Tutorial: Detetar ameaças usando regras de análise no Microsoft Sentinel

Como um serviço de Gerenciamento de Informações e Eventos de Segurança (SIEM), o Microsoft Sentinel é responsável por detetar ameaças à segurança da sua organização. Ele faz isso analisando os enormes volumes de dados gerados por todos os logs dos seus sistemas.

Neste tutorial, você aprenderá a configurar uma regra de análise do Microsoft Sentinel a partir de um modelo para pesquisar explorações da vulnerabilidade do Apache Log4j em seu ambiente. A regra enquadrará contas de usuário e endereços IP encontrados em seus logs como entidades rastreáveis, exibirá informações notáveis nos alertas gerados pelas regras e alertas de pacote como incidentes a serem investigados.

Ao concluir este tutorial, você poderá:

  • Criar uma regra de análise a partir de um modelo
  • Personalizar a consulta e as configurações de uma regra
  • Configurar os três tipos de enriquecimento de alerta
  • Escolha respostas automatizadas a ameaças para suas regras

Pré-requisitos

Para concluir este tutorial, confirme que tem:

  • Uma subscrição do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um espaço de trabalho do Log Analytics com a solução Microsoft Sentinel implantada nele e dados sendo ingeridos nele.

  • Um usuário do Azure com a função de Colaborador do Microsoft Sentinel atribuída no espaço de trabalho do Log Analytics onde o Microsoft Sentinel está implantado.

  • As seguintes fontes de dados são referenciadas nesta regra. Quanto mais conectores forem implantados, mais eficaz será a regra. Você deve ter pelo menos um.

    Data source Tabelas do Log Analytics referenciadas
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Equipas)
    DNS DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Redes (Firewall) CommonSecurityLog (PaloAlto)
    Eventos de Segurança SegurançaEventos
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Atividade do Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Firewall do Azure)

Entre no portal do Azure e no Microsoft Sentinel

  1. Inicie sessão no portal do Azure.

  2. Na barra de pesquisa, procure e selecione Microsoft Sentinel.

  3. Procure e selecione seu espaço de trabalho na lista de espaços de trabalho disponíveis do Microsoft Sentinel.

Instalar uma solução a partir do hub de conteúdo

  1. No Microsoft Sentinel, no menu do lado esquerdo em Gerenciamento de conteúdo, selecione Hub de conteúdo.

  2. Procure e selecione a solução Log4j Vulnerability Detection.

  3. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

Criar uma regra de análise agendada a partir de um modelo

  1. No Microsoft Sentinel, no menu do lado esquerdo em Configuração, selecione Analytics.

  2. Na página Análise, selecione a guia Modelos de regra.

  3. No campo de pesquisa na parte superior da lista de modelos de regras, digite log4j.

  4. Na lista filtrada de modelos, selecione Log4j vulnerability exploit aka Log4Shell IP IOC. No painel de detalhes, selecione Criar regra.

    Screenshot showing how to search for and locate template and create analytics rule.

    O assistente de regras do Google Analytics será aberto.

  5. Na guia Geral, no campo Nome, digite Log4j vulnerability exploit aka Log4Shell IP IOC - Tutorial-1.

  6. Deixe o resto dos campos nesta página como estão. Esses são os padrões, mas adicionaremos personalização ao nome do alerta em um estágio posterior.

    Se você não quiser que a regra seja executada imediatamente, selecione Desativado e a regra será adicionada à guia Regras ativas e você poderá ativá-la a partir daí quando precisar.

  7. Selecione Avançar : Definir lógica da regra. Screenshot of the General tab of the Analytics rule wizard.

Rever a lógica de consulta da regra e a configuração das definições

  • No separador Definir lógica da regra, reveja a consulta tal como aparece sob o título da consulta Regra.

    Para ver mais do texto da consulta de uma só vez, selecione o ícone de seta dupla diagonal no canto superior direito da janela de consulta para expandir a janela para um tamanho maior.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Enriqueça alertas com entidades e outros detalhes

  1. Em Enriquecimento de alerta, mantenha as configurações de mapeamento de entidade como estão. Observe as três entidades mapeadas.

    Screenshot of existing entity mapping settings.

  2. Na seção Detalhes personalizados, vamos adicionar o carimbo de data/hora de cada ocorrência ao alerta, para que você possa vê-lo diretamente nos detalhes do alerta, sem precisar fazer drill down.

    1. Digite carimbo de data/hora no campo Chave . Este será o nome da propriedade no alerta.
    2. Selecione carimbo de data/hora na lista suspensa Valor .
  3. Na seção Detalhes do alerta, vamos personalizar o nome do alerta para que o carimbo de data/hora de cada ocorrência apareça no título do alerta.

    No campo Formato do nome do alerta, insira Log4j vulnerability exploit aka Log4Shell IP IOC em {{timestamp}}.

    Screenshot of custom details and alert details configurations.

Rever as restantes definições

  1. Revise as configurações restantes na guia Definir lógica da regra. Não há necessidade de alterar nada, embora você possa se quiser alterar o intervalo, por exemplo. Apenas certifique-se de que o período de retrospetiva corresponde ao intervalo para manter a cobertura contínua.

    • Agendamento de consultas:

      • Execute a consulta a cada 1 hora.
      • Dados de pesquisa da última 1 hora.
    • Limiar de alerta:

      • Gere um alerta quando o número de resultados da consulta for superior a 0.
    • Agrupamento de eventos:

      • Configure como os resultados da consulta de regra são agrupados em alertas: agrupe todos os eventos em um único alerta.
    • Supressão:

      • Pare de executar a consulta depois que o alerta for gerado: Desativado.

    Screenshot of remaining rule logic settings for analytics rule.

  2. Selecione Avançar : Configurações do incidente.

Revise as configurações de criação de incidentes

  1. Revise as configurações na guia Configurações de incidente . Não há necessidade de alterar nada, a menos que, por exemplo, você tenha um sistema diferente para criação e gerenciamento de incidentes, caso em que você gostaria de desativar a criação de incidentes.

    • Configurações do incidente:

      • Crie incidentes a partir de alertas acionados por esta regra de análise: Habilitado.
    • Agrupamento de alertas:

      • Agrupe alertas relacionados, acionados por esta regra de análise, em incidentes: Desativado.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. Selecione Avançar : Resposta automatizada.

Definir respostas automatizadas e criar a regra

Na guia Resposta automatizada:

  1. Selecione + Adicionar novo para criar uma nova regra de automação para esta regra de análise. Isso abrirá o assistente Criar nova regra de automação.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. No campo Nome da regra de automação, insira Log4J vulnerability exploit detection - Tutorial-1.

  3. Deixe as seções Gatilho e Condições como estão.

  4. Em Ações, selecione Adicionar tags na lista suspensa.

    1. Selecione + Adicionar tag.
    2. Digite Log4J exploit na caixa de texto e selecione OK.
  5. Deixe as seções Expiração da regra e Ordem como estão.

  6. Selecione Aplicar. Em breve você verá sua nova regra de automação na lista da guia Resposta automatizada.

  7. Selecione Seguinte : Rever para rever todas as definições da sua nova regra de análise. Quando a mensagem "Validação aprovada" aparecer, selecione Criar. A menos que você defina a regra como Desabilitado na guia Geral acima, a regra será executada imediatamente.

    Selecione a imagem abaixo para exibir a revisão completa (a maior parte do texto da consulta foi cortada para visualização).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Verificar o sucesso da regra

  1. Para ver os resultados das regras de alerta que criar, aceda à página Incidentes .

  2. Para filtrar a lista de incidentes para aqueles gerados pela sua regra de análise, insira o nome (ou parte do nome) da regra de análise que você criou na barra de pesquisa .

  3. Abra um incidente cujo título corresponda ao nome da regra de análise. Veja se o sinalizador definido na regra de automação foi aplicado ao incidente.

Clean up resources (Limpar recursos)

Se você não vai continuar a usar essa regra de análise, exclua (ou pelo menos desative) as regras de análise e automação que você criou com as seguintes etapas:

  1. Na página Análise, selecione a guia Regras ativas.

  2. Insira o nome (ou parte do nome) da regra de análise que você criou na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos como Selecione tudo.)

  3. Marque a caixa de seleção ao lado da regra na lista e selecione Excluir no banner superior.
    (Se não quiser eliminá-lo, pode selecionar Desative em vez disso.)

  4. Na página Automação, selecione a guia Regras de automação.

  5. Insira o nome (ou parte do nome) da regra de automação criada na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos como Selecione tudo.)

  6. Marque a caixa de seleção ao lado da regra de automação na lista e selecione Excluir no banner superior.
    (Se não quiser eliminá-lo, pode selecionar Desative em vez disso.)

Próximos passos

Agora que você aprendeu como pesquisar explorações de uma vulnerabilidade comum usando regras de análise, saiba mais sobre o que você pode fazer com a análise no Microsoft Sentinel: