Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
De longe o tipo mais comum de regra analítica, as regras Agendadas são baseadas em consultas Kusto que são configuradas para serem executadas em intervalos regulares e examinar dados brutos de um período de "retrospectiva" definido. As consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e valores discrepantes em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.
Esse artigo ajuda você a entender como as regras de análise agendada são criadas e apresenta todas as opções de configuração e seus significados. As informações nesse artigo são úteis em dois cenários:
Crie uma regra de análise a partir de um modelo: use a lógica de consulta e as configurações de agendamento e pesquisa, conforme definido no modelo, ou personalize-as para criar novas regras.
Crie uma regra de análise do zero: crie sua própria consulta e regra do zero. Para fazer isso de forma eficaz, você deve ter uma base sólida em ciência de dados e na linguagem de consulta Kusto.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.
Modelos de regras de análise
As consultas em modelos de regras agendados foram escritas por especialistas em segurança e ciência de dados, seja da Microsoft ou do fornecedor da solução que fornece o modelo.
Use um modelo de regra de análise selecionando um nome de modelo na lista de modelos e criando uma regra com base nele.
Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, as fontes de dados são verificadas automaticamente quanto à disponibilidade. Disponibilidade significa que a fonte de dados está conectada e que os dados estão sendo ingeridos regularmente por meio dela. Se qualquer uma das fontes de dados necessárias não estiver disponível, você não poderá criar a regra e talvez também veja uma mensagem de erro referente a isso.
Quando você cria uma regra baseada em um modelo, o assistente de criação de regra é aberto com base no modelo selecionado. Todos os detalhes são preenchidos automaticamente e você pode personalizar a lógica e outras configurações de regras para melhor atender às suas necessidades específicas. Você pode repetir esse processo para criar mais regras com base no modelo. Quando você chegar ao final do assistente de criação de regras, suas personalizações serão validadas e a regra será criada. As novas regras aparecem na guia Regras ativas na página Análise . Da mesma forma, na guia Modelos de regra , o modelo do qual você criou a regra agora é exibido com a In use marca.
Os modelos de regras de análise são constantemente mantidos por seus autores, seja para corrigir bugs ou refinar a consulta. Quando um modelo recebe uma atualização, todas as regras baseadas nesse modelo são exibidas com a marca Update e você tem a chance de modificar essas regras para incluir as alterações feitas no modelo. Você também pode reverter quaisquer alterações feitas em uma regra para sua versão original baseada no modelo. Para obter mais informações, consulte Gerenciar versões de modelo para suas regras de análise agendadas no Microsoft Sentinel.
Depois de se familiarizar com as opções de configuração neste artigo, consulte Criar regras de análise agendadas de modelos.
O restante desse artigo explica todas as possibilidades para personalizar a configuração de suas regras.
Configuração da regra de análise
Esta seção explica as principais considerações que você precisa levar em conta antes de começar a configurar suas regras.
Nome da regra de análise e detalhes
A primeira página do assistente de regras de análise contém as informações básicas da regra.
Nome: O nome da regra como ela aparece na lista de regras e em qualquer filtro baseado em regra. O nome deve ser exclusivo para seu espaço de trabalho.
Descrição: Uma descrição de texto livre da finalidade da regra.
ID: O GUID da regra como um recurso do Azure, usado em solicitações e respostas de API, entre outras coisas. Esse GUID é atribuído somente quando a regra é criada, portanto, ela é exibida somente quando você está editando uma regra existente. Como é um campo somente leitura, ele é exibido em cinza e não pode ser alterado. Ele ainda não existe ao criar uma nova regra, seja a partir de um modelo ou do zero.
Severidade: Uma classificação para atribuir aos alertas produzidos por essa regra. A gravidade de uma atividade é um cálculo do potencial impacto negativo da ocorrência da atividade.
| Severidade | Descrição |
|---|---|
| Informativo | Nenhum impacto no seu sistema, mas as informações podem ser indicativas de medidas futuras planejadas por um agente de ameaça. |
| Baixo | O impacto imediato seria mínimo. Um ator de ameaça provavelmente precisaria realizar várias etapas antes de obter um impacto em um ambiente. |
| Médio | O ator de ameaça pode ter algum impacto sobre o ambiente com essa atividade, mas seria limitado no escopo ou exigiria atividade adicional. |
| Alto | A atividade identificada fornece ao ator de ameaças amplo acesso para realizar ações no ambiente ou é disparada pelo impacto no ambiente. |
Os padrões de gravidade não são garantia do nível de impacto atual ou ambiental. Personalize os detalhes do alerta para personalizar a gravidade, as táticas e outras propriedades de uma determinada instância de um alerta com os valores de quaisquer campos relevantes de uma saída de consulta.
As definições de gravidade para modelos de regras de análise do Microsoft Sentinel são relevantes somente para alertas criados por regras de análise. Para alertas ingeridos de outros serviços, a gravidade é definida pelo serviço de segurança de origem.
MITRE ATT&CK: Uma especificação das táticas e técnicas de ataque representadas pelas atividades capturadas por esta regra. Elas se baseiam nas táticas e técnicas da estrutura MITRE ATT&CK®.
As táticas e técnicas do MITRE ATT&CK definidas aqui na regra se aplicam a quaisquer alertas gerados pela regra. Elas também se aplicam a quaisquer incidentes criados a partir desses alertas.
Para obter mais informações sobre como maximizar sua cobertura do cenário de ameaças MITRE ATT&CK, consulte Entenda a cobertura de segurança pelo framework MITRE ATT&CK®.
Estado: Quando você cria a regra, seu status é habilitado por padrão, o que significa que ele é executado imediatamente após você terminar de criá-la. Se não quiser que ele seja executado imediatamente, você tem duas opções:
- Selecione Desabilitado e a regra é criada sem ser executada. Quando quiser que a regra seja executada, localize-a na guia Regras Ativas e habilite-a a partir daí.
- Agende a regra para ser executada pela primeira vez em uma data e hora específicas. Esse método está atualmente em PREVIEW. Consulte o agendamento de consulta posteriormente neste artigo.
Consulta de regra
Essa é a essência da regra: você decide quais informações estarão nos alertas criados por essa regra e como as informações serão organizadas. Essa configuração tem efeitos de acompanhamento sobre a aparência dos incidentes resultantes e do nível de dificuldade de investigação, correção e resolução. É importante dar aos alertas o máximo de informações possível e torná-las facilmente acessíveis.
Exiba ou insira a consulta Kusto que analisa os dados brutos do log. Se você estiver criando uma regra do zero, é uma boa ideia planejar e projetar sua consulta antes de abrir esse assistente. Você pode criar e testar consultas na página Logs .
Tudo o que você digita na janela de consulta de regras é validado instantaneamente, para que você descubra imediatamente se cometeu algum erro.
Práticas recomendadas para consultas de regra de análise
Recomendamos que você use um analisador ASIM (Advanced Security Information Model) como fonte de consulta, em vez de usar uma tabela nativa. Isso garantirá que a consulta suporte qualquer fonte de dados ou família de fontes de dados relevantes, atuais ou futuras, em vez de depender de uma única fonte de dados.
O comprimento da consulta deve ter entre 1 e 10.000 caracteres e não pode conter "
search *" ou "union *". Você pode usar funções definidas pelo usuário para superar a limitação do comprimento da consulta, pois uma única função pode substituir dezenas de linhas de código.Não há suporte para o uso de funções do ADX para criar consultas do Azure Data Explorer dentro da janela de consulta do Log Analytics.
Ao usar a
bag_unpackfunção em uma consulta, se você projetar as colunas como campos usando "project field1" e a coluna não existir, a consulta falhará. Para se proteger contra isso que está acontecendo, você deve projetar a coluna da seguinte maneira:project field1 = column_ifexists("field1","")
Para obter mais informações, veja:
- Linguagem de consulta Kusto no Microsoft Sentinel
- Guia de referência rápida do KQL
- Práticas recomendadas para consultas de linguagem de consulta Kusto
Aprimoramento de alertas
Se você quiser que os alertas exibam as descobertas para que elas possam estar imediatamente visíveis nos incidentes e serem acompanhadas e investigadas de acordo, use a configuração de aprimoramento de alertas para exibir todas as informações importantes neles.
Esse aprimoramento de alertas traz o benefício adicional de apresentar as descobertas de maneira facilmente visível e acessível.
Há três tipos de aprimoramentos de alerta que você pode configurar:
- Mapeamento de entidade
- Detalhes personalizados
- Detalhes do alerta (também conhecido como conteúdo dinâmico)
Mapeamento de entidade
Entidades são os jogadores de ambos os lados de qualquer história de ataque. Identificar todas as entidades em um alerta é essencial para detectar e investigar as ameaças. Para garantir que o Microsoft Sentinel identifique as entidades em seus dados brutos, você deve mapear os tipos de entidade reconhecidos pelo Microsoft Sentinel nos campos dos resultados da sua consulta. Esse mapeamento integra as entidades identificadas ao campo Entidades em seu esquema de alerta.
Para saber mais sobre o mapeamento de entidades e obter instruções completas, consulte Mapear campos de dados para entidades no Microsoft Sentinel.
Detalhes personalizados
Por padrão, apenas as entidades de alerta e metadados ficam visíveis em incidentes, sem detalhar os eventos brutos nos resultados da consulta. Para dar a outros campos da consulta a visibilidade imediata dos seus alertas e incidentes, defina-os como detalhes personalizados. O Microsoft Sentinel integra esses detalhes personalizados ao campo ExtendedProperties em seus alertas, fazendo com que eles sejam exibidos antecipadamente em seus alertas e em todos os incidentes criados a partir desses alertas.
Para saber mais sobre como exibir detalhes personalizados e obter instruções completas, consulte os detalhes do evento personalizado do Surface em alertas no Microsoft Sentinel.
Detalhes do Alerta
Essa configuração permite que você personalize propriedades de alerta padrão de acordo com o conteúdo de vários campos em cada alerta individual. Essas personalizações são integradas ao campo ExtendedProperties em seus alertas. Por exemplo, você pode personalizar o nome ou a descrição do alerta para incluir um nome de usuário ou endereço IP em destaque no alerta.
Para saber mais sobre como personalizar detalhes do alerta e obter instruções completas, consulte Personalizar detalhes do alerta no Microsoft Sentinel.
Observação
No portal do Microsoft Defender, o mecanismo de correlação do Defender XDR é responsável apenas por nomear incidentes, portanto, todos os nomes de alerta personalizados podem ser substituídos quando incidentes são criados a partir desses alertas.
Agendamento de consulta
Os parâmetros a seguir determinam a frequência com que a regra agendada é executada e qual período ela examina cada vez que é executada.
| Configuração | Comportamento |
|---|---|
| Executar consulta a cada | Controla o intervalo de consulta: com que frequência a consulta é executada. |
| Pesquisar nos dados das últimas | Determina o período de retrospectiva: o período de tempo coberto pela consulta. |
O intervalo permitido para ambos os parâmetros é de 5 minutos a 14 dias.
O intervalo de consulta deve ser menor ou igual ao período de lookback. Se for menor, os períodos de consulta se sobrepõem, o que pode causar alguma duplicação de resultados. A validação da regra não permite que você defina um intervalo maior que o período de retrospectiva, pois isso resultaria em lacunas na sua cobertura.
A configuração Iniciar execução , agora em PREVIEW, permite que você crie uma regra com o status Habilitado, mas atrase sua primeira execução até uma data e hora predeterminadas. Essa configuração é útil se você quiser cronometrar a execução de suas regras de acordo com o horário em que os dados devem ser ingeridos da fonte ou com o horário em que seus analistas do SOC iniciam o dia de trabalho.
| Configuração | Comportamento |
|---|---|
| Automaticamente | A regra é executada pela primeira vez imediatamente após ser criada e, depois disso, no intervalo definido na configuração Executar consulta a cada. |
| Em tempo específico (versão prévia) | Defina uma data e hora para a execução inicial da regra, após a qual ela será executada no intervalo definido na configuração Executar consulta a cada. |
O início da execução deve ocorrer entre 10 minutos e 30 dias após o momento de criação (ou ativação) da regra.
A linha de texto sob a configuração Iniciar execução (com o ícone de informações à esquerda) resume o agendamento de consultas atuais e as configurações de lookback.
Observação
Atraso na ingestão
Para considerar a latência que pode ocorrer entre a geração de um evento na origem e sua ingestão no Microsoft Sentinel e garantir a cobertura completa sem duplicação de dados, o Microsoft Sentinel executa regras de análise agendadas em um atraso de cinco minutos do horário agendado.
Para obter mais informações, veja Lidar com atraso de ingestão em regras de análise agendadas.
Limite de alerta
Muitos tipos de eventos de segurança são normais ou até esperados em pequenos números, mas são um sinal de ameaça em grandes números. Diferentes escalas de grandes números podem significar diferentes tipos de ameaças. Por exemplo, duas ou três tentativas de entrada com falha no espaço de um minuto são um sinal de um usuário não se lembrando de uma senha, mas 50 em um minuto pode ser um sinal de um ataque humano, e mil é provavelmente um ataque automatizado.
Dependendo do tipo de atividade que sua regra está tentando detectar, você pode definir um número mínimo de eventos (resultados de consulta) necessários para acionar um alerta. O limite se aplica separadamente a cada vez que a regra é executada, não coletivamente.
O limite também pode ser definido como um número máximo de resultados ou um número exato.
Agrupamento de eventos
Há duas maneiras de lidar com o agrupamento de eventos em alertas:
Agrupe todos os eventos em um único alerta: Esse é o padrão. A regra gera um único alerta sempre que é executada, desde que a consulta retorne mais resultados do que o limite de alerta especificado explicado na seção anterior. Esse único alerta resume todos os eventos retornados nos resultados da consulta.
Dispare um alerta para cada evento: A regra gera um alerta exclusivo para cada evento (resultado) retornado pela consulta. Esse modo é útil se você quiser que os eventos sejam exibidos individualmente ou se quiser agrupá-los por determinados parâmetros, como usuário, nome do host ou outro. Você pode definir esses parâmetros na consulta.
As regras de análise podem gerar até 150 alertas. Se o agrupamento de eventos estiver definido como Disparar um alerta para cada evento e a consulta da regra retornar mais de 150 eventos, os primeiros 149 eventos gerarão um alerta exclusivo (para alertas 149) e o 150º alerta resumirá todo o conjunto de eventos retornados. Em outras palavras, o 150º alerta é o que teria sido gerado se o agrupamento de eventos tivesse sido definido como Agrupar todos os eventos em um único alerta.
A seção Consulta do alerta é diferente em cada um desses dois modos. No Grupo de todos os eventos em um único modo de alerta, o alerta retorna uma consulta que permite que você veja todos os eventos que dispararam o alerta. Você pode detalhar os resultados da consulta para ver os eventos individuais. No modo Disparar um alerta para cada evento, o alerta retorna um resultado codificado em base64 na área de consulta. Copie e execute essa saída no Log Analytics para decodificar a base64 e mostrar o evento original.
A configuração Disparar um alerta para cada evento pode causar um problema em que os resultados da consulta parecem estar ausentes ou diferentes do que o esperado. Para obter mais informações sobre esse cenário, consulte Solucionar problemas de regras de análise no Microsoft Sentinel | Problema: nenhum evento aparece nos resultados da consulta.
Supressão
Se você quiser que essa regra pare de funcionar por um período após gerar um alerta, ative a configuração Parar de executar a consulta depois que o alerta for geradoativada. Em seguida, você deve definir Parar a execução da consulta para o período de tempo em que a consulta deve parar de ser executada, até 24 horas.
Simulação de resultados
O assistente de regra de análise permite que você teste sua eficácia executando-o no conjunto de dados atual. Quando você executa o teste, a janela simulação resultados mostra um grafo dos resultados que a consulta teria gerado nas últimas 50 vezes que teria sido executada, de acordo com o agendamento definido no momento. Se você modificar a consulta, poderá executar o teste novamente para atualizar o gráfico. O gráfico mostra o número de resultados durante o período de tempo definido, que é determinado pelo cronograma de consulta que você definiu.
Veja a aparência da simulação de resultados para a consulta na captura de tela anterior. O lado esquerdo é a visualização padrão, e o lado direito é o que você vê quando passa o mouse sobre um ponto no tempo no gráfico.
Se você perceber que sua consulta acionará muitos alertas ou alertas muito frequentes, você poderá experimentar as configurações de agendamento e limite e executar a simulação novamente.
Configurações de incidentes
Escolha se o Microsoft Sentinel transforma alertas em incidentes acionáveis.
A criação de incidentes é habilitada por padrão. O Microsoft Sentinel cria um incidente único e separado de cada alerta gerado pela regra.
Se você não quiser que essa regra resulte na criação de incidentes (por exemplo, se essa regra for apenas para coletar informações para análise subsequente), defina-a como Desabilitada.
Importante
Se você integrou o Microsoft Sentinel ao portal do Defender, o Microsoft Defender será responsável por criar incidentes. No entanto, se você quiser que o Defender XDR crie incidentes para esse alerta, você deverá deixar essa configuração habilitada. O Defender XDR recebe a instrução definida aqui.
Isso não deve ser confundido com o tipo de regra de análise de segurança da Microsoft que cria incidentes para alertas gerados nos serviços do Microsoft Defender. Essas regras são desabilitadas automaticamente quando você integra o Microsoft Sentinel ao portal do Defender.
Se você quiser que um único incidente seja criado a partir de um grupo de alertas, em vez de um para cada alerta, consulte a próxima seção.
Agrupamento de alertas
Escolha como os alertas são agrupados em incidentes. Por padrão, o Microsoft Sentinel cria um incidente para cada alerta gerado. Você tem a opção de agrupar vários alertas em um só incidente.
O incidente só é criado após a geração de todos os alertas. Todos os alertas são adicionados ao incidente imediatamente após a criação.
Até 150 alertas podem ser agrupados em um único incidente. Se mais de 150 alertas forem gerados por uma regra que os agrupa em um único incidente, um novo incidente será gerado com os mesmos detalhes do incidente original, e os alertas excedentes serão agrupados no novo incidente.
Para agrupar alertas, defina a configuração de agrupamento de alertas como Habilitada.
Há algumas opções a serem consideradas ao agrupar alertas:
Período de tempo: Por padrão, os alertas criados até cinco horas após o primeiro alerta em um incidente são adicionados ao mesmo incidente. Após 5 horas, outro incidente é criado. Você pode alterar esse intervalo para qualquer período entre 5 minutos e sete dias.
Critérios de agrupamento: Escolha como determinar quais alertas estão incluídos no grupo. A seguinte tabela mostra as escolhas possíveis:
Opção Descrição Agrupar alertas em um único incidente se todas as entidades corresponderem Os alertas serão agrupados se compartilharem valores idênticos para cada uma das entidades mapeadas definidas anteriormente. Essa é a configuração recomendada. Agrupar todos os alertas disparados por essa regra em um único incidente Todos os alertas gerados por essa regra são agrupados, mesmo que não compartilhem valores idênticos. Agrupar alertas em um único incidente se as entidades e os detalhes selecionados corresponderem Os alertas serão agrupados se compartilharem valores idênticos para todas as entidades mapeadas, detalhes do alerta e detalhes personalizados selecionados para essa configuração. Escolha as entidades e os detalhes nas listas suspensas que aparecem quando você seleciona essa opção.
Talvez você queira usar essa configuração se, por exemplo, quiser criar incidentes separados com base nos endereços IP de origem ou de destino, ou se quiser agrupar alertas que correspondam a uma entidade e gravidade específicas.
Observação: ao selecionar essa opção, você deve ter pelo menos uma entidade ou detalhes selecionados para a regra. Caso contrário, a validação da regra falhará e a regra não será criada.Reabertura de incidentes: se um incidente tiver sido resolvido e fechado, e posteriormente em outro alerta for gerado que deve pertencer a esse incidente, defina essa configuração como Habilitada se você quiser que o incidente fechado seja reaberto e saia como Desabilitado se quiser que o novo alerta crie um novo incidente.
A opção de reabrir incidentes fechados não estará disponível se você integrou o Microsoft Sentinel ao portal do Defender.
Resposta automatizada
O Microsoft Sentinel permite que você defina respostas automatizadas para ocorrerem quando:
- Um alerta é gerado por essa regra de análise.
- Um incidente é criado com base em alertas gerados por essa regra de análise.
- Um incidente é atualizado com alertas gerados por essa regra de análise.
Para saber tudo sobre os diferentes tipos de respostas que podem ser criadas e automatizadas, consulte Automatizar a resposta contra ameaças no Microsoft Sentinel com regras de automação.
Sob o cabeçalho Regras de Automação, o assistente exibe uma lista das regras de automação já definidas em todo o workspace, cujas condições se aplicam a essa regra de análise. Você pode editar qualquer uma dessas regras existentes ou criar uma nova regra de automação que se aplique somente a essa regra de análise.
Use regras de automação para executar triagem básica, atribuição, fluxo de trabalho e fechamento de incidentes.
Automatize tarefas mais complexas e invoque respostas de sistemas remotos para remediar ameaças chamando manuais dessas regras de automação. Você pode invocar manuais para incidentes e também para alertas individuais.
Para obter mais informações e instruções sobre como criar guias estratégicos e regras de automação, consulte Automatizar respostas a ameaças.
Para obter mais informações sobre quando usar o gatilho criado pelo incidente, o gatilho atualizado pelo incidente ou o gatilho criado pelo alerta, consulte Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel.
Na seção Automação de Alertas (clássico), você pode ver uma lista de roteiros configurados para serem executados automaticamente usando um método antigo que deve ser descontinuado em março de 2026. Você não pode adicionar nada a essa lista. Todos os manuais listados aqui devem ter regras de automação criadas, com base no gatilho de alerta criado, para invocar os manuais. Depois de fazer isso, selecione as reticências no final da linha do manual listado aqui e selecione Remover. Veja Migre seus manuais de acionamento de alertas do Microsoft Sentinel para regras de automação para obter instruções completas.
Próximas etapas
Ao usar as regras de análise do Microsoft Sentinel para detectar ameaças em seu ambiente, certifique-se de habilitar todas as regras associadas às suas fontes de dados conectadas para garantir cobertura de segurança total para seu ambiente.
Para automatizar a habilitação de regras, envie regras por push para o Microsoft Sentinel por meio da API e do PowerShell, embora isso exija mais esforço. Ao usar API ou PowerShell, você deve primeiro exportar as regras para JSON antes de habilitá-las. A API ou o PowerShell podem ajudar ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.
Para obter mais informações, veja:
- Exportar e importar regras de análise para e de modelos em ARM
- Solução de problemas de regras de análise no Microsoft Sentinel
- Navegar e investigar incidentes no Microsoft Sentinel
- Entidades no Microsoft Sentinel
- Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel
Além disso, aprenda com um exemplo de como usar regras de análise personalizadas ao monitorar o Zoom com um conector personalizado.