Compartilhar via

Obter recomendações de ajuste fino para suas regras de análise no Microsoft Sentinel

Importante

Detecções personalizadas agora são a melhor maneira de criar novas regras no SIEM do Microsoft Sentinel e no Microsoft Defender XDR. Com detecções personalizadas, você pode reduzir os custos de ingestão, obter detecções ilimitadas em tempo real e se beneficiar da integração perfeita com dados, funções e ações de correção do Defender XDR com mapeamento automático de entidades. Para obter mais informações, leia este blog.

Importante

O ajuste de detecção está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Ajustar regras de detecção de ameaças em seu SIEM pode ser um processo difícil, delicado e contínuo de balanceamento entre maximizar a cobertura de detecção de ameaças e minimizar taxas falsas positivas. O Microsoft Sentinel simplifica e simplifica esse processo usando o aprendizado de máquina para analisar bilhões de sinais de suas fontes de dados, bem como suas respostas a incidentes ao longo do tempo, deduzindo padrões e fornecendo recomendações e insights acionáveis que podem reduzir significativamente sua sobrecarga de ajuste e permitir que você se concentre em detectar e responder a ameaças reais.

As Recomendações e insights de ajuste agora estão integrados às suas regras de análise. Este artigo explicará o que esses insights mostram e como você pode implementar as recomendações.

Exibir insights de regras e recomendações de ajuste

Para ver se o Microsoft Sentinel tem recomendações de ajuste para qualquer uma de suas regras de análise, selecione Análise no menu de navegação do Microsoft Sentinel.

Todas as regras que tiverem recomendações exibirão um ícone de lâmpada, conforme mostrado aqui:

Captura de tela da lista de regras de análise com o indicador de recomendação.

Edite a regra para exibir as recomendações junto com os outros insights. Eles aparecerão juntos na guia Definir lógica de regra do assistente de regras de análise, abaixo do modo de exibição Simulação de resultados.

Captura de tela do ajuste de insights na regra de análise.

Tipos de insights

O modo de exibição Ajuste de insights consiste em vários painéis que você pode rolar ou alternar deslizando o dedo. Cada um deles mostra algo diferente. O período de tempo – 14 dias – para o qual os insights são exibidos é mostrado na parte superior do quadro.

  1. O primeiro painel de insights exibe algumas informações estatísticas : o número médio de alertas por incidente, o número de incidentes abertos e o número de incidentes fechados, agrupados por classificação (verdadeiro/falso positivo). Esse insight ajuda você a descobrir a carga nessa regra e a entender se algum ajuste é necessário – por exemplo, se as configurações de agrupamento precisarem ser ajustadas.

    Captura de tela do insight de eficiência da regra.

    Esse insight é o resultado de uma consulta do Log Analytics. Selecionar média de alertas por incidente levará você à consulta no Log Analytics que produziu o insight. Selecionar incidentes abertos levará você para o painel Incidentes.

  2. O segundo painel de insights recomenda que você tenha uma lista de entidades a serem excluídas . Essas entidades estão altamente correlacionadas com os incidentes que você fechou e classificou como falsos positivos. Selecione o sinal de adição ao lado de cada entidade listada para excluí-lo da consulta em execuções futuras dessa regra.

    Captura de tela da recomendação de exclusão de entidade.

    Essa recomendação é produzida pelos modelos avançados de ciência de dados e machine learning da Microsoft. A inclusão desse painel na exibição Ajuste de insights depende de haver recomendações a serem exibidas.

  3. O terceiro painel de insights mostra as quatro entidades mapeadas que aparecem com mais frequência em todos os alertas produzidos por essa regra. O mapeamento de entidade precisa estar configurado na regra para que esse insight produza resultados. Esse insight pode ajudá-lo a se conscientizar de quaisquer entidades que estão "dominando os holofotes" e desviando a atenção das outras. Talvez você queira lidar com essas entidades separadamente em uma regra diferente ou pode decidir que elas são falsos positivos ou ruídos e excluí-las da regra.

    Captura de tela do insight das principais entidades.

    Esse insight é o resultado de uma consulta do Log Analytics. Selecionar qualquer uma das entidades levará você à consulta no Log Analytics que produziu o insight.

Próximas etapas

Para obter mais informações, consulte:

  • Last updated on