Tutorial: criar regras analíticas personalizadas para detectar ameaças suspeitasTutorial: Create custom analytic rules to detect suspicious threats

Depois de conectar suas fontes de dados ao Azure Sentinel, você pode criar regras personalizadas que podem Pesquisar critérios específicos em seu ambiente e gerar incidentes quando os critérios forem correspondidos para que você possa investigar-los.After you connected your data sources to Azure Sentinel, you can create custom rules that can search for specific criteria across your environment and generate incidents when the criteria are matched so that you can investigate them. Este tutorial ajuda você a criar regras personalizadas para detectar ameaças com o Azure Sentinel.This tutorial helps you create custom rules to detect threats with Azure Sentinel.

Este tutorial ajuda você a detectar ameaças com o Azure Sentinel.This tutorial helps you detect threats with Azure Sentinel.

  • Criar regras analíticasCreate analytic rules
  • Automatizar as respostas a ameaçasAutomate threat responses

Criar regras analíticas personalizadasCreate custom analytic rules

Você pode criar regras analíticas personalizadas para ajudá-lo a Pesquisar os tipos de ameaças e anomalias suspeitas em seu ambiente.You can create custom analytic rules to help you search for the types of threats and anomalies that are suspicious in your environment. A regra garante que você seja notificado imediatamente, para que você possa fazer a triagem, investigar e corrigir as ameaças.The rule makes sure you are notified right away, so that you can triage, investigate, and remediate the threats.

  1. No portal do Azure, no Azure Sentinel, selecione Análise.In the Azure portal under Azure Sentinel, select Analytics.

  2. Na barra de menus superior, selecione + criar e selecione regra de consulta agendada.In the top menu bar, select +Create and select Scheduled query rule. Isso abre o Assistente de criação de regra personalizada.This opens the Custom rule creation wizard.

    Criar consulta agendada

  3. Na guia geral , forneça um nome descritivo e uma descrição.In the General tab, provide a descriptive name, and description. Defina a severidade do alerta conforme necessário.Set the Alert severity as necessary. Ao criar a regra, você pode habilitá-la, o que fará com que ela seja executada imediatamente depois que você terminar de criá-la.When you create the rule you can enable it, which will cause it to run immediately after you finish creating it. Se você criá-lo como desabilitado, a regra será adicionada à guia regras ativas e você poderá habilitá-la a partir daí, quando precisar.If you create it as disabled, the rule will be added to your Active rules tab and you can enable it from there when you need it.

    Começar a criar uma regra analítica personalizada

  4. Na guia configurações , você pode gravar uma consulta diretamente ou criar a consulta em log Analytics e, em seguida, colá-la no campo de consulta de pesquisa .In the Settings tab, you can either write a query directly, or create the query in Log Analytics, and then paste it into the Search query field. Conforme você altera e configura sua consulta, o Azure Sentinel simula os resultados da consulta na janela de visualização de resultados , à direita.As you change and configure your query, Azure Sentinel simulates the query results in the Results preview window, on the right. Isso permite que você se aprofunde na quantidade de dados que seria gerado em um intervalo de tempo específico para o alerta que você está criando.This enables you to gain insight into how much data would be generated over a specific time interval for the alert you are creating. A quantidade depende do que você definiu para Executar consulta a cada e Pesquisar dados do último.The amount depends on what you set for Run query every and Lookup data from the last. Se você vir que, em média, seu alerta dispararia alertas com muita frequência, você poderá definir o número de resultados em maior, para que esteja acima da sua linha de base média.If you see that, on average, your alert would trigger alerts too frequently, you can set the number of results higher, so that it's above your average baseline.

    Criar consulta no Azure Sentinel

    Aqui está um exemplo de consulta que alertaria quando um número anormal de recursos for criado na atividade do Azure.Here's a sample query that would alert you when an anomalous number of resources is created in Azure Activity.

    AzureActivity \| where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment" \| where ActivityStatus == "Succeeded" \| make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

    Observação

    O comprimento da consulta deve ter entre 1 e 10.000 caracteres e não pode conter "Search *" ou "Union *".The query length should be between 1 and 10,000 characters and cannot contain “search *” or “union *”.

    1. Em agendamento de consulta, defina os seguintes parâmetros:Under Query scheduling, set the following parameters:

      1. Defina Executar consulta a cada para definir a frequência com a qual a consulta é executada com frequência a cada 5 minutos ou com pouca frequência como uma vez por dia.Set Run query every to set the Frequency for how often the query is run - as frequently as every 5 minutes or as infrequently as once a day.

      2. Defina dados de pesquisa do último para controlar a janela de tempo para a quantidade de dados em que a consulta é executada, por exemplo, pode ser executada a cada hora, em até 60 minutos de dados.Set Lookup data from the last to control the time window for how much data the query runs on - for example, it can run every hour, across 60 minutes of data.

      3. Você pode definir o Azure Sentinel para interromper a execução da consulta depois que o alerta for gerado se você quiser apenas receber um alerta uma vez depois que ele ocorrer.You can set Azure Sentinel to Stop running the query after alert is generated if you only want to get alert once after it occurs. Você deve definir a janela durante a qual a consulta deve parar de ser executada, até 24 horas.You must set the window during which the query should stop running, up to 24 hours.

    2. Defina condições de gatilho de alerta em gatilho de alerta.Define alert trigger conditions under Alert trigger. Em mapeamento de entidade, você pode mapear as colunas em sua consulta para os campos de entidade reconhecidos pelo Azure Sentinel.Under Entity mapping, you can map the columns in your query to entity fields recognized by Azure Sentinel. Para cada campo, mapeie a coluna relevante na consulta que você criou em Log Analytics ao campo de entidade apropriado.For each field, map the relevant column in the query you created in Log Analytics to the appropriate entity field. Cada entidade inclui vários campos, por exemplo, SID e GUID.Each entity includes multiple fields, for example SID and GUID. Você pode mapear a entidade de acordo com qualquer campo, não apenas a entidade de nível superior.You can map the entity according to any fields, not just the upper level entity.

  5. Na guia automatizar respostas , selecione os guias estratégicos que você deseja executar automaticamente quando um alerta for gerado pela regra personalizada.In the Automate responses tab, select any playbooks you want to run automatically when an alert is generated by the custom rule. Para obter mais informações sobre como criar e automatizar os guias estratégicos, consulte responder a ameaças.For more information on creating and automating playbooks, see Respond to threats.

    Automatizar a resposta a ameaças no Azure Sentinel

  6. Selecione revisão para examinar todas as configurações de sua nova regra de alerta e, em seguida, selecione criar para inicializar a regra de alerta.Select Review to review all the settings for your new alert rule and then select Create to initialize your alert rule.

    Examine sua consulta personalizada

  7. Depois que o alerta é criado, uma regra personalizada é adicionada à tabela em regras ativas.After the alert is created, a custom rule is added to the table under Active rules. Nessa lista, você pode habilitar, desabilitar ou excluir cada regra.From this list you can enable, disable, or delete each rule.

  8. Para exibir os resultados das regras de alerta que você cria, vá para a página incidentes , na qual você pode fazer a triagem, investigar incidentese corrigir as ameaças.To view the results of the alert rules you create, go to the Incidents page, where you can triage, investigate incidents, and remediate the threats.

Observação

Os alertas gerados no Azure Sentinel estão disponíveis por meio do Microsoft Graph Security.Alerts generated in Azure Sentinel are available through Microsoft Graph Security. Para obter mais informações, consulte a documentação de alertas de segurança do Microsoft Graph.For more information, see the Microsoft Graph Security alerts documentation.

Próximas etapasNext steps

Neste tutorial, você aprendeu a começar a detectar ameaças usando o Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Para saber como automatizar suas respostas a ameaças, Configure as respostas de ameaças automatizadas no Azure Sentinel.To learn how to automate your responses to threats, Set up automated threat responses in Azure Sentinel.