Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Detecções personalizadas agora são a melhor maneira de criar novas regras no SIEM do Microsoft Sentinel e no Microsoft Defender XDR. Com detecções personalizadas, você pode reduzir os custos de ingestão, obter detecções ilimitadas em tempo real e se beneficiar da integração perfeita com dados, funções e ações de correção do Defender XDR com mapeamento automático de entidades. Para obter mais informações, leia este blog.
Importante
A nova versão da regra de análise Fusion está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escalonáveis de aprendizado de máquina, para detectar automaticamente ataques de vários estágios identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de ataque. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detectar. Esses incidentes incluem dois alertas ou mais de atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.
Personalizado para seu ambiente, essa tecnologia de detecção não apenas reduz as taxas de falso positivo, mas também pode detectar ataques com informações limitadas ou ausentes.
Configurar regras do Fusion
Essa detecção está habilitada por padrão no Microsoft Sentinel. Para verificar ou alterar seu status, use as instruções a seguir:
Entre no portal do Azure e no Microsoft Sentinel.
No menu de navegação do Microsoft Sentinel, selecione Análise.
Selecione a guia Regras ativase localize Detecção Avançada de Ataque Multiestágio na coluna NOME filtrando a lista para o tipo de regra Fusion. Verifique a coluna STATUS para confirmar se essa detecção está habilitada ou desabilitada.
Para alterar o status, selecione esta entrada. No painel de Visualização de Detecção Avançada de Ataques Multietapas, selecione Editar.
Na guia Geral do Assistente de regra de análise, observe o status (Habilitado/Desabilitado) e, se desejar, altere-o.
Se você alterar o status, mas não tiver mais alterações a fazer, selecione a guia Examinar e atualizar e selecione Salvar.
Para configurar mais detalhadamente a regra de detecção Fusion, selecione Avançar: Configurar o Fusion.
Configurar sinais de origem para detecção do Fusion: para o melhor resultado, recomendamos que você inclua todos os sinais de origem listados, com todos os níveis de severidade. Por padrão, eles já estão todos incluídos, mas você tem a opção de fazer alterações das seguintes maneiras:
Observação
Se você excluir um sinal de origem específico ou um nível de gravidade de alerta, todas as detecções Fusion que dependem de sinais dessa origem ou de alertas correspondentes a esse nível de gravidade não serão disparadas.
Exclua sinais de detecções do Fusion, inclusive anomalias, alertas de vários provedores e logs brutos.
Caso de uso: Se você estiver testando uma fonte de sinal específica conhecida para produzir alertas barulhentos, poderá desativar temporariamente os sinais dessa fonte de sinal específica para detecções do Fusion.
Configurar a severidade do alerta para cada provedor: por design, o modelo ML do Fusion correlaciona sinais de baixa fidelidade em um único incidente de alta gravidade com base em sinais anômalos em toda a cadeia de eliminação de várias fontes de dados. Os alertas incluídos no Fusion são de menor gravidade (média, baixa, informativa), mas ocasionalmente alertas de alta gravidade relevantes são incluídos.
Caso de uso: Se você tiver um processo separado para tririar e investigar alertas de alta gravidade e preferir não ter esses alertas incluídos no Fusion, poderá configurar os sinais de origem para excluir alertas de alta gravidade das detecções do Fusion.
Excluir padrões de detecção específicos da detecção do Fusion. Certas detecções do Fusion podem não ser aplicáveis ao seu ambiente ou podem ser propensas a gerar falsos positivos. Se você quiser excluir um padrão específico de detecção do Fusion, siga as instruções abaixo:
Localize e abra um incidente do Fusion do tipo que você deseja excluir.
Na seção Descrição, selecione Mostrar mais.
Em Excluir esse padrão de detecção específico, selecione o link de exclusão, que redireciona para a guia Configurar Fusion no assistente de regra de análise.
Na guia Configurar Fusion, você verá que o padrão de detecção — uma combinação de alertas e anomalias em um incidente de Fusion — foi adicionado à lista de exclusões, juntamente com o tempo em que o padrão de detecção foi adicionado.
Você pode remover um padrão de detecção excluído a qualquer momento, selecionando o ícone de lixeira nesse padrão.
Incidentes que correspondem aos padrões de detecção excluídos ainda são disparados, mas não aparecem na fila de incidentes ativos. Elas são preenchidas automaticamente com os seguintes valores:
Status: "Fechado"
Classificação de fechamento: “Indeterminado”
Comentário: “Padrão de detecção do Fusion excluído, fechado automaticamente”
Marca: "ExcludedFusionDetectionPattern" – você pode consultar essa marca para exibir todos os incidentes correspondentes a esse padrão de detecção.
Observação
Atualmente, o Microsoft Sentinel usa 30 dias do histórico de dados para treinar os sistemas de aprendizado de máquina. Esses dados são sempre criptografados com as chaves da Microsoft à medida que passam pelo pipeline de machine learning. No entanto, os dados de treinamento não serão criptografados com Customer-Managed Keys (CMK) se você habilitar o CMK em seu workspace do Microsoft Sentinel. Para cancelar a participação no Fusion, acesse Microsoft Sentinel>Análise de Configuração>Regras ativas>, clique com o botão direito do mouse na regra Detecção Avançada de Ataque Multiestágio e selecione Desabilitar.
Configurar regras de análise agendadas para detecções do Fusion
Importante
A detecção baseada em fusion usando alertas de regra de análise está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Fusion detecta ataques de vários estágios baseados em cenários e ameaças emergentes usando alertas gerados por regras de análise agendadas. Para aproveitar ao máximo os recursos de Fusão do Microsoft Sentinel, execute as etapas a seguir para configurar e habilitar essas regras.
O Fusion para ameaças emergentes usa alertas gerados por quaisquer regras de análise agendadas que contenham informações de mapeamento de entidades e da cadeia de eliminação (táticas). Para garantir que o Fusion possa usar a saída de uma regra de análise para detectar ameaças emergentes:
Revise o mapeamento de entidade para essas regras agendadas. Use a seção de configuração de mapeamento de entidades para mapear parâmetros dos resultados da consulta para entidades reconhecidas pelo Microsoft Sentinel. Como o Fusion correlaciona alertas com base em entidades (como conta de usuário ou endereço IP), seus algoritmos de ML não podem executar a correspondência de alertas sem as informações da entidade.
Examine as táticas e técnicas nos detalhes da regra de análise. O algoritmo Fusion ML usa informações de MITRE ATT&CK para detectar ataques de vários estágios e as táticas e técnicas com as quais você rotula as regras de análise aparecem nos incidentes resultantes. Cálculos do Fusion poderão ser afetados se os alertas de entrada estiverem faltando informações táticas.
A Fusion também pode detectar ameaças baseadas em cenários usando regras com base nos seguintes modelos de regra de análise agendada.
Para habilitar as consultas disponíveis como modelos na página Análise, acesse a guia Modelos de regra, selecione o nome da regra na galeria de modelos e selecione em Criar regra no painel de detalhes.
- Cisco - bloqueio do firewall, mas logon bem-sucedida no Microsoft Entra ID
- Fortinet - sinalizador sonoro padrão detectado
- IP com vários logons com falha do Microsoft Entra faz logon com sucesso na VPN de Palo Alto
- Redefinição de senha múltipla pelo usuário
- Consentimento de aplicativos raro
- SharePointFileOperation por meio de IPs não vistos anteriormente
- Implantação de recursos suspeitos
- Assinaturas de ameaça Palo Alto de endereços IP incomuns
Para adicionar consultas que não estão disponíveis no momento como um modelo de regra, consulte Criar uma regra de análise personalizada do zero.
Para mais informações, confira Cenários de detecção de ataque em múltiplos estágios avançados do Fusion com regras de análise agendada.
Observação
Para o conjunto de regras de análise agendadas usadas pelo Fusion, o algoritmo da ML faz correspondência difusa para as consultas KQL fornecidas nos modelos. Renomear os modelos não afeta as detecções de Fusion.
Próximas etapas
Saiba mais sobre Detecções do Fusion no Microsoft Sentinel.
Saiba mais sobre as muitas detecções do Fusion com base em cenário.
Agora que você sabe mais sobre a detecção avançada de ataques em vários estágios, talvez esteja interessado no início rápido a seguir para saber como obter visibilidade de seus dados e possíveis ameaças: Introdução ao Microsoft Sentinel.
Se estiver pronto para investigar os incidentes criados para você, confira o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.