Criar regras de análise agendadas a partir de modelos

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De longe, o tipo mais comum de regra de análise, as regras Agendadas, é baseado em consultas Kusto que são configuradas para serem executadas em intervalos regulares e examinam dados brutos de um período de "lookback" definido. Essas consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e exceções em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.

A Microsoft disponibiliza uma ampla variedade de modelos de regra de análise para você por meio das muitas soluções fornecidas no Hub de Conteúdo e incentiva você a usá-los para criar suas regras. As consultas em modelos de regra agendada foram escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo.

Este artigo mostra como criar uma regra de análise agendada usando um modelo.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Exibir regras de análise existentes

Para exibir as regras de análise instaladas no Microsoft Sentinel, vá para a página Análise. A guia Modelos de regra exibe todos os modelos de regra instalados. Para encontrar mais modelos de regra, acesse o Hub de conteúdos no Microsoft Sentinel para instalar as soluções relacionadas ao produto ou conteúdos autônomos.

  1. Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  2. Na tela Análise, selecione a guia Modelos de regra.

  3. Se você quiser filtrar a lista de modelos Agendados:

    1. Selecione Adicionar filtro e escolha o Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.

    Captura de tela dos modelos de regra de análise agendada no portal do Microsoft Azure.

Criar uma regra com base em um modelo

Este procedimento descreve como criar uma regra de análise a partir de um modelo.

Na seção Configuração no menu de navegação do Microsoft Sentinel, selecione Análise.

  1. Na tela Análise, selecione a guia Modelos de regra.

  2. Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.

    Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, as fontes de dados são verificadas automaticamente quanto à disponibilidade. Se uma fonte de dados não estiver habilitada, o botão Criar regra poderá estar desabilitado ou você poderá ver uma mensagem nesse sentido.

    Captura de tela do painel de visualização da regra de análise.

  3. O assistente de criação de regra é aberto. Todos os detalhes são preenchidos automaticamente.

  4. Percorra as guias do assistente, personalizando a lógica e outras configurações de regra sempre que possível para atender melhor às suas necessidades específicas.

    Quando você chega ao final do assistente de criação de regra, o Microsoft Sentinel cria a regra. A nova regra aparece na guia Regras ativas.

    Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.

Dica

  • Habilite todas as regras associadas às fontes de dados conectadas para garantir a cobertura de segurança total para o ambiente. A maneira mais eficiente de habilitar as regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, confira Conectar fontes de dados.

  • Você também pode enviar regras por push ao Microsoft Sentinel por meio da API e do PowerShell, embora isso exija ações adicionais.

    Ao usar a API ou o PowerShell, você precisa primeiro exportar as regras ao JSON para depois habilitar as regras. A API ou o PowerShell pode ser útil ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.

Próximas etapas

Neste documento, você aprendeu a criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.