Criar regras de análise agendadas a partir de modelos

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De longe o tipo mais comum de regra de análise, as regras agendadas são baseadas em consultas Kusto configuradas para serem executadas em intervalos regulares e examinarem dados brutos de um período de "retrospetiva" definido. Essas consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e valores atípicos em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.

A Microsoft disponibiliza uma vasta gama de modelos de regras de análise por meio das muitas soluções fornecidas no hub Conteúdo e recomenda fortemente que você os use para criar suas regras. As consultas em modelos de regras agendadas são escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo.

Este artigo mostra como criar uma regra de análise agendada usando um modelo.

Importante

O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal Microsoft Defender. O Microsoft Sentinel no portal do Defender agora é suportado para uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Ver regras de análise existentes

Para visualizar as regras de análise instaladas no Microsoft Sentinel, vá para a página Análise . A guia Modelos de regra exibe todos os modelos de regra instalados. Para encontrar mais modelos de regras, vá para o hub de conteúdo no Microsoft Sentinel para instalar as soluções de produto relacionadas ou o conteúdo autônomo.

  1. Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.

  2. Na tela Análise, selecione a guia Modelos de regras.

  3. Se você quiser filtrar a lista para modelos agendados :

    1. Selecione Adicionar filtro e escolha Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.

    Captura de ecrã de modelos de regras de análise agendadas no portal do Microsoft Azure.

Criar uma regra a partir de um modelo

Este procedimento descreve como criar uma regra de análise a partir de um modelo.

Na seção Configuração do menu de navegação do Microsoft Sentinel, selecione Analytics.

  1. Na tela Análise, selecione a guia Modelos de regras.

  2. Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.

    Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, a disponibilidade das fontes de dados é verificada automaticamente. Se uma fonte de dados não estiver habilitada, o botão Criar regra poderá ser desativado ou você poderá ver uma mensagem nesse sentido.

    Captura de ecrã do painel de pré-visualização da regra de análise.

  3. O assistente de criação de regras é aberto. Todos os detalhes são preenchidos automaticamente.

  4. Percorra as guias do assistente, personalizando a lógica e outras configurações de regras sempre que possível para melhor atender às suas necessidades específicas.

    Quando você chega ao final do assistente de criação de regras, o Microsoft Sentinel cria a regra. A nova regra aparece na guia Regras ativas.

    Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.

Gorjeta

  • Certifique-se de habilitar todas as regras associadas às fontes de dados conectadas para garantir cobertura total de segurança para seu ambiente. A maneira mais eficiente de habilitar regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, consulte Conectar fontes de dados.

  • Você também pode enviar regras por push para o Microsoft Sentinel via API e PowerShell, embora isso exija esforço adicional.

    Ao usar a API ou o PowerShell, você deve primeiro exportar as regras para JSON antes de habilitar as regras. A API ou o PowerShell podem ser úteis ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.

Próximos passos

Neste documento, você aprendeu como criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.