Usar indicadores de ameaças em regras de análise

Ative as regras de análise com os indicadores de ameaças para gerar alertas automaticamente com base na inteligência contra ameaças que você integrou.

Pré-requisitos

• Indicadores de ameaça. Esses indicadores podem ser de feeds de inteligência contra ameaças, plataformas de inteligência contra ameaças, importação em massa de um arquivo simples, ou entrada manual.
• Fontes de dados. Os eventos dos conectores de dados devem fluir para o workspace do Microsoft Sentinel.
• Uma regra de análise do formato TI map.... Ela deve usar esse formato para que possa mapear os indicadores de ameaça que você tem com os eventos que você ingeriu.

Configurar uma regra para gerar alertas de segurança

O exemplo a seguir mostra como habilitar e configurar uma regra para gerar alertas de segurança usando os indicadores de ameaça importados para o Microsoft Sentinel. Para este exemplo, use o modelo de regra TI map IP entity to AzureActivity. Essa regra corresponde a qualquer indicador de ameaça de tipo de endereço IP com todos os eventos de atividade do Azure. Quando uma correspondência for encontrada, um alerta será gerado junto com um incidente correspondente para serem investigados por sua equipe de operações de segurança.

Essa regra de análise específica requer o conector de dados da Atividade do Azure (para importar seus eventos no nível da assinatura do Azure). Ela também requer um ou ambos os conectores de dados de Inteligência contra Ameaças (para importar indicadores de ameaça). Essa regra também é disparada de indicadores importados ou criados manualmente.

1. No portal do Azure, acesse o Microsoft Sentinel.

2. Escolha o workspace para o qual você importou indicadores de ameaça usando os conectores de dados de Inteligência contra Ameaças e os dados de Atividade do Azure usando o conector de dados de Atividade do Azure.

3. No menu do Microsoft Sentinel, na seção Configuração, selecione Análise.

4. Selecione a guia Modelos de regra para ver a lista de modelos de regra de análise disponíveis.

5. Encontre a regra entidade de IP do mapa de TI para AzureActivity e certifique-se de ter conectado todas as fontes de dados necessárias.

   

6. Selecione a regra Entidade de IP do mapa de TI para AzureActivity. Em seguida, selecione Criar regra para abrir um assistente de configuração de regra. Defina as configurações no assistente e selecione Avançar: Definir lógica da regra >.

   

7. A parte lógica da regra do assistente é pré-preenchida com os seguintes itens:

   • A consulta que é usada na regra.
   • Mapeamentos de entidade, que informam ao Microsoft Sentinel como reconhecer entidades como contas, endereços IP e URLs. Incidentes e investigações podem entender como trabalhar com os dados em quaisquer alertas de segurança que foram gerados por essa regra.
   • A agenda para executar a regra.
   • O número de resultados de consulta necessários antes que um alerta de segurança seja gerado.

   As configurações padrão no modelo são:

   • Executar uma vez por hora.
   • Corresponder qualquer indicador de ameaça de endereço IP da tabela ThreatIntelligenceIndicator com qualquer endereço IP encontrado na última hora de eventos da tabela AzureActivity.
   • Gere um alerta de segurança se os resultados da consulta forem maiores que zero para indicar que as correspondências foram encontradas.
   • Verifique se a regra está habilitada.

   Você pode deixar as configurações padrão ou alterá-las para atender às suas necessidades. Você pode definir as configurações de geração de incidentes na guia Configurações de incidente. Para saber mais, confira Criar regras de análise personalizadas para detectar ameaças. Ao terminar, selecione a guia Resposta automática.

8. Configure qualquer automação que quiser acionar quando um alerta de segurança for gerado por esta regra de análise. A automação no Microsoft Azure Sentinel usa combinações de regras de automação e guias estratégicos desenvolvidos pelos Aplicativos Lógicos do Azure. Para saber mais, veja o Tutorial: usar guias estratégicos com regras de automação no Microsoft Azure Sentinel. Quando terminar, selecione Avançar: Revise > para continuar.

9. Quando você vir uma mensagem informando que a validação da regra foi aprovada, selecione Criar.

Examine suas regras

Encontre a sua regra habilitada na guia Regras ativas da seção Análise do Microsoft Azure Sentinel. Edite, habilite, desabilite, duplique ou exclua a regra ativa nessa seção. A nova regra é executada imediatamente após a ativação e, em seguida, é executada em seu agendamento definido.

De acordo com as configurações padrão, toda vez que a regra é executada na agenda, todos os resultados encontrados geram um alerta de segurança. Para ver alertas de segurança no Microsoft Sentinel na seção Logs do Microsoft Sentinel, no grupo Microsoft Sentinel, consulte a tabela SecurityAlert.

No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes. Os incidentes são o que suas equipes de operações de segurança analisam e investigam para determinar as ações de resposta apropriadas. Confira mais informações em Tutorial: investigar incidentes com o Microsoft Azure Sentinel.

Conteúdo relacionado

Neste artigo, você aprendeu como usar os indicadores de inteligência contra ameaças para detectar ameaças. Para saber mais sobre a inteligência contra ameaças no Microsoft Azure Sentinel, veja os seguintes artigos:

• Trabalhar com indicadores de ameaças no Microsoft Sentinel.
• Conectar o Microsoft Azure Sentinel aos feeds de inteligência contra ameaças STIX/TAXII.
• Conectar plataformas de inteligência contra ameaças ao Microsoft Azure Sentinel.
• Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser integrados prontamente ao Microsoft Azure Sentinel.