Criar e gerir regras de deteções personalizadas

  • Artigo

Nota

Quer experimentar o Microsoft Defender XDR? Saiba mais sobre como pode avaliar e testar o Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

As regras de deteção personalizadas são regras que pode conceber e otimizar com consultas de investigação avançadas . Estas regras permitem-lhe monitorizar proativamente vários eventos e estados do sistema, incluindo atividades suspeitas de violação e pontos finais mal configurados. Pode defini-los para serem executados em intervalos regulares, gerando alertas e efetuando ações de resposta sempre que existirem correspondências.

Permissões necessárias para gerir deteções personalizadas

Para gerir deteções personalizadas, tem de lhe ser atribuída uma destas funções:

  • Definições de segurança (gerir)— os utilizadores com esta permissão de Microsoft Defender XDR podem gerir as definições de segurança no portal do Microsoft Defender.

  • Administrador de segurança — os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.

  • Operador de segurança — os utilizadores com esta função de Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal Microsoft Defender. Esta função só é suficiente para gerir deteções personalizadas se o controlo de acesso baseado em funções (RBAC) estiver desativado no Microsoft Defender para Endpoint. Se tiver o RBAC configurado, também precisa da permissão gerir definições de segurança para o Defender para Endpoint.

Também pode gerir deteções personalizadas que se aplicam a dados de soluções de Microsoft Defender XDR específicas se tiver permissões para as mesmas. Se tiver apenas permissões de gestão para Microsoft Defender para Office 365, por exemplo, pode criar deteções personalizadas com Email tabelas, mas não Identity tabelas.

Nota

Para gerir deteções personalizadas, os operadores de segurança precisarão da permissão gerir definições de segurança no Microsoft Defender para Endpoint se o RBAC estiver ativado.

Para gerir as permissões necessárias, um administrador global pode:

  • Atribua a função de administrador de segurança ou operador de segurança no centro de administração do Microsoft 365 em Administradorde Segurança deFunções>.
  • Verifique as definições de RBAC para Microsoft Defender para Endpoint no Microsoft Defender XDR em Definições>Funções de Permissões>. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .

Nota

Um utilizador também precisa de ter as permissões adequadas para os dispositivos no âmbito do dispositivo de uma regra de deteção personalizada que está a criar ou editar antes de poder continuar. Um utilizador não pode editar uma regra de deteção personalizada que esteja confinada para ser executada em todos os dispositivos, se o mesmo utilizador não tiver permissões para todos os dispositivos.

Criar uma regra de deteção personalizada

1. Preparar a consulta

No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Ao utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados.

Importante

Para impedir que o serviço devolva demasiados alertas, cada regra está limitada a gerar apenas 100 alertas sempre que é executado. Antes de criar uma regra, ajuste a consulta para evitar alertas para atividades normais do dia-a-dia.

Colunas necessárias nos resultados da consulta

Para criar uma regra de deteção personalizada, a consulta tem de devolver as seguintes colunas:

  • Timestamp— utilizado para definir o carimbo de data/hora dos alertas gerados
  • ReportId— ativa pesquisas para os registos originais
  • Uma das seguintes colunas que identificam dispositivos, utilizadores ou caixas de correio específicos:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (remetente de envelope ou endereço Return-Path)
    • SenderMailFromAddress (endereço do remetente apresentado pelo cliente de e-mail)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Nota

O suporte para entidades adicionais será adicionado à medida que forem adicionadas novas tabelas ao esquema de investigação avançado.

As consultas simples, como as que não utilizam o project operador ou summarize para personalizar ou agregar resultados, normalmente devolvem estas colunas comuns.

Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade numa coluna como DeviceId, pode continuar a devolver Timestamp e ReportId ao ocorrê-la a partir do evento mais recente que envolve cada exclusivo DeviceId.

Importante

Evite filtrar deteções personalizadas com a Timestamp coluna. Os dados utilizados para deteções personalizadas são pré-filtrados com base na frequência de deteção.

A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp e o correspondente ReportId, utiliza o summarize operador com a arg_max função .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Sugestão

Para um melhor desempenho de consultas, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Uma vez que a execução menos frequente é de 24 em 24 horas, a filtragem do último dia irá abranger todos os novos dados.

2. Criar nova regra e fornecer detalhes do alerta

Com a consulta no editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:

  • Nome da deteção — nome da regra de deteção; deve ser exclusivo
  • Frequência — intervalo para executar a consulta e tomar medidas. Veja mais orientações na secção de frequência de regras
  • Título do alerta — título apresentado com alertas acionados pela regra; deve ser exclusivo
  • Gravidade — risco potencial do componente ou atividade identificado pela regra
  • Categoria — componente de ameaças ou atividade identificada pela regra
  • MITRE ATT&técnicas CK — uma ou mais técnicas de ataque identificadas pela regra como documentadas na arquitetura MITRE ATT&CK. Esta secção está oculta para determinadas categorias de alertas, incluindo software maligno, ransomware, atividade suspeita e software indesejável
  • Descrição — mais informações sobre o componente ou atividade identificados pela regra
  • Ações recomendadas — ações adicionais que os participantes podem tomar em resposta a um alerta

Frequência das regras

Quando guarda uma nova regra, esta é executada e verifica se existem correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos, aplicando uma duração de pesquisa com base na frequência que escolher:

  • A cada 24 horas— é executado a cada 24 horas, verificando os dados dos últimos 30 dias
  • A cada 12 horas— é executado a cada 12 horas, verificando os dados das últimas 48 horas
  • A cada 3 horas— é executado a cada 3 horas, verificando os dados das últimas 12 horas
  • A cada hora— é executado de hora a hora, verificando os dados das últimas 4 horas
  • Contínua (NRT)— é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT), veja Frequência contínua (NRT)

Sugestão

Corresponda os filtros de tempo na consulta com a duração da pesquisa. Os resultados fora da duração da pesquisa são ignorados.

Quando edita uma regra, esta será executada com as alterações aplicadas na próxima hora de execução agendada de acordo com a frequência que definiu. A frequência da regra baseia-se no carimbo de data/hora do evento e não na hora da ingestão.

Frequência contínua (NRT)

Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) permite-lhe aumentar a capacidade da sua organização de identificar ameaças mais rapidamente.

Nota

A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização de recursos e, por conseguinte, deve ser considerada para qualquer regra de deteção personalizada qualificada na sua organização.

Consultas que pode executar continuamente

Pode executar uma consulta continuamente, desde que:

  • A consulta referencia apenas uma tabela.
  • A consulta utiliza um operador da lista de operadores KQL suportados. Funcionalidades de KQL suportadas
  • A consulta não utiliza associações, uniões ou o externaldata operador.
Tabelas que suportam a frequência Contínua (NRT)

As deteções quase em tempo real são suportadas para as seguintes tabelas:

  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (exceto LatestDeliveryLocation e LatestDeliveryAction colunas)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents

Nota

Apenas as colunas que estão geralmente disponíveis podem suportar a frequência Contínua (NRT ).

3. Escolha as entidades afetadas

Identifique as colunas nos resultados da consulta onde espera encontrar a entidade principal afetada ou afetada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress ou SenderMailFromAddress) e do destinatário (RecipientEmailAddress). Identificar quais destas colunas representam a entidade afetada principal ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e ações de resposta de destino.

Só pode selecionar uma coluna para cada tipo de entidade (caixa de correio, utilizador ou dispositivo). As colunas que não são devolvidas pela consulta não podem ser selecionadas.

4. Especificar ações

A regra de deteção personalizada pode efetuar automaticamente ações em dispositivos, ficheiros, utilizadores ou e-mails devolvidos pela consulta.

Captura de ecrã a mostrar ações para deteções personalizadas no portal do Microsoft Defender.

Ações em dispositivos

Estas ações são aplicadas aos dispositivos na DeviceId coluna dos resultados da consulta:

Ações em ficheiros

  • Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. Os ficheiros de bloqueio só são permitidos se tiver permissões de Remediação para ficheiros e se os resultados da consulta tiverem identificado um ID de ficheiro, como um SHA1. Quando um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio é aplicado, mas não dispositivos específicos.

  • Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na SHA1coluna , InitiatingProcessSHA1, SHA256ou InitiatingProcessSHA256 dos resultados da consulta. Esta ação elimina o ficheiro da localização atual e coloca uma cópia em quarentena.

Ações nos utilizadores

  • Quando selecionada, a ação Marcar utilizador como comprometido é tomada em utilizadores na AccountObjectIdcoluna , InitiatingProcessAccountObjectIdou RecipientObjectId dos resultados da consulta. Esta ação define o nível de risco dos utilizadores como "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.

  • Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.

  • Selecione Forçar reposição de palavra-passe para pedir ao utilizador para alterar a palavra-passe na sessão de início de sessão seguinte.

Disable user As opções e Force password reset requerem o SID do utilizador, que estão nas colunas AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

Para obter mais detalhes sobre as ações do utilizador, leia Remediation actions in Microsoft Defender para Identidade (Ações de remediação no Microsoft Defender para Identidade).

Ações em e-mails

  • Se a deteção personalizada criar mensagens de e-mail, pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (qualquer uma das pastas Lixo, Caixa de Entrada ou Itens eliminados ).

  • Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).

As colunas e RecipientEmailAddress têm de estar presentes NetworkMessageId nos resultados de saída da consulta para aplicar ações a mensagens de e-mail.

5. Definir o âmbito da regra

Defina o âmbito para especificar os dispositivos abrangidos pela regra. O âmbito influencia as regras que verificam os dispositivos e não afetam regras que verificam apenas caixas de correio e contas de utilizador ou identidades.

Ao definir o âmbito, pode selecionar:

  • Todos os dispositivos
  • Grupos de dispositivos específicos

Apenas os dados de dispositivos no âmbito serão consultados. Além disso, as ações são realizadas apenas nesses dispositivos.

Nota

Os utilizadores só podem criar ou editar uma regra de deteção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no âmbito da regra. Por exemplo, os administradores só podem criar ou editar regras que estejam confinadas a todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.

6. Rever e ativar a regra

Depois de rever a regra, selecione Criar para guardá-la. A regra de deteção personalizada é executada imediatamente. É executado novamente com base na frequência configurada para verificar a existência de correspondências, gerar alertas e tomar medidas de resposta.

Importante

As deteções personalizadas devem ser revistas regularmente quanto à eficiência e eficácia. Para se certificar de que está a criar deteções que acionam alertas verdadeiros, dedure algum tempo para rever as deteções personalizadas existentes ao seguir os passos em Gerir regras de iões de deteção personalizadas existentes.

Mantém o controlo sobre a amplitude ou a especificidade das suas deteções personalizadas para que quaisquer alertas falsos gerados por deteções personalizadas possam indicar a necessidade de modificar determinados parâmetros das regras.

Gerir regras de deteção personalizadas existentes

Pode ver a lista de regras de deteção personalizadas existentes, verificar as execuções anteriores e rever os alertas que foram acionados. Também pode executar uma regra a pedido e modificá-la.

Sugestão

Os alertas gerados por deteções personalizadas estão disponíveis através de alertas e APIs de incidentes. Para obter mais informações, veja ApIs de Microsoft Defender XDR suportadas.

Ver regras existentes

Para ver todas as regras de deteção personalizadas existentes, navegue paraRegras de deteção personalizadas de investigação>. A página lista todas as regras com as seguintes informações de execução:

  • Última execução — quando uma regra foi executada pela última vez para verificar a existência de correspondências de consultas e gerar alertas
  • Estado da última execução — se uma regra foi executada com êxito
  • Próxima execução — a próxima execução agendada
  • Estado — se uma regra foi ativada ou desativada

Ver detalhes da regra, modificar regra e executar regra

Para ver informações abrangentes sobre uma regra de deteção personalizada, aceda a Regras dedeteção personalizadas de investigação> e, em seguida, selecione o nome da regra. Em seguida, pode ver informações gerais sobre a regra, incluindo informações, o respetivo estado de execução e âmbito. A página também fornece a lista de ações e alertas acionados.

A página Detalhes da regra de deteção personalizada no portal do Microsoft Defender

Também pode efetuar as seguintes ações na regra a partir desta página:

  • Execute — execute a regra imediatamente. Esta ação também repõe o intervalo para a próxima execução.
  • Editar — modificar a regra sem alterar a consulta
  • Modificar consulta — editar a consulta na investigação avançada
  • Ativar / Desativar — ativar a regra ou impedi-la de ser executada
  • Eliminar — desative a regra e remova-a

Ver e gerir alertas acionados

No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Alertas acionados, que lista os alertas gerados por correspondências com a regra. Selecione um alerta para ver informações detalhadas sobre o mesmo e efetue as seguintes ações:

  • Gerir o alerta ao definir o respetivo estado e classificação (alerta verdadeiro ou falso)
  • Ligar o alerta a um incidente
  • Executar a consulta que acionou o alerta na investigação avançada

Rever ações

No ecrã de detalhes da regra (Deteções personalizadas> de investigação>[Nome da regra]), aceda a Ações acionadas, que lista as ações executadas com base em correspondências com a regra.

Sugestão

Para ver rapidamente as informações e tomar medidas num item numa tabela, utilize a coluna de seleção [✓] à esquerda da tabela.

Nota

Algumas colunas neste artigo podem não estar disponíveis no Microsoft Defender para Endpoint. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Endpoint.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.