Utilizar funções Microsoft Sentinel, consultas guardadas e regras personalizadas

Utilizar funções

Para utilizar uma função de Microsoft Sentinel, aceda ao separador Funções e desloque-se até encontrar a função pretendida. Faça duplo clique no nome da função para inserir a função no editor de consultas.

Também pode selecionar as reticências verticais ( ) à direita da função e selecionar Inserir para consultar para inserir a função numa consulta no editor de consultas.

Outras opções incluem:

• Ver detalhes – abre o painel do lado da função que contém os respetivos detalhes
• Carregar código da função – abre um novo separador que contém o código da função

Para funções editáveis, estão disponíveis mais opções quando seleciona as reticências verticais:

• Editar detalhes – abre o painel do lado da função para lhe permitir editar detalhes sobre a função (exceto os nomes das pastas para Sentinel funções)
• Eliminar – elimina a função

Utilizar o operador arg() para consultas de Resource Graph do Azure (Pré-visualização)

Os clientes de pré-visualização podem utilizar o operador arg() para consultar recursos do Azure implementados, como subscrições, máquinas virtuais, CPU, armazenamento e similares. Leia Criar alertas com o Azure Resource Graph e o Log Analytics para obter mais detalhes.

No editor de consultas, introduza arg(""). seguido do nome da tabela Resource Graph do Azure.

arg("").<Azure-Resource-Graph-table-name>

Em seguida, pode filtrar, por exemplo, uma consulta que pesquisa Microsoft Sentinel dados com base nos resultados de uma consulta do Azure Resource Graph:

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Utilizar consultas guardadas

Para utilizar uma consulta guardada de Microsoft Sentinel, aceda ao separador Consultas e desloque-se até encontrar a consulta pretendida. Faça duplo clique no nome da consulta para carregar a consulta no editor de consultas. Para obter mais opções, selecione as reticências verticais ( ) à direita da consulta. A partir daqui, pode efetuar as seguintes ações:

• Executar consulta – carrega a consulta no editor de consultas e executa-a automaticamente

• Abrir no editor de consultas – carrega a consulta no editor de consultas

• Ver detalhes – abre o painel lateral dos detalhes da consulta onde pode inspecionar a consulta, executar a consulta ou abrir a consulta no editor

  

Para consultas editáveis, estão disponíveis mais opções:

• Editar detalhes – abre o painel lateral dos detalhes da consulta com a opção de editar os detalhes, como a descrição (se aplicável) e a própria consulta; apenas os nomes das pastas (localização) das consultas Microsoft Sentinel não podem ser editados
• Eliminar – elimina a consulta
• Mudar o nome – permite-lhe modificar o nome da consulta

Criar regras de análise e deteção personalizadas

Para ajudar a detetar ameaças e comportamentos anómalos no seu ambiente, pode criar políticas de deteção personalizadas.

Para regras de análise aplicáveis aos dados ingeridos através da área de trabalho Microsoft Sentinel ligada, selecione Gerir regras > Criar regra de análise.

É apresentado o assistente de regras de Análise. Preencha os detalhes necessários, conforme descrito no Assistente de regras de análise — separador Geral.

Também pode criar regras de deteção personalizadas que consultam dados de tabelas Microsoft Sentinel e Defender XDR. Selecione Gerir regras > Criar deteção personalizada. Leia Criar e gerir regras de deteção personalizadas para obter mais informações.

Se os dados Defender XDR forem ingeridos no Microsoft Sentinel, tem a opção de escolher entre Criar deteção personalizada e Criar regra de análise.