos
De longe o tipo mais comum de regra de análise, as regras agendadas são baseadas em consultas Kusto configuradas para serem executadas em intervalos regulares e examinarem dados brutos de um período de "retrospetiva" definido. Essas consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e valores atípicos em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.
A Microsoft disponibiliza uma vasta gama de modelos de regras de análise por meio das muitas soluções fornecidas no hub Conteúdo e recomenda fortemente que você os use para criar suas regras. As consultas em modelos de regras agendadas são escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo.
Este artigo mostra como criar uma regra de análise agendada usando um modelo.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Ver regras de análise existentes
Para visualizar as regras de análise instaladas no Microsoft Sentinel, vá para a página Análise . A guia Modelos de regra exibe todos os modelos de regra instalados. Para encontrar mais modelos de regras, vá para o hub de conteúdo no Microsoft Sentinel para instalar as soluções de produto relacionadas ou o conteúdo autônomo.
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.
Na tela Análise, selecione a guia Modelos de regras.
Se você quiser filtrar a lista para modelos agendados :
Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.
Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.
Criar uma regra a partir de um modelo
Este procedimento descreve como criar uma regra de análise a partir de um modelo.
Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.
Na tela Análise, selecione a guia Modelos de regras.
Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.
Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, a disponibilidade das fontes de dados é verificada automaticamente. Se uma fonte de dados não estiver habilitada, o botão Criar regra poderá ser desativado ou você poderá ver uma mensagem nesse sentido.
O assistente de criação de regras é aberto. Todos os detalhes são preenchidos automaticamente.
Percorra as guias do assistente, personalizando a lógica e outras configurações de regras sempre que possível para melhor atender às suas necessidades específicas.
Quando você chega ao final do assistente de criação de regras, o Microsoft Sentinel cria a regra. A nova regra aparece na guia Regras ativas.
Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.
Gorjeta
Certifique-se de habilitar todas as regras associadas às fontes de dados conectadas para garantir cobertura total de segurança para seu ambiente. A maneira mais eficiente de habilitar regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, consulte Conectar fontes de dados.
Você também pode enviar regras por push para o Microsoft Sentinel via API e PowerShell, embora isso exija esforço adicional.
Ao usar a API ou o PowerShell, você deve primeiro exportar as regras para JSON antes de habilitar as regras. A API ou o PowerShell podem ser úteis ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.
Próximos passos
Neste documento, você aprendeu como criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.
- Saiba mais sobre as regras de análise.
- Saiba como criar uma regra de análise a partir do zero.