Tutorial: Detecte ameaças prontas para usoTutorial: Detect threats out-of-the-box

Importante

A detecção de ameaças pronta para uso está atualmente em visualização pública.Out-of-the-box threat detection is currently in public preview. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.This feature is provided without a service level agreement, and it's not recommended for production workloads. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Depois de conectar suas fontes de dados to Azure Sentinel, você deseja ser notificado quando algo suspeito acontecer.After you connected your data sources to Azure Sentinel, you want to be notified when something suspicious happens. Para permitir que você faça isso, o Sentinela do Azure fornece modelos internos prontos para uso.To enable you to do this, Azure Sentinel provides you with out-of-the-box built-in templates. Esses modelos foram projetados pela equipe da Microsoft de especialistas em segurança e analistas com base em ameaças conhecidas, em vetores de ataque comuns e em cadeias de escalonamento de atividades suspeitas.These templates were designed by Microsoft's team of security experts and analysts based on known threats, common attack vectors, and suspicious activity escalation chains. Depois de habilitar esses modelos, eles pesquisarão automaticamente qualquer atividade que pareça suspeita em seu ambiente.After enabling these templates, they will automatically search for any activity that looks suspicious across your environment. Muitos dos modelos podem ser personalizados para pesquisar ou filtrar atividades, de acordo com suas necessidades.Many of the templates can be customized to search for, or filter out, activities, according to your needs. Os alertas gerados por esses modelos criarão incidentes que você pode atribuir e investigar em seu ambiente.The alerts generated by these templates will create incidents that you can assign and investigate in your environment.

Este tutorial ajuda você a detectar ameaças com o Azure Sentinel:This tutorial helps you detect threats with Azure Sentinel:

  • Usar as detecções prontas para usoUse out-of-the-box detections
  • Automatizar as respostas a ameaçasAutomate threat responses

Sobre as detecções prontas para usoAbout out-of-the-box detections

Para exibir todas as detecções prontas para uso, vá para análise e, em seguida, modelos de regra.To view all the out-of-the-box detections, go to Analytics and then Rule templates. Esta guia contém todas as regras internas do Azure Sentinel.This tab contains all the Azure Sentinel built-in rules.

Usar detecções internas para encontrar ameaças com o Azure Sentinel

Os seguintes tipos de modelo estão disponíveis:The following template types are available:

  • Segurança da Microsoft -os modelos de segurança da Microsoft criam automaticamente incidentes do Azure Sentinel a partir dos alertas gerados em outras soluções de segurança da Microsoft, em tempo real.Microsoft security - Microsoft security templates automatically create Azure Sentinel incidents from the alerts generated in other Microsoft security solutions, in real time. Você pode usar as regras de segurança da Microsoft como um modelo para criar novas regras com lógica semelhante.You can use Microsoft security rules as a template to create new rules with similar logic. Para obter mais informações sobre regras de segurança, consulte criar automaticamente incidentes de alertas de segurança da Microsoft.For more information about security rules, see Automatically create incidents from Microsoft security alerts.
  • Fusão -com base na tecnologia Fusion, a detecção avançada de ataques de vários estágios no Azure Sentinel usa algoritmos de aprendizado de máquina escalonáveis que podem correlacionar muitos alertas e eventos de baixa fidelidade em vários produtos em alta fidelidade e acionável incidente.Fusion - Based on Fusion technology, advanced multistage attack detection in Azure Sentinel uses scalable machine learning algorithms that can correlate many low-fidelity alerts and events across multiple products into high-fidelity and actionable incidents. A fusão é habilitada por padrão.Fusion is enabled by default. Como a lógica está oculta, você não pode usá-la como um modelo para criar mais de uma regra.Because the logic is hidden, you cannot use this as a template to create more than one rule.
  • Análise comportamental do Machine Learning -esses modelos são baseados em algoritmos proprietários de Microsoft Machine Learning, portanto, você não pode ver a lógica interna de como eles funcionam e quando eles são executados.Machine learning behavioral analytics - These templates are based on proprietary Microsoft machine learning algorithms, so you cannot see the internal logic of how they work and when they run. Como a lógica está oculta, você não pode usá-la como um modelo para criar mais de uma regra.Because the logic is hidden, you cannot use this as a template to create more than one rule.
  • Agendado – as regras analíticas agendadas são consultas agendadas escritas por especialistas em segurança da Microsoft.Scheduled – Scheduled analytic rules are scheduled queries written by Microsoft security experts. Você pode ver a lógica de consulta e fazer alterações nela.You can see the query logic and make changes to it. Você pode usar regras agendadas como um modelo para criar novas regras com lógica semelhante.You can use scheduled rules as a template to create new rules with similar logic.

Usar as detecções prontas para usoUse out-of-the-box detections

  1. Para usar um modelo interno, clique em criar regra para criar uma nova regra ativa com base nesse modelo.In order to use a built-in template, click on Create rule to create a new active rule based on that template. Cada entrada tem uma lista de fontes de dados necessárias que são automaticamente verificadas e isso pode resultar na desabilitação da regra de criação .Each entry has a list of required data sources that are automatically checked and this can result in Create rule being disabled.

    Usar detecções internas para encontrar ameaças com o Azure Sentinel

  2. Isso abre o assistente de criação de regras, com base no modelo selecionado.This opens the rule creation wizard, based on the selected template. Todos os detalhes são preenchidos de forma automática e para regras agendadas ou regras de segurança da Microsoft, você pode personalizar a lógica para se adequar melhor à sua organização ou criar regras adicionais com base no modelo interno.All the details are autofilled, and for Scheduled rules or Microsoft security rules, you can customize the logic to better suit your organization, or create additional rules based on the built-in template. Depois de seguir as etapas no Assistente para criação de regras e terminar de criar uma regra com base no modelo, a nova regra aparecerá na guia regras ativas .After following the steps in the rule creation wizard and finished creating a rule based on the template, the new rule appears in the Active rules tab.

Para obter mais informações sobre os campos no assistente, consulte [Tutorial: Crie regras analíticas personalizadas para detectar ameaças suspeitas @ no__t-0.For more information on the fields in the wizard, see Tutorial: Create custom analytic rules to detect suspicious threats.

Próximas etapasNext steps

Neste tutorial, você aprendeu a começar a detectar ameaças usando o Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Para saber como automatizar suas respostas a ameaças, Configure as respostas de ameaças automatizadas no Azure Sentinel.To learn how to automate your responses to threats, Set up automated threat responses in Azure Sentinel.