Trabalhar com regras de análise de deteção de anomalias no Microsoft Sentinel

A funcionalidade de anomalias personalizáveis do Microsoft Sentinel fornece modelos de anomalias incorporados para valores imediatos. Estes modelos de anomalias foram desenvolvidos para serem robustos através da utilização de milhares de origens de dados e milhões de eventos, mas esta funcionalidade também lhe permite alterar limiares e parâmetros para as anomalias facilmente na interface de utilizador. As regras de anomalias estão ativadas ou ativadas por predefinição, pelo que irão gerar anomalias desativadas. Pode encontrar e consultar estas anomalias na tabela Anomalias na secção Registos .

Ver modelos de regras de anomalia personalizáveis

Agora pode encontrar regras de anomalias apresentadas numa grelha no separador Anomalias na página Análise .

1. Para os utilizadores do portal Microsoft Defender, selecione Microsoft Sentinel > Análise de Configuração > no menu de navegação Microsoft Defender.

   Para utilizadores de Microsoft Sentinel na portal do Azure, selecione Análise no menu de navegação Microsoft Sentinel.

2. Na página Análise , selecione o separador Anomalias .

3. Para filtrar a lista por um ou mais dos seguintes critérios, selecione Adicionar filtro e escolha em conformidade.

   • Estado – se a regra está ativada ou desativada.

   • Táticas - a MITRE ATT&táticas de arquitetura CK cobertas pela anomalia.

   • Técnicas – a MITRE ATT&técnicas de arquitetura CK abrangidas pela anomalia.

   • Origens de dados – o tipo de registos que têm de ser ingeridos e analisados para que a anomalia seja definida.

4. Selecione uma regra e veja as seguintes informações no painel de detalhes:

   • A descrição explica como funciona a anomalia e os dados necessários.

   • Táticas e técnicas são a MITRE ATT&táticas e técnicas de arquitetura CK abrangidas pela anomalia.

   • Os parâmetros são os atributos configuráveis para a anomalia.

   • O limiar é um valor configurável que indica o grau em que um evento tem de ser invulgar antes de ser criada uma anomalia.

   • A frequência das regras é o tempo entre as tarefas de processamento de registos que encontram as anomalias.

   • O estado da regra indica se a regra é executada no modo de Produção ou Piloto (teste) quando ativada.

   • A versão de anomalias mostra a versão do modelo que é utilizada por uma regra. Se quiser alterar a versão utilizada por uma regra que já está ativa, tem de recriar a regra.

As regras fornecidas com Microsoft Sentinel não podem ser editadas ou eliminadas. Para personalizar uma regra, primeiro tem de criar um duplicado da regra e, em seguida, personalizar o duplicado. Veja as instruções completas.

Avaliar a qualidade das anomalias

Pode ver o desempenho de uma regra de anomalias ao rever uma amostra das anomalias criadas por uma regra durante o último período de 24 horas.

1. Para utilizadores de Microsoft Sentinel na portal do Azure, selecione Análise no menu de navegação Microsoft Sentinel.

   Para os utilizadores do portal Microsoft Defender, selecione Microsoft Sentinel > Análise de Configuração > no menu de navegação Microsoft Defender.

2. Na página Análise , selecione o separador Anomalias .

3. Selecione a regra que pretende avaliar e copie o respetivo ID na parte superior do painel de detalhes para a direita.

4. No menu de navegação Microsoft Sentinel, selecione Registos.

5. Se uma galeria de Consultas aparecer por cima, feche-a.

6. Selecione o separador Tabelas no painel esquerdo da página Registos .

7. Defina o filtro Intervalo de tempo como Últimas 24 horas.

8. Copie a consulta Kusto abaixo e cole-a na janela de consulta (onde diz "Escreva a consulta aqui ou..."):

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Cole o ID da regra que copiou acima em vez de <RuleId> entre as aspas.

9. Selecione Executar.

Quando tiver alguns resultados, pode começar a avaliar a qualidade das anomalias. Se não tiver resultados, experimente aumentar o intervalo de tempo.

Expanda os resultados para cada anomalia e, em seguida, expanda o campo AnomalyReasons . Isto irá dizer-lhe por que motivo a anomalia foi acionada.

A "razoabilidade" ou a "utilidade" de uma anomalia podem depender das condições do seu ambiente, mas uma razão comum para uma regra de anomalia produzir demasiadas anomalias é que o limiar é demasiado baixo.

Ajustar regras de anomalias

Embora as regras de anomalias sejam concebidas para obter a máxima eficácia, todas as situações são exclusivas e, por vezes, as regras de anomalias têm de ser ajustadas.

Uma vez que não pode editar uma regra ativa original, primeiro tem de duplicar uma regra de anomalia ativa e, em seguida, personalizar a cópia.

A regra de anomalia original continuará em execução até a desativar ou eliminar.

Isto é por predefinição, para lhe dar a oportunidade de comparar os resultados gerados pela configuração original e a nova. As regras duplicadas estão desativadas por predefinição. Só pode fazer uma cópia personalizada de uma determinada regra de anomalia. As tentativas de fazer uma segunda cópia falharão.

1. Para alterar a configuração de uma regra de anomalias, selecione a regra na lista no separador Anomalias .

2. Clique com o botão direito do rato em qualquer parte da linha da regra ou clique com o botão esquerdo do rato nas reticências (...) no final da linha e, em seguida, selecione Duplicar no menu de contexto.

   Será apresentada uma nova regra na lista, com as seguintes características:

   • O nome da regra será o mesmo que o original, com " - Personalizado" anexado ao fim.
   • O estado da regra será Desativado.
   • O distintivo FLGT será apresentado no início da linha para indicar que a regra está no modo de Voo.

3. Para personalizar esta regra, selecione a regra e selecione Editar no painel de detalhes ou no menu de contexto da regra.

4. A regra é aberta no assistente de regras de Análise. Aqui, pode alterar os parâmetros da regra e o respetivo limiar. Os parâmetros que podem ser alterados variam consoante cada tipo de anomalia e algoritmo.

   Pode pré-visualizar os resultados das alterações no painel Pré-visualização de resultados. Selecione um ID de Anomalia na pré-visualização de resultados para ver o motivo pelo qual o modelo de ML identifica essa anomalia.

5. Ative a regra personalizada para gerar resultados. Algumas das suas alterações podem exigir que a regra seja executada novamente, pelo que tem de aguardar que a mesma termine e voltar para verificar os resultados na página de registos. A regra de anomalias personalizada é executada no modo Piloto (teste) por predefinição. A regra original continua a ser executada no modo de Produção por predefinição .

6. Para comparar os resultados, volte à tabela Anomalias em Registos para avaliar a nova regra como anteriormente, utilize apenas a seguinte consulta para procurar anomalias geradas pela regra original, bem como a regra duplicada.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Cole o ID da regra que copiou da regra original em vez de <RuleId> entre as aspas. O valor de AnomalyTemplateId nas regras originais e duplicadas é idêntico ao valor de RuleId na regra original.

Se estiver satisfeito com os resultados da regra personalizada, pode voltar ao separador Anomalias , selecionar a regra personalizada, selecionar o botão Editar e, no separador Geral , alterná-la de Voo para Produção. A regra original será automaticamente alterada para Flighting , uma vez que não pode ter duas versões da mesma regra em produção ao mesmo tempo.

Passos seguintes

Neste documento, aprendeu a trabalhar com regras personalizáveis de análise de deteção de anomalias no Microsoft Sentinel.

• Obtenha algumas informações de fundo sobre anomalias personalizáveis.
• Veja os tipos de anomalias disponíveis no Microsoft Sentinel.
• Explorar outros tipos de regras de análise.