Gerenciar versões de modelo para suas regras de análise agendadas no Microsoft Sentinel
Importante
Este recurso está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Introdução
O Microsoft Sentinel contém modelos de regras de análise que você transforma em regras ativas criando efetivamente uma cópia delas – é o que acontece quando você cria uma regra a partir de um modelo. Nesse ponto, no entanto, a regra ativa não está mais conectada ao modelo. Se forem feitas alterações em um modelo de regra, por engenheiros da Microsoft ou qualquer outra pessoa, todas as regras criadas a partir desse modelo de antemão não serão atualizadas dinamicamente para corresponder ao novo modelo.
No entanto, as regras criadas a partir de modelos lembram de quais modelos eles vieram, o que permite duas vantagens:
Se você fez alterações em uma regra ao criá-la a partir de um modelo, ou a qualquer momento depois, sempre poderá reverter a regra para sua versão original.
Você é notificado quando um modelo é atualizado. Você pode atualizar suas regras para a nova versão de seus modelos ou deixá-las como estão.
Este artigo mostra como gerenciar essas tarefas e o que ter em mente. Os procedimentos discutidos no artigo aplicam-se a quaisquer regras de análise agendada criadas a partir de modelos.
Descubra o número da versão do modelo da sua regra
Com a implementação do controle de versão de modelo, você pode ver e acompanhar as versões de seus modelos de regra e as regras criadas a partir deles. As regras com modelos atualizados exibem um selo "Atualizar" ao lado do nome da regra.
Na página Análise, selecione a guia Regras ativas.
Selecione qualquer regra do tipo Agendado.
Se a regra exibir o selo "Atualizar", seu painel de detalhes terá um botão Revisar e atualizar ao lado do botão Editar (veja a imagem 1 na próxima etapa).
Se a regra foi criada a partir de um modelo, mas não tem o selo "Atualizar", seu painel de detalhes terá um botão Comparar com modelo ao lado do botão Editar (veja as imagens 2 e 3 na próxima etapa).
Se houver apenas um botão Editar , a regra foi criada do zero, não a partir de um modelo.
Role para baixo até a parte inferior do painel de detalhes, onde você verá dois números de versão: a versão do modelo a partir do qual a regra foi criada e a versão mais recente disponível do modelo.
O número está em um formato "1.0.0" - versão principal, versão secundária e compilação.
Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar a forma como a regra deteta ameaças ou até mesmo sua capacidade de funcionar completamente. Pretende incluir esta alteração nas suas regras.
Uma diferença no número da versão secundária indica uma pequena melhoria no modelo – uma mudança cosmética ou algo semelhante – que seria "bom ter", mas não é crítica para manter a funcionalidade, eficácia ou desempenho da regra. Você poderia facilmente pegar essa mudança ou deixá-la.
Nota
As imagens 2 e 3 mostram dois exemplos de regras criadas a partir de modelos, onde o modelo não foi atualizado.
- A imagem 2 mostra uma regra que tem um número de versão para seu modelo atual. Isso sinaliza que a regra foi criada após a implementação inicial do controle de versão do modelo do Microsoft Sentinel em outubro de 2021.
- A Imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isso mostra que a regra havia sido criada antes de outubro de 2021. Se houver uma versão de modelo mais recente disponível, é provável que seja uma versão mais recente do modelo do que a usada para criar a regra.
Compare sua regra ativa com seu modelo
Escolha uma das seguintes guias de acordo com a ação que deseja realizar, para ver as instruções para essa ação:
Depois de selecionar uma regra e determinar que deseja atualizá-la, selecione Revisar e atualizar no painel de detalhes (consulte anteriormente). Você vê que o assistente de regras do Google Analytics agora tem uma guia Comparar com a versão mais recente.
Nesta guia, você verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.
Nota
A atualização desta regra substituirá a regra existente pela versão mais recente do modelo.
Qualquer etapa de automação ou lógica que se refira à regra existente deve ser verificada, caso os nomes referenciados sejam alterados. Além disso, quaisquer personalizações feitas na criação da regra original — alterações na consulta, agendamento, agrupamento ou outras configurações — podem ser substituídas.
Atualize sua regra com a nova versão do modelo
Se as alterações feitas na nova versão do modelo forem aceitáveis para você e nada mais na regra original for afetado, selecione Revisar e atualizar para validar e aplicar as alterações.
Se quiser personalizar ainda mais a regra ou reaplicar quaisquer alterações que, de outra forma, poderiam ser substituídas, selecione Avançar: Alterações personalizadas. Percorra as guias restantes do assistente de regras do Google Analytics para fazer essas alterações e, em seguida, valide e aplique as alterações na guia Revisar e atualizar .
Se você não quiser fazer nenhuma alteração na regra existente, mas sim manter a versão do modelo existente, basta sair do assistente selecionando o X no canto superior direito.
Próximos passos
Neste documento, você aprendeu como controlar as versões de seus modelos de regras de análise do Microsoft Sentinel e reverter regras ativas para versões de modelo existentes ou atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba mais sobre as regras de análise.
- Veja mais detalhes sobre o assistente de regras de análise.