Trabalhar com regras de análise de deteção de anomalias no Microsoft Sentinel
O recurso de anomalias personalizáveis do Microsoft Sentinel fornece modelos de anomalias integrados para valor imediato pronto para uso. Esses modelos de anomalias foram desenvolvidos para serem robustos usando milhares de fontes de dados e milhões de eventos, mas esse recurso também permite que você altere limites e parâmetros para as anomalias facilmente na interface do usuário. As regras de anomalias são ativadas ou ativadas por padrão, portanto, gerarão anomalias prontas para uso. Você pode encontrar e consultar essas anomalias na tabela Anomalias na seção Logs .
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Ver modelos de regras de anomalia personalizáveis
Agora você pode encontrar regras de anomalia exibidas em uma grade na guia Anomalias na página Análise .
Para usuários do Microsoft Sentinel no portal do Azure, selecione Analytics no menu de navegação do Microsoft Sentinel.
Para usuários do portal do Microsoft Defender, selecione Microsoft Sentinel > Configuration > Analytics no menu de navegação do Microsoft Defender.
Na página Análise, selecione a guia Anomalias.
Para filtrar a lista por um ou mais dos seguintes critérios, selecione Adicionar filtro e escolha de acordo.
Status - se a regra está habilitada ou desabilitada.
Táticas - as táticas de estrutura MITRE ATT&CK cobertas pela anomalia.
Técnicas - as técnicas de enquadramento MITRE ATT&CK abrangidas pela anomalia.
Fontes de dados - o tipo de logs que precisam ser ingeridos e analisados para que a anomalia seja definida.
Selecione uma regra e exiba as seguintes informações no painel de detalhes:
Descrição explica como funciona a anomalia e os dados necessários.
Táticas e técnicas são as táticas e técnicas da estrutura MITRE ATT&CK cobertas pela anomalia.
Os parâmetros são os atributos configuráveis para a anomalia.
Limiar é um valor configurável que indica o grau em que um evento deve ser incomum antes que uma anomalia seja criada.
A frequência da regra é o tempo entre os trabalhos de processamento de log que encontram as anomalias.
O status da regra informa se a regra é executada no modo de produção ou Flighting (preparação) quando habilitada.
A versão de anomalia mostra a versão do modelo usada por uma regra. Se quiser alterar a versão usada por uma regra que já está ativa, você deve recriar a regra.
As regras que vêm com o Microsoft Sentinel pronto para uso não podem ser editadas ou excluídas. Para personalizar uma regra, você deve primeiro criar uma duplicata da regra e, em seguida, personalizar a duplicata. Consulte as instruções completas.
Nota
Por que existe um botão Editar se a regra não pode ser editada?
Embora não seja possível alterar a configuração de uma regra de anomalia pronta para uso, você pode fazer duas coisas:
Você pode alternar o status da regra entre Produção e Flighting.
Você pode enviar comentários à Microsoft sobre sua experiência com anomalias personalizáveis.
Avaliar a qualidade das anomalias
Você pode ver o desempenho de uma regra de anomalia analisando uma amostra das anomalias criadas por uma regra no último período de 24 horas.
Para usuários do Microsoft Sentinel no portal do Azure, selecione Analytics no menu de navegação do Microsoft Sentinel.
Para usuários do portal do Microsoft Defender, selecione Microsoft Sentinel > Configuration > Analytics no menu de navegação do Microsoft Defender.
Na página Análise, selecione a guia Anomalias.
Selecione a regra que deseja avaliar e copie sua ID na parte superior do painel de detalhes à direita.
No menu de navegação do Microsoft Sentinel, selecione Logs.
Se uma galeria de Consultas aparecer na parte superior, feche-a.
Selecione a guia Tabelas no painel esquerdo da página Logs .
Defina o filtro Intervalo de tempo como Últimas 24 horas.
Copie a consulta Kusto abaixo e cole-a na janela de consulta (onde diz "Digite sua consulta aqui ou..."):
Anomalies | where RuleId contains "<RuleId>"
Cole o ID da
<RuleId>
regra copiado acima entre aspas.Selecione Executar.
Quando tiver alguns resultados, pode começar a avaliar a qualidade das anomalias. Se não tiver resultados, tente aumentar o intervalo de tempo.
Expanda os resultados para cada anomalia e, em seguida, expanda o campo AnomalyReasons . Isso dirá por que a anomalia disparou.
A "razoabilidade" ou "utilidade" de uma anomalia pode depender das condições do seu ambiente, mas uma razão comum para uma regra de anomalia produzir muitas anomalias é que o limiar é muito baixo.
Sintonizar regras de anomalias
Embora as regras de anomalia sejam projetadas para a máxima eficácia fora da caixa, cada situação é única e, às vezes, as regras de anomalia precisam ser ajustadas.
Como não é possível editar uma regra ativa original, você deve primeiro duplicar uma regra de anomalia ativa e, em seguida, personalizar a cópia.
A regra de anomalia original continuará em execução até que você a desative ou exclua.
Isso é por design, para lhe dar a oportunidade de comparar os resultados gerados pela configuração original e a nova. As regras duplicadas são desativadas por padrão. Você só pode fazer uma cópia personalizada de qualquer regra de anomalia. As tentativas de fazer uma segunda cópia falharão.
Para alterar a configuração de uma regra de anomalia, selecione-a na lista da guia Anomalias .
Clique com o botão direito do rato em qualquer parte da linha da regra ou clique com o botão esquerdo nas reticências (...) no final da linha e, em seguida, selecione Duplicar no menu de contexto.
Uma nova regra aparecerá na lista, com as seguintes características:
- O nome da regra será o mesmo que o original, com " - Personalizado" anexado ao final.
- O status da regra será Desativado.
- O selo FLGT aparecerá no início da linha para indicar que a regra está no modo Flighting.
Para personalizar essa regra, selecione-a e selecione Editar no painel de detalhes ou no menu de contexto da regra.
A regra é aberta no assistente de regras do Google Analytics. Aqui você pode alterar os parâmetros da regra e seu limite. Os parâmetros que podem ser alterados variam com cada tipo de anomalia e algoritmo.
Pode pré-visualizar os resultados das suas alterações no painel Pré-visualização de resultados. Selecione um ID de anomalia na visualização dos resultados para ver por que o modelo de ML identifica essa anomalia.
Habilite a regra personalizada para gerar resultados. Algumas de suas alterações podem exigir que a regra seja executada novamente, então você deve esperar que ela termine e voltar para verificar os resultados na página de logs. A regra de anomalia personalizada é executada no modo Flighting (teste) por padrão. A regra original continua a ser executada no modo de produção por padrão.
Para comparar os resultados, volte para a tabela Anomalias em Logs para avaliar a nova regra como antes, use apenas a consulta a seguir para procurar anomalias geradas pela regra original, bem como a regra duplicada.
Anomalies | where AnomalyTemplateId contains "<RuleId>"
Cole o ID da regra copiado da regra original entre
<RuleId>
aspas. O valor deAnomalyTemplateId
nas regras originais e duplicadas é idêntico ao valor deRuleId
na regra original.
Se estiver satisfeito com os resultados da regra personalizada, pode voltar ao separador Anomalias , selecionar a regra personalizada, selecionar o botão Editar e, no separador Geral , mudar de Flighting para Produção. A regra original mudará automaticamente para Flighting , uma vez que não é possível ter duas versões da mesma regra em produção ao mesmo tempo.
Próximos passos
Neste documento, você aprendeu como trabalhar com regras personalizáveis de análise de deteção de anomalias no Microsoft Sentinel.