Monitorar a integridade e a auditoria de suas regras de análise

Para garantir uma detecção de ameaças abrangente, ininterrupta e sem violação em seu serviço Microsoft Sentinel, acompanhe a saúde e a integridade de suas regras de análise. Mantenha-os funcionando de forma ideal monitorando seus insights de execução, consultando os logs de integridade e auditoria e usando a execução manual para testar e otimizar suas regras.

Configure as notificações de eventos de integridade para stakeholders relevantes, que podem tomar medidas. Por exemplo, defina e envie email ou mensagens do Microsoft Teams, crie novos tíquetes em seu sistema de emissão de tíquetes e assim por diante.

Este artigo descreve como usar os recursos de auditoria e monitoramento de integridade do Microsoft Sentinel para acompanhar a integridade das suas regras de alerta de dentro do Microsoft Sentinel.

Para obter informações sobre insights de regras e reexecução manual de regras, consulte Monitorar e otimizar a execução das suas regras de análise agendadas.

Resumo

• Logs de integridade da regra de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram a execução de regras de análise e o resultado final dessas execuções (se elas tiveram êxito ou falharam e, se falharam, por quê).
  • O log também registra, para cada execução de uma regra de análise:
    • Quantos eventos a consulta da regra capturou.
    • Se o número de eventos passou o limite definido na regra, fazendo com que a regra dispare um alerta.

  Esses logs são coletados na tabela SentinelHealth no Log Analytics.

• Logs de auditoria da regra de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram alterações feitas em qualquer regra de análise, incluindo os seguintes detalhes:
    • O nome da regra que foi alterada.
    • Quais propriedades da regra foram alteradas.
    • O estado das configurações de regra antes e depois da alteração.
    • O usuário ou a identidade que fez a alteração.
    • O IP de origem e a data/hora da alteração.
    • ... e muito mais.

  Esses logs são coletados na tabela SentinelAudit no Log Analytics.

Usar as tabelas de dados SentinelHealth e SentinelAudit

Para obter dados de auditoria e integridade das tabelas descritas anteriormente, primeiro você deve ativar o recurso de integridade do Microsoft Sentinel para sua área de trabalho. Para obter mais informações, consulte Ativar a auditoria e o monitoramento de integridade do Microsoft Sentinel.

Depois que o recurso de integridade for ativado, a tabela de dados SentinelHealth será criada no primeiro evento de êxito ou falha gerado para os guias estratégicos e regras de automação.

Noções básicas sobre eventos de tabela SentinelHealth e SentinelAudit

A tabela SentinelHealth registra os seguintes tipos de eventos de saúde das regras de análise:

• Execução da regra de análise agendada.
• Execução da regra de análise NRT.

Para obter mais informações, confira esquema de colunas da tabela SentinelHealth.

A tabela SentinelAudit faz o registro dos seguintes tipos de eventos de auditoria de regras de análise:

• Criar ou atualizar regra de análise.
• Regra de análise excluída.

Para obter mais informações, confira esquema de colunas da tabela SentinelAudit.

Executar consultas para detectar problemas de integridade

Para obter melhores resultados, crie suas consultas nas funções predefinidas para essas tabelas , _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções mantêm a compatibilidade com versões anteriores de suas consultas se forem feitas alterações no esquema das tabelas.

Como primeira etapa, filtre as tabelas de dados relacionados às regras de análise. Use o parâmetro SentinelResourceType.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se desejar, você pode filtrar ainda mais a lista para um determinado tipo de regra de análise. Use o parâmetro SentinelResourceKind para isso.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Confira algumas consultas de exemplo para ajudar você a começar:

• Localize as regras que estão "desabilitadas automaticamente":

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Reason == "The analytics rule is disabled and was not executed."
  

• Conte as regras e execuções que tiveram êxito ou falharam, por motivos de:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
  

• Localize a atividade de exclusão de regra:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | where Description =="Analytics rule deleted"
  

• Localize a atividade em regras, por nome da regra e nome da atividade:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
  

• Localize a atividade em regras, por nome do chamador (a identidade que executou a atividade):

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | extend Caller= tostring(ExtendedProperties.CallerName)
  | summarize Count = count() by Caller, Activity=Description
  

Consulte mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:

• onde operador
• resumir operador
• função tostring()
• contar() função de agregação
• Função de agregação dcount()

Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos:

• Referência rápida do KQL
• Recursos de aprendizagem da Linguagem de Consulta Kusto

Regras agendadas

Quando uma regra de agendamento falha, ela é repetida mais cinco vezes na mesma janela. A regra não ignora a janela nem perde um alerta enquanto uma das seis tentativas for bem-sucedida.

A falha em uma das seis tentativas indica um atraso no gatilho de alerta. A consulta a seguir calcula o atraso exato:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Para procurar falhas completas (ou seja, uma janela que foi ignorada), use a seguinte consulta:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Essa consulta busca execuções de regras de análise agendada em que nenhuma das seis repetições foi bem-sucedida. Você pode identificar uma repetição examinando a hora de início da janela da regra, pois as tentativas sempre analisam a hora de início original. Essa consulta fornece a quantidade de janelas puladas para cada regra analítica. Esperamos que as janelas ignoradas sejam raras. Se você vir que tem regras de análise com janelas ignoradas, use as consultas para entender os motivos das falhas dessas regras específicas e a tabela de motivos de falhas e mitigações para corrigi-las.

Regras de NRT

O mecanismo de tentativas para regras NRT se comporta de forma diferente das regras agendadas. Se uma regra não for executada, o sistema também considerará a janela com falha na próxima execução (um minuto depois). Esse comportamento continua durante até 60 falhas (uma hora).

Como uma falha de uma execução específica reflete apenas um atraso de um minuto, não considere as falhas únicas. Em vez disso, use a seguinte consulta para monitorar o atraso de cada regra analítica:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Você também pode definir uma regra de análise para disparar alertas sobre atrasos significativos (por exemplo, se uma regra NRT tiver um atraso de mais de 10 minutos).

Status, erros e etapas sugeridas

Para a execução de regra de análise agendada ou execução de regra de análise NRT, você pode ver qualquer um dos seguintes status e descrições:

• Êxito: regra executada com êxito, gerando <n> alertas.

• Êxito: a regra foi executada com êxito, mas não atingiu o limite (<n>) necessário para gerar um alerta.

• Falha: essas descrições explicam a falha da regra e o que você pode fazer sobre elas.

  Descrição	Correção
  Ocorreu um erro interno do servidor durante a execução da consulta.
  A execução da consulta atingiu o tempo limite.
  Uma tabela referenciada na consulta não foi encontrada.	Verifique se a respectiva fonte de dados está conectada.
  Ocorreu um erro semântico durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Uma função chamada pela consulta é nomeada com uma palavra reservada.	Remova ou renomeie a função.
  Ocorreu um erro de sintaxe durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  O espaço de trabalho não existe.
  Essa consulta usa muitos recursos do sistema e foi impedida de ser executada.	Examine e ajuste a regra de análise. Consulte nossa visão geral da Linguagem de Consulta Kusto e a documentação de práticas recomendadas.
  Uma função chamada pela consulta não foi encontrada.	Verifique a existência em seu workspace de todas as funções chamadas pela consulta.
  O workspace usado na consulta não foi encontrado.	Verifique se todos os workspaces na consulta existem.
  Você não tem permissões para executar essa consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Você não tem permissões de acesso a um ou mais dos recursos na consulta.
  A consulta se referia a um caminho de armazenamento que não foi encontrado.
  A consulta teve o acesso negado a um caminho de armazenamento.
  Várias funções com o mesmo nome são definidas neste workspace.	Remova ou renomeie a função redundante e redefina a regra editando-a e salvando-a.
  Essa consulta não retornou nenhum resultado.
  Vários conjuntos de resultados nesta consulta não são permitidos.
  Os resultados da consulta contêm um número inconsistente de campos por linha.
  A execução da regra foi atrasada devido a longos tempos de ingestão de dados.
  A execução da regra foi adiada devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas de mapeamento de entidades.
  < number> entidades foram descartadas no alerta <name> devido ao limite de tamanho do alerta de 32 KB.
  < number> entidades foram descartadas no alerta<name> devido a problemas de mapeamento de entidade.
  A consulta resultou em <number> eventos, que excede o número máximo de <limit> resultados permitidos para regras<rule type> com configuração de agrupamento de eventos de alerta por linha. O alerta por linha foi gerado para os primeiros <limit-1> eventos e um alerta agregado adicional foi gerado para levar em conta todos os eventos. – <number> = número de eventos retornados pela consulta – <limit> = no momento, 150 alertas para regras agendadas, 30 para regras NRT – <rule type> = agendado ou NRT

Usar a pasta de trabalho de monitoramento de integridade

1. Para disponibilizar a pasta de trabalho em seu workspace, instale a solução de pasta de trabalho no hub de conteúdo do Microsoft Sentinel:

   1. No portal do Microsoft Sentinel, selecione Hub de conteúdo (versão prévia) no menu Gerenciamento de conteúdo.

   2. No Hub de conteúdo, insira integridade na barra de pesquisa e selecione Auditoria e Análise de Integridade entre as soluções de Pasta de Trabalho em Autônomo nos resultados.

      

   3. Selecione Instalar no painel de detalhes e, em seguida, selecione Salvar que aparece em seu lugar.

2. Quando a solução indicar que está instalada, selecione Pastas de Trabalho no menu Gerenciamento de ameaças.

   

3. Na galeria Pastas de Trabalho, selecione a guia Modelos, insira integridade na barra de pesquisa e selecioneAuditoria e Integridade de Análise entre os resultados.

   

4. Selecione Salvar no painel de detalhes para criar uma cópia editável e utilizável da pasta de trabalho. Quando a cópia for criada, selecione Exibir pasta de trabalho salva.

5. Uma vez na pasta de trabalho, primeiro selecione a assinatura e o workspace que você deseja exibir (eles já podem estar selecionados) e defina o TimeRange para filtrar os dados de acordo com suas necessidades. Use a alternância Mostrar ajuda para exibir a explicação in-loco da pasta de trabalho.

   

Esta pasta de trabalho tem três abas:

Guia Visão geral

A guia Visão geral mostra resumos de integridade e auditoria:

• Resumos de integridade do status de execuções de regra de análise no workspace selecionado: número de execuções, êxitos e falhas e detalhes do evento de falha.
• Auditar resumos de atividades em regras de análise no workspace selecionado: número de atividades ao longo do tempo, número de atividades por tipo e número de atividades de diferentes tipos por regra.

Guia Integridade

A guia Saúde permite explorar eventos de saúde específicos.

• Filtre todos os dados da página por status (êxito ou falha) e tipo de regra (agendado ou NRT).
• Consulte as tendências de execuções de regra bem-sucedidas e com falha (dependendo do filtro de status) durante o período de tempo selecionado. Você pode "filtrar o tempo" do grafo de tendência para ver um subconjunto do intervalo de tempo original.
• Filtre o restante da página por motivo.
• Consulte o número total de execuções para todas as regras de análise, exibidas proporcionalmente por status em um gráfico de pizza.
• A seguir está uma tabela mostrando o número de regras de análise exclusivas executadas, divididas por tipo de regra e status.
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Veja cada status, com o número de possíveis motivos para esse status. (Somente os motivos representados nas execuções no período de tempo selecionado são mostrados.)
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Em seguida, confira uma lista desses motivos, com o número total de execuções de regra combinadas e o número de regras exclusivas que foram executadas.
  • Selecione um motivo para filtrar os gráficos a seguir por esse motivo.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Depois disso, há uma lista das regras de análise exclusivas que foram executadas, com os resultados mais recentes e linhas de tendência de seu sucesso e falha (dependendo do status selecionado para filtrar a lista).
  • Selecione uma regra para fazer drill down e mostrar uma nova tabela com todas as execuções dessa regra (no período selecionado).
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Se você selecionar uma regra na lista, uma nova tabela será exibida com os detalhes de estado da regra selecionada.

Tipo de auditoria

A guia Auditoria permite que você faça uma busca detalhada em eventos de auditoria específicos.

• Filtre os dados da página inteira por tipo de regra de auditoria (agendada/Fusion).
• Confira as tendências da atividade auditada em regras de análise durante o período de tempo selecionado. Você pode "filtrar o tempo" do grafo de tendência para ver um subconjunto do intervalo de tempo original.
• Confira os números de eventos auditados, divididos por atividade e tipo de regra.
  • Selecione uma atividade para filtrar os gráficos a seguir para essa atividade.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Consulte o número de eventos auditados pelo nome da regra.
  • Selecione um nome de regra para filtrar a tabela a seguir para essa regra e fazer drill down e mostrar uma nova tabela com toda a atividade nessa regra (no período de tempo selecionado). (Veja após a captura de tela a seguir.)
  • Limpe o filtro selecionando o ícone "Limpar seleção" (ele se parece com um ícone "Desfazer") no canto superior direito do gráfico.
• Confira o número de eventos auditados pelo chamador (a identidade que executou a atividade).
• Se você selecionou um nome de regra no gráfico anterior, outra tabela aparecerá mostrando as atividades auditadas nessa regra. Selecione o valor que aparece como um link na coluna ExtendedProperties para abrir um painel lateral exibindo as alterações feitas na regra.

Próximas etapas

• Monitorar e otimizar a execução de regras de análise no Microsoft Sentinel.
• Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
• Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras de automação e guias estratégicos.
• Monitore a integridade de seus conectores de dados.
• Confira mais informações sobre os esquemas das tabelas SentinelHealth e SentinelAudit.