Gerenciar versões de modelo para suas regras de análise agendadas no Microsoft Sentinel

Importante

Este recurso está em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Introdução

O Microsoft Sentinel contém modelos de regras de análise que você transforma em regras ativas criando efetivamente uma cópia delas – é o que acontece quando você cria uma regra a partir de um modelo. Nesse ponto, no entanto, a regra ativa não está mais conectada ao modelo. Se forem feitas alterações em um modelo de regra, por engenheiros da Microsoft ou qualquer outra pessoa, todas as regras criadas a partir desse modelo de antemão não serão atualizadas dinamicamente para corresponder ao novo modelo.

No entanto, as regras criadas a partir de modelos lembram de quais modelos eles vieram, o que permite duas vantagens:

  • Se você fez alterações em uma regra ao criá-la a partir de um modelo, ou a qualquer momento depois, sempre poderá reverter a regra para sua versão original.

  • Você é notificado quando um modelo é atualizado. Você pode atualizar suas regras para a nova versão de seus modelos ou deixá-las como estão.

Este artigo mostra como gerenciar essas tarefas e o que ter em mente. Os procedimentos discutidos no artigo aplicam-se a quaisquer regras de análise agendada criadas a partir de modelos.

Descubra o número da versão do modelo da sua regra

Com a implementação do controle de versão de modelo, você pode ver e acompanhar as versões de seus modelos de regra e as regras criadas a partir deles. As regras com modelos atualizados exibem um selo "Atualizar" ao lado do nome da regra.

  1. Na página Análise, selecione a guia Regras ativas.

  2. Selecione qualquer regra do tipo Agendado.

    • Se a regra exibir o selo "Atualizar", seu painel de detalhes terá um botão Revisar e atualizar ao lado do botão Editar (veja a imagem 1 na próxima etapa).

    • Se a regra foi criada a partir de um modelo, mas não tem o selo "Atualizar", seu painel de detalhes terá um botão Comparar com modelo ao lado do botão Editar (veja as imagens 2 e 3 na próxima etapa).

    • Se houver apenas um botão Editar , a regra foi criada do zero, não a partir de um modelo.

      Captura de tela da lista de regras ativas, com o selo indicando que uma atualização de modelo está disponível.

  3. Role para baixo até a parte inferior do painel de detalhes, onde você verá dois números de versão: a versão do modelo a partir do qual a regra foi criada e a versão mais recente disponível do modelo.

    Captura de ecrã do painel de detalhes. Desloque-se para baixo para ver os números de versão do modelo.

    O número está em um formato "1.0.0" - versão principal, versão secundária e compilação.

    • Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar a forma como a regra deteta ameaças ou até mesmo sua capacidade de funcionar completamente. Pretende incluir esta alteração nas suas regras.

    • Uma diferença no número da versão secundária indica uma pequena melhoria no modelo – uma mudança cosmética ou algo semelhante – que seria "bom ter", mas não é crítica para manter a funcionalidade, eficácia ou desempenho da regra. Você poderia facilmente pegar essa mudança ou deixá-la.

    Nota

    As imagens 2 e 3 mostram dois exemplos de regras criadas a partir de modelos, onde o modelo não foi atualizado.

    • A imagem 2 mostra uma regra que tem um número de versão para seu modelo atual. Isso sinaliza que a regra foi criada após a implementação inicial do controle de versão do modelo do Microsoft Sentinel em outubro de 2021.
    • A Imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isso mostra que a regra havia sido criada antes de outubro de 2021. Se houver uma versão de modelo mais recente disponível, é provável que seja uma versão mais recente do modelo do que a usada para criar a regra.

Compare sua regra ativa com seu modelo

Escolha uma das seguintes guias de acordo com a ação que deseja realizar, para ver as instruções para essa ação:

Depois de selecionar uma regra e determinar que deseja atualizá-la, selecione Revisar e atualizar no painel de detalhes (consulte anteriormente). Você vê que o assistente de regras do Google Analytics agora tem uma guia Comparar com a versão mais recente.

Nesta guia, você verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.

Captura de ecrã do separador

Nota

A atualização desta regra substituirá a regra existente pela versão mais recente do modelo.

Qualquer etapa de automação ou lógica que se refira à regra existente deve ser verificada, caso os nomes referenciados sejam alterados. Além disso, quaisquer personalizações feitas na criação da regra original — alterações na consulta, agendamento, agrupamento ou outras configurações — podem ser substituídas.

Atualize sua regra com a nova versão do modelo

  • Se as alterações feitas na nova versão do modelo forem aceitáveis para você e nada mais na regra original for afetado, selecione Revisar e atualizar para validar e aplicar as alterações.

  • Se quiser personalizar ainda mais a regra ou reaplicar quaisquer alterações que, de outra forma, poderiam ser substituídas, selecione Avançar: Alterações personalizadas. Percorra as guias restantes do assistente de regras do Google Analytics para fazer essas alterações e, em seguida, valide e aplique as alterações na guia Revisar e atualizar .

  • Se você não quiser fazer nenhuma alteração na regra existente, mas sim manter a versão do modelo existente, basta sair do assistente selecionando o X no canto superior direito.

Próximos passos

Neste documento, você aprendeu como controlar as versões de seus modelos de regras de análise do Microsoft Sentinel e reverter regras ativas para versões de modelo existentes ou atualizá-las para novas. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: