Detecção de ameaças no Microsoft Sentinel

Depois de configurar o Microsoft Sentinel para coletar dados de toda a sua organização, você precisa analisar constantemente todos esses dados para detectar ameaças de segurança ao seu ambiente. Para realizar esta tarefa, o Microsoft Sentinel fornece regras de detecção de ameaças que são executadas regularmente, consultando os dados coletados e analisando-os para descobrir ameaças. Essas regras vêm em algumas variantes diferentes e são coletivamente conhecidas como regras de análise.

Essas regras geram alertas quando encontram o que estão procurando. Os alertas contêm informações sobre os eventos detectados, como as entidades (usuários, dispositivos, endereços e outros itens) envolvidas. Os alertas são agregados e correlacionados em incidentes — arquivos de caso — que você pode atribuir e investigar para saber toda a extensão da ameaça detectada e responder adequadamente. Você também pode criar respostas automatizadas e predeterminadas na própria configuração das regras.

Você pode criar essas regras do zero usando o assistente de regra de análise interno. No entanto, a Microsoft incentiva você a usar a vasta gama de modelos de regras analíticas disponíveis por meio das muitas soluções para Microsoft Sentinel fornecidas no hub de conteúdo. Esses modelos são protótipos de regras predefinidos, projetados por equipes de especialistas em segurança e analistas com base em seu conhecimento de ameaças conhecidas, vetores de ataque comuns e cadeias suspeitas de escalonamento de atividades. Você ativa regras desses modelos para pesquisar automaticamente em seu ambiente por qualquer atividade que pareça suspeita. Muitos dos modelos podem ser personalizados para pesquisar tipos específicos de eventos ou filtrá-los de acordo com suas necessidades.

Este artigo ajuda você a entender como o Microsoft Sentinel detecta ameaças e o que acontece a seguir.

Importante

O Microsoft Sentinel agora está disponível para todos na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Tipos de regras de análise

Você pode exibir as regras de análise e os modelos disponíveis para usar na página Análise do menu Configuração no Microsoft Sentinel. As regras atualmente ativas são visíveis em uma guia, e os modelos para criar novas regras em outra guia. Uma terceira guia exibe Anomalias, um tipo de regra especial descrito posteriormente neste artigo.

Para encontrar mais modelos de regra do que são exibidos no momento, acesse o Hub de conteúdo no Microsoft Sentinel para instalar as soluções de produto relacionadas ou conteúdo autônomo. Os modelos de regra de análise estão disponíveis com quase todas as soluções de produto no hub de conteúdo.

Os seguintes tipos de regras de análise e modelos de regra estão disponíveis no Microsoft Sentinel:

Além dos tipos de regra anteriores, há alguns outros tipos de modelo especializados e cada um deles pode criar uma instância de uma regra, com opções de configuração limitadas:

Regras agendadas

De longe, o tipo mais comum de regra de análise, as regras Agendadas, é baseado em consultas Kusto que são configuradas para serem executadas em intervalos regulares e examinam dados brutos de um período de "lookback" definido. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.

As consultas em modelos de regra agendada foram escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo. As consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e exceções em grupos de eventos.

A lógica de consulta é exibida na configuração da regra. Você pode usar a lógica de consulta e as configurações de agendamento e de pesquisa, conforme definido no modelo, ou personalizá-las para criar novas regras. Alternativamente, você pode criar regras inteiramente novas do zero.

Saiba mais sobre Regras de análise agendadas no Microsoft Sentinel.

Regras NRT (quase em tempo real)

As regras NRT são um subconjunto limitado de regras agendadas. Elas são projetadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais atualizadas possível.

Elas funcionam principalmente como regras agendadas e são configuradas da mesma forma com algumas limitações.

Saiba mais sobre Detecção rápida de ameaças com regras de análise quase em tempo real (NRT) no Microsoft Sentinel.

Regras de anomalias

As regras de anomalias usam o aprendizado de máquina para observar tipos específicos de comportamentos durante um período de tempo para determinar uma linha de base. Cada regra tem seus próprios parâmetros e limites exclusivos, apropriados para o comportamento que está sendo analisado. Depois que o período de observação for concluído, a linha de base será definida. Quando a regra observa comportamentos que excedem os limites definidos na linha de base, ela sinaliza essas ocorrências como anômalas.

Embora as configurações de regras não possam ser alteradas ou ajustadas, é possível duplicar uma regra e, em seguida, alterar e ajustar a duplicata. Nesses casos, executar a duplicata no modo Liberação de versões de pré-lançamento e o original simultaneamente no modo Produção. Em seguida, compare os resultados e mude a duplicata para Produção se e quando seu ajuste estiver de acordo com o seu gosto.

As anomalias, por si só, não indicam necessariamente comportamentos mal-intencionados ou até mesmo suspeitos. Portanto, as regras de anomalias não geram os seus próprios alertas. Em vez disso, eles registram os resultados de suas análises – as anomalias detectadas – na tabela Anomalias. Você pode consultar esta tabela para fornecer contexto que melhore suas detecções, investigações e busca de ameaças.

Para obter mais informações, consulte Usar anomalias personalizáveis para detectar ameaças no Microsoft Sentinel e Trabalhar com regras de análise de detecção de anomalias no Microsoft Sentinel.

Regras de segurança da Microsoft

Embora as regras NRT e agendadas criem incidentes automaticamente para os alertas gerados, os alertas gerados em serviços externos e ingeridos no Microsoft Sentinel não criam os seus próprios incidentes. As regras de segurança da Microsoft criam automaticamente incidentes do Microsoft Sentinel com base nos alertas gerados em outras soluções de segurança da Microsoft, em tempo real. Você pode usar modelos de segurança da Microsoft para criar novas regras com lógica semelhante.

Importante

As regras de segurança da Microsoft não estarão disponíveis se você tiver:

Nesses cenários, o Microsoft Defender XDR cria os incidentes.

Qualquer uma dessas regras definidas por você anteriormente são desabilitadas automaticamente.

Para obter mais informações sobre as regras de criação de incidentes de segurança da Microsoft, confira Criar incidentes automaticamente com base em alertas de segurança da Microsoft.

Inteligência contra ameaças

Aproveite a inteligência contra ameaças produzida pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Análise de Inteligência contra Ameaças da Microsoft. Essa regra exclusiva não é personalizável, mas, quando habilitada, corresponde automaticamente aos logs de CEF (Formato Comum de Evento), aos dados de Syslog ou aos eventos de DNS do Windows com indicadores de ameaça de domínio, IP e URL da Inteligência contra Ameaças da Microsoft. Determinados indicadores contêm mais informações de contexto por meio da MDTI (Inteligência contra Ameaças do Microsoft Defender).

Para obter mais informações sobre como habilitar essa regra, consulte Usar a análise de correspondência para detectar ameaças.
Para obter mais informações sobre o MDTI, confira O que é a Inteligência contra ameaças do Microsoft Defender.

Detecção avançada de ataque multiestágio (Fusion)

O Microsoft Sentinel usa o mecanismo de correlação do Fusion, com seus algoritmos de aprendizado de máquina escalonáveis, para detectar ataques avançados de vários estágios correlacionando muitos alertas e eventos de baixa fidelidade em vários produtos para gerar incidentes de alta fidelidade e acionáveis. A regra de Detecção avançada de ataque multiestágio está habilitada por padrão. Como a lógica está oculta e, portanto, não é personalizável, pode haver apenas uma regra com este modelo.

O mecanismo Fusion também pode correlacionar alertas produzidos por regras de análise agendadas com alertas de outros sistemas, produzindo incidentes de alta fidelidade como resultado.

Importante

O tipo de regra de Detecção avançada de ataque de vários estágios não estará disponível se você tiver:

Nesses cenários, o Microsoft Defender XDR cria os incidentes.

Além disso, alguns dos modelos de detecção do Fusion estão atualmente em VERSÃO PRÉVIA (confira Detecção avançada de ataque multiestágio no Microsoft Sentinel para ver quais). Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Análise de comportamento do ML (aprendizado de máquina)

Aproveite os algoritmos de machine learning proprietários da Microsoft para gerar alertas e incidentes de alta fidelidade com as regras de Análise de Comportamento de ML. Essas regras exclusivas (atualmente em versão prévia) não são personalizáveis, mas quando habilitadas, detectam comportamentos de logon anômalos específicos de SSH e RDP com base em informações de IP, localização geográfica e histórico do usuário.

Permissões de acesso para regras de análise

Quando você cria uma regra de análise, um token de permissões de acesso é aplicado à regra e salvo junto com ela. Esse token garante que a regra possa acessar o workspace que contém os dados consultados pela regra e que esse acesso será mantido mesmo que o criador da regra perca o acesso a esse workspace.

No entanto, há uma exceção a esse acesso: quando uma regra é criada para acessar workspaces em outras assinaturas ou locatários, como o que acontece no caso de um MSSP, o Microsoft Sentinel toma medidas extras de segurança para impedir o acesso não autorizado aos dados do cliente. Para esses tipos de regras, as credenciais do usuário que criou a regra são aplicadas à regra em vez de um token de acesso independente, para que, quando o usuário não tiver mais acesso à outra assinatura ou locatário, a regra pare de funcionar.

Se você operar o Microsoft Sentinel em um cenário entre assinaturas ou entre locatários, quando um de seus analistas ou engenheiros perder o acesso a um workspace específico, todas as regras criadas por esse usuário param de funcionar. Nessa situação, você recebe uma mensagem de monitoramento de integridade sobre "acesso insuficiente ao recurso" e a regra é desabilitada automaticamente depois de ter falhado um determinado número de vezes.

Exportar regras para um modelo do ARM

Você pode exportar facilmente sua regra para um modelo do ARM (Azure Resource Manager) se desejar gerenciar e implantar suas regras como código. Você também pode importar regras de arquivos de modelo para exibi-las e editá-las na interface do usuário.

Próximas etapas