Detectar ameaças prontas para uso
Depois de configurar o Microsoft Sentinel para coletar dados de toda a sua organização, você precisará examinar todos esses dados para detectar ameaças de segurança ao seu ambiente. Mas fique tranquilo — o Microsoft Sentinel fornece modelos para ajudá-lo a criar regras de detecção de ameaças para fazer todo esse trabalho para você. Essas regras são conhecidas como regras de análise.
A equipe de analistas e especialistas em segurança da Microsoft projetou esses modelos de regras de análise com base em ameaças conhecidas, vetores de ataque comuns e cadeias de escalonamento de atividades suspeitas. As regras criadas usando esses modelos pesquisam automaticamente todo o seu ambiente em busca de qualquer atividade que pareça suspeita. Muitos dos modelos podem ser personalizados para pesquisar atividades ou filtrá-los de acordo com as suas necessidades. Os alertas gerados por essas regras criam incidentes que você pode atribuir e investigar em seu ambiente.
Este artigo ajuda você a entender como detectar ameaças com o Microsoft Sentinel.
Exibir detecções
Para exibir todas as regras de análise instaladas e as detecções no Microsoft Sentinel, acesse Análise>Modelos de regra. Esta guia contém todos os modelos de regras instalados, de acordo com os tipos exibidos na tabela a seguir. Para encontrar mais modelos de regra, acesse o Hub de conteúdos no Microsoft Sentinel para instalar as soluções relacionadas ao produto ou conteúdos autônomos.
As detecções incluem:
| Tipo de regra | Descrição |
|---|---|
| Segurança da Microsoft | Os modelos de segurança da Microsoft criam automaticamente incidentes do Microsoft Sentinel a partir dos alertas gerados em outras soluções de segurança da Microsoft, em tempo real. Você pode usar as regras de segurança da Microsoft como um modelo para criar novas regras com lógica semelhante. Para obter mais informações sobre regras de segurança, consulte criar automaticamente incidentes nos alertas de segurança da Microsoft. |
| Fusion (algumas detecções em Versão Prévia) |
O Microsoft Sentinel usa o mecanismo de correlação do Fusion com seus algoritmos escalonáveis de aprendizado de máquina para detectar ataques multiestágio avançados, correlacionando muitos alertas e eventos de baixa fidelidade em vários produtos com incidentes acionáveis e de alta fidelidade. A fusão é habilitada por padrão. Como a lógica está oculta e, portanto, não personalizável, você só pode criar uma regra com esse modelo. O mecanismo Fusion também pode correlacionar alertas produzidos por regras de análise agendadas com alertas de outros sistemas, produzindo incidentes de alta fidelidade como resultado. |
| Análise comportamental do ML (aprendizado de máquina) | Os modelos da análise comportamental do ML são baseados em algoritmos proprietários de aprendizado de máquina da Microsoft, portanto, você não pode ver a lógica interna de como eles funcionam e quando são executados. Como a lógica está oculta e, portanto, não personalizável, você só pode criar uma regra com cada modelo desse tipo. |
| Inteligência contra ameaças | Aproveite a inteligência contra ameaças produzida pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Análise de Inteligência contra Ameaças da Microsoft. Essa regra exclusiva não é personalizável, mas, quando habilitada, corresponde automaticamente aos logs de CEF (Formato Comum de Evento), aos dados de Syslog ou aos eventos de DNS do Windows com indicadores de ameaça de domínio, IP e URL da Inteligência contra Ameaças da Microsoft. Determinados indicadores contêm mais informações de contexto por meio da MDTI (Inteligência contra Ameaças do Microsoft Defender). Para obter mais informações sobre como habilitar essa regra, consulte Usar a análise de correspondência para detectar ameaças. Para obter mais informações sobre o MDTI, confira O que é a Inteligência contra Ameaças do Microsoft Defender |
| Anomalia | Os modelos de regra de anomalias usam aprendizado de máquina para detectar tipos específicos de comportamento anormal. Cada regra tem seus próprios parâmetros e limites exclusivos, apropriados para o comportamento que está sendo analisado. Embora as configurações de regras não possam ser alteradas ou ajustadas, é possível duplicar uma regra e, em seguida, alterar e ajustar a duplicata. Nesses casos, executar a duplicata no modo Liberação de versões de pré-lançamento e o original simultaneamente no modo Produção. Em seguida, compare os resultados e mude a duplicata para Produção se e quando seu ajuste estiver de acordo com o seu gosto. Para obter mais informações, consulte Usar anomalias personalizáveis para detectar ameaças no Microsoft Sentinel e Trabalhar com regras de análise de detecção de anomalias no Microsoft Sentinel. |
| Agendado | As regras de análise agendadas são baseadas em consultas escritas por especialistas em segurança da Microsoft. Você pode ver a lógica de consulta e fazer alterações nela. Você pode usar o modelo regras agendadas e personalizar a lógica de consulta e as configurações de agendamento para criar novas regras. Vários novos modelos de regra de análise agendada produzem alertas que são correlacionados pelo mecanismo Fusion com alertas de outros sistemas para produzir incidentes de alta fidelidade. Para obter mais informações, consulte Detecção avançada de ataques multiestágio. Dica: as opções de agendamento de regras incluem a configuração da regra a ser executada a cada número especificado de minutos, horas ou dias, com o relógio iniciando quando você habilita a regra. É recomendável ter cuidado ao habilitar uma regra de análise nova ou editada para garantir que as regras obtenham a nova pilha de incidentes no tempo. Por exemplo, talvez você queira executar uma regra sincronizada com o momento no qual os analistas do SOC iniciam o workday e, então, habilitar as regras. |
| NRT (quase em tempo real) | As regras NRT são um conjunto limitado de regras agendadas, criadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais rápido possível. Elas funcionam principalmente como regras agendadas e são configuradas da mesma forma com algumas limitações. Para obter mais informações, confira Detectar ameaças rapidamente com regras de análise NRT (quase em tempo real) no Microsoft Sentinel. |
Importante
Alguns dos modelos de detecção do Fusion estão atualmente em VERSÃO PRÉVIA (confira Detecção avançada de ataques multiestágio no Microsoft Sentinel para ver quais deles). Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Usar modelos de regra de análise
Este procedimento descreve como usar modelos de regras de análise.
Para usar um modelo de regra de análise:
Na página Microsoft Sentinel >Análise>Modelos de regra, selecione um nome do modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.
Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, as fontes de dados são verificadas automaticamente quanto à disponibilidade. Se houver um problema de disponibilidade, o botão criar regra poderá ser desabilitado ou você poderá ver um aviso sobre esse efeito.
A seleção de Criar regra abre o assistente de criação de regra com base no modelo selecionado. Todos os detalhes são preenchidos automaticamente e, com os modelos de segurança agendados ou da Microsoft, você pode personalizar a lógica e outras configurações de regra para atender melhor às suas necessidades específicas. Você pode repetir esse processo para criar mais regras com base no modelo. Depois de seguir as etapas no assistente de criação de regra até o final, você terminou de criar uma regra com base no modelo. As novas regras parecem na guia regras ativas.
Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar regras de análise personalizadas para detectar ameaças.
Dica
Habilite todas as regras associadas às fontes de dados conectadas para garantir a cobertura de segurança total para o ambiente. A maneira mais eficiente de habilitar as regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, confira Conectar fontes de dados.
Você também pode enviar regras por push ao Microsoft Sentinel por meio da API e do PowerShell, embora isso exija ações adicionais.
Ao usar a API ou o PowerShell, você precisa primeiro exportar as regras ao JSON para depois habilitar as regras. A API ou o PowerShell pode ser útil ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.
Permissões de acesso para regras de análise
Quando você cria uma regra de análise, um token de permissões de acesso é aplicado à regra e salvo junto com ela. Esse token garante que a regra possa acessar o workspace que contém os dados consultados pela regra e que esse acesso será mantido mesmo que o criador da regra perca o acesso a esse workspace.
No entanto, há uma exceção a isso: quando uma regra é criada para acessar workspaces em outras assinaturas ou locatários, como o que acontece no caso de um MSSP, o Microsoft Sentinel toma medidas de segurança extras para impedir o acesso não autorizado aos dados do cliente. Para esses tipos de regras, as credenciais do usuário que criou a regra são aplicadas à regra em vez de um token de acesso independente, para que, quando o usuário não tiver mais acesso à outra assinatura ou locatário, a regra pare de funcionar.
Se você operar o Microsoft Sentinel em um cenário entre assinaturas ou entre locatários, quando um de seus analistas ou engenheiros perder o acesso a um workspace específico, todas as regras criadas por esse usuário param de funcionar. Você receberá uma mensagem de monitoramento de integridade sobre "acesso insuficiente ao recurso" e a regra será desabilitada automaticamente depois de ter falhado um determinado número de vezes.
Exportar regras para um modelo do ARM
Você pode exportar facilmente sua regra para um modelo do ARM (Azure Resource Manager) se desejar gerenciar e implantar suas regras como código. Você também pode importar regras de arquivos de modelo para exibi-las e editá-las na interface do usuário.
Próximas etapas
Para criar regras personalizadas, use regras as existentes como modelos ou referências. O uso das regras existentes como uma linha de base ajuda a criar a maior parte da lógica para fazer as alterações necessárias. Para saber mais, confira Criar regras de análise personalizadas para detectar ameaças.
Para saber como automatizar respostas a ameaças, Configurar respostas a ameaças automatizadas no Microsoft Sentinel.
Para saber como encontrar mais modelos de regra, confira Descobrir e gerenciar conteúdos prontos para uso do Microsoft Sentinel.