Gerir versões de modelos para as regras de análise agendadas no Microsoft Sentinel

Importante

As deteções personalizadas são agora a melhor forma de criar novas regras no Microsoft Sentinel Microsoft Defender XDR SIEM. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.

Importante

Esta funcionalidade está em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Introdução

Microsoft Sentinel contém modelos de regras de análise que transforma em regras ativas ao criar efetivamente uma cópia dos mesmos – é o que acontece quando cria uma regra a partir de um modelo. No entanto, nessa altura, a regra ativa já não está ligada ao modelo. Se forem efetuadas alterações a um modelo de regra, por engenheiros da Microsoft ou por qualquer outra pessoa, quaisquer regras criadas previamente a partir desse modelo não serão atualizadas dinamicamente para corresponder ao novo modelo.

No entanto, as regras criadas a partir de modelos lembram-se dos modelos de onde vieram, o que lhe permite duas vantagens:

  • Se tiver efetuado alterações a uma regra ao criá-la a partir de um modelo ou em qualquer altura posterior, pode sempre reverter a regra para a versão original.

  • É notificado quando um modelo é atualizado. Pode atualizar as regras para a nova versão dos modelos ou deixá-las tal como estão.

Este artigo mostra-lhe como gerir estas tarefas e o que deve ter em conta. Os procedimentos abordados no artigo aplicam-se a quaisquer regras de Análise agendada criadas a partir de modelos.

Descobrir o número da versão do modelo da regra

Com a implementação do controlo de versões do modelo, pode ver e controlar as versões dos seus modelos de regras e as regras criadas a partir dos mesmos. As regras com modelos atualizados apresentam um distintivo "Atualizar" junto ao nome da regra.

  1. Na página Análise , selecione o separador Regras ativas .

  2. Selecione qualquer regra do tipo Agendado.

    • Se a regra apresentar o distintivo "Atualizar", o respetivo painel de detalhes terá um botão Rever e atualizar junto ao botão Editar (ver imagem 1 no passo seguinte).

    • Se a regra tiver sido criada a partir de um modelo mas não tiver o distintivo "Atualizar", o respetivo painel de detalhes terá um botão Comparar com modelo junto ao botão Editar (veja as imagens 2 e 3 no passo seguinte).

    • Se existir apenas um botão Editar , a regra foi criada de raiz e não a partir de um modelo.

      Captura de ecrã da lista de regras ativas, com o distintivo a indicar que está disponível uma atualização de modelo.

  3. Desloque-se para baixo até à parte inferior do painel de detalhes, onde verá dois números de versão: a versão do modelo a partir do qual a regra foi criada e a versão mais recente disponível do modelo.

    Captura de ecrã do painel de detalhes. Desloque-se para baixo para ver os números da versão do modelo.

    O número está num formato "1.0.0" – versão principal, versão secundária e compilação.

    • Uma diferença no número da versão principal indica que algo essencial no modelo foi alterado, que pode afetar a forma como a regra deteta ameaças ou mesmo a sua capacidade de funcionar completamente. Quer incluir esta alteração nas suas regras.

    • Uma diferença no número da versão secundária indica uma pequena melhoria no modelo – uma alteração cosmética ou algo semelhante – que seria "bom ter" mas não é fundamental para manter a funcionalidade, eficácia ou desempenho da regra. Também pode aceitar esta alteração facilmente ou deixá-la.

    Nota

    As imagens 2 e 3 mostram dois exemplos de regras criadas a partir de modelos, onde o modelo não foi atualizado.

    • A imagem 2 mostra uma regra que tem um número de versão para o modelo atual. Isto indica que a regra foi criada após a implementação inicial de Microsoft Sentinel do controlo de versões do modelo em outubro de 2021.
    • A imagem 3 mostra uma regra que não tem uma versão de modelo atual. Isto mostra que a regra tinha sido criada antes de outubro de 2021. Se existir uma versão de modelo mais recente disponível, é provável que seja uma versão mais recente do modelo do que a utilizada para criar a regra.

Comparar a regra ativa com o respetivo modelo

Escolha um dos seguintes separadores de acordo com a ação que pretende efetuar para ver as instruções para essa ação:

Depois de ter selecionado uma regra e determinado que pretende considerar atualizá-la, selecione Rever e atualizar no painel de detalhes (ver anteriormente). Verá que o assistente de regras de Análise tem agora um separador Comparar com a versão mais recente .

Neste separador, verá uma comparação lado a lado entre as representações YAML da regra existente e a versão mais recente do modelo.

Captura de ecrã a mostrar o separador

Nota

Atualizar esta regra substituirá a regra existente pela versão mais recente do modelo.

Qualquer passo ou lógica de automatização que se refira à regra existente deve ser verificada, caso os nomes referenciados sejam alterados. Além disso, quaisquer personalizações efetuadas na criação da regra original (alterações à consulta, agendamento, agrupamento ou outras definições) podem ser substituídas.

Atualizar a regra com a nova versão do modelo

  • Se as alterações efetuadas à nova versão do modelo forem aceitáveis para si e nada mais na regra original for afetada, selecione Rever e atualizar para validar e aplicar as alterações.

  • Se quiser personalizar ainda mais a regra ou reaplicar quaisquer alterações que possam ser substituídas, selecione Seguinte: Alterações personalizadas. Percorra os restantes separadores do assistente de regras de Análise para efetuar essas alterações e, em seguida, valide e aplique as alterações no separador Rever e atualizar .

  • Se não quiser fazer alterações à regra existente, mas sim manter a versão do modelo existente, basta sair do assistente ao selecionar o X no canto superior direito.

Passos seguintes

Neste documento, aprendeu a controlar as versões dos seus modelos de regras de análise Microsoft Sentinel e a reverter regras ativas para versões de modelo existentes ou a atualizá-las para novas. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

  • Last updated on