Criar uma regra de análise a partir de modelos
A seção Analytics no Microsoft Sentinel contém modelos de regras que são pré-carregados do repositório GitHub do Microsoft Sentinel. Pode utilizar estes modelos para criar uma regra para detetar ameaças à segurança.
Explorar os modelos de regras existentes
Pode utilizar alguns dos modelos de regras existentes para criar uma única regra e outros para criar várias regras com diferentes opções de personalização. Os modelos em uso exibem o rótulo EM USO na página do modelo, conforme exibido na captura de tela a seguir.
Ao selecionar uma das regras na guia Modelos de Regra , você pode observar as propriedades da regra. Para cada regra, pode ver o seguinte:
Nível de gravidade. Indica a importância do alerta. Há quatro níveis de gravidade:
- Máximo
- Meio
- Mínimo
- Informativo
Nome da regra. Indica um nome relevante para a regra de alerta.
Tipo de regra. Isso define o tipo da regra, que pode ser um dos seguintes tipos:
- Anomalia
- Fusão
- Microsoft Security
- Análise Comportamental de ML
- Agendado
Origem de Dados. Especifica o conector da origem de dados que gerou o alerta.
Táticas. Isso especifica metodologias no modelo MITRE ATT&CK usadas por diferentes tipos de malware.
Nota
MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real. A base de conhecimento da ATT&CK fornece uma base para o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na comunidade de produtos e serviços de cibersegurança.
Quando você seleciona uma regra na lista na guia Regras ativas ou na guia Modelos de regra, o painel de detalhes fornece mais informações para a regra selecionada.
Criar uma regra de análise a partir de um modelo de regra
Quando você seleciona um modelo de regra predefinido, o painel de detalhes pode exibir filtros que podem ser usados para definir como essa regra se comporta. Para regras de análise de comportamento do Fusion e ML, a Microsoft não fornece informações editáveis. No entanto, para regras agendadas e Segurança da Microsoft, você pode exibir ou editar a consulta, filtros e inclui e exclui usados na deteção de ameaças. Ao selecionar o botão Criar regra, você pode definir a lógica da regra de análise usando um assistente que ajuda a personalizar uma regra a partir do modelo selecionado.
Para modelos de análise de comportamento do Fusion e ML, você só pode habilitá-los ou desabilitá-los como regras ativas.
Uma regra criada a partir de um modelo de segurança da Microsoft consiste nos seguintes elementos:
Separador Geral
A tabela a seguir lista as entradas na guia Geral .
| Campo | Descrição |
|---|---|
| Name | É povoado previamente com base no nome do modelo de regra. |
| Description | Forneça mais detalhes sobre a criação dos alertas. |
| Status | Indica se a regra de análise está ativada ou desativada. |
| Serviço de segurança da Microsoft | Indica a origem do alerta de um dos serviços de segurança da Microsoft. |
| Filtrar por severidade | Use para ajustar alertas de uma fonte com base no nível de gravidade; se você selecionar Personalizado, poderá especificar Alto, Médio, Baixo ou Informativo. |
| Incluir alertas específicos | Adicione uma ou mais palavras para incluir resultados de alertas que contenham texto específico em seu nome. |
| Excluir alertas específicos | Adicione uma ou mais palavras para excluir resultados de alertas que contenham texto específico em seu nome. |
Resposta automática
Na guia Resposta automatizada, você pode definir regras de automação. Se você selecionar Adicionar novo, o painel Criar nova regra de automação será aberto. Os seguintes campos são entradas:
| Campo | Descrição |
|---|---|
| Nome da regra de automação | Escolha um nome que descreva exclusivamente essa regra de automação |
| Acionador | Valor predefinido que não pode ser alterado. |
| Condições | Construção típica de filtro de consulta que pode ser editada e classificada. |
| Ações | Lista de seleção de ações; Selecione qual ação você deseja executar se as condições do filtro de consulta forem atendidas. |
| Expiração da regra | Data e hora da desativação da regra. O padrão é indefinido. |
| Ordenar | Se várias regras forem criadas, selecione números sequenciais para reordenar as regras de automação de incidentes no painel esquerdo. |
Nota
Quando você implementa filtros para incluir ou excluir alertas específicos com base em uma cadeia de caracteres de texto, esses alertas não aparecerão no Microsoft Sentinel.
A captura de tela a seguir apresenta um exemplo de criação de um incidente a partir de alertas gerados pelo Microsoft Defender for Cloud.
Para obter instruções sobre como criar uma regra de análise a partir de um modelo de tipo de regra agendada, consulte Criar uma regra de análise a partir de um modelo de regra agendada na próxima unidade (Unidade 6).
Nota
Para determinados modelos de regras, o botão Criar regra poderá estar desativado, o que indica que não pode criar uma regra a partir do modelo selecionado devido a uma origem de dados em falta.