Criar regras de detecção personalizadas

As regras de deteção personalizadas são regras que cria e ajusta com consultas de investigação avançadas . Estas regras permitem-lhe monitorizar proativamente vários eventos e estados do sistema, incluindo atividades suspeitas de violação e pontos finais mal configurados. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.

Permissões necessárias para gerenciar detecções personalizadas

Para gerir deteções personalizadas, precisa de funções que lhe permitam gerir os dados visados por estas deteções. Por exemplo, para gerir deteções personalizadas em várias origens de dados (Microsoft Defender XDR e Microsoft Sentinel ou várias cargas de trabalho do Defender), precisa de todas as funções de Defender XDR e Sentinel aplicáveis. Para obter mais informações, consulte as secções seguintes.

Microsoft Defender XDR

Para gerir deteções personalizadas em dados Microsoft Defender XDR, tem de lhe ser atribuída uma destas funções:

• Definições de segurança (gerir) – os utilizadores com esta permissão de Microsoft Defender XDR podem gerir as definições de segurança no portal do Microsoft Defender.

• Administrador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.

• Operador de Segurança – os utilizadores com esta função Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal do Microsoft Defender. Esta função só é suficiente para gerir deteções personalizadas se o controlo de acesso baseado em funções (RBAC) estiver desativado no Microsoft Defender para Ponto de Extremidade. Se tiver o RBAC configurado, também precisa da permissão Gerir Definições de Segurança para o Defender para Endpoint.

Pode gerir deteções personalizadas que se aplicam a dados de soluções de Defender XDR específicas se tiver as permissões certas para as mesmas. Por exemplo, se tiver apenas permissões de gestão para Microsoft Defender para Office 365, pode criar deteções personalizadas através de Email* tabelas, mas não Identity* de tabelas.

Da mesma forma, uma vez que a IdentityLogonEvents tabela contém informações de atividade de autenticação do Microsoft Defender para Aplicativos de Nuvem e do Defender para Identidade, tem de ter permissões de gestão para ambos os serviços para gerir deteções personalizadas que consultam a tabela indicada.

Microsoft Sentinel

Para gerir deteções personalizadas em dados Microsoft Sentinel, tem de lhe ser atribuída a função contribuidor Microsoft Sentinel. Os utilizadores com esta função de Azure podem gerir Microsoft Sentinel dados da área de trabalho SIEM, incluindo alertas e deteções. Pode atribuir esta função numa área de trabalho primária específica, Azure grupo de recursos ou numa subscrição inteira.

Gerir as permissões necessárias

Para gerir as permissões necessárias, um Administrador Global pode:

• Atribua a função Administrador de Segurança ou Operador de Segurança no Centro de administração do Microsoft 365 emAdministrador de Segurançade Funções>.

• Verifique as definições de RBAC para Microsoft Defender para Ponto de Extremidade no Microsoft Defender XDR em Definições>Funções de Permissões>. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .

Criar uma regra de deteção personalizada

1. Preparar a consulta

No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Quando utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados.

Colunas obrigatórias nos resultados da consulta

Para criar uma regra de deteção personalizada com Defender XDR dados, a consulta tem de devolver as seguintes colunas:

1. Timestamp ou TimeGenerated - Esta coluna define o carimbo de data/hora dos alertas gerados. A consulta não deve manipular esta coluna e deve devolvê-la exatamente como aparece no evento não processado.

2. Para deteções baseadas em tabelas XDR, uma coluna ou combinação de colunas que identificam exclusivamente o evento nestas tabelas:

   • Para Microsoft Defender para Ponto de Extremidade tabelas, as Timestampcolunas , DeviceIde ReportId têm de aparecer no mesmo evento
   • Para tabelas Alerta*, Timestamp tem de aparecer no evento
   • Para tabelas TimestampObservation* e ObservationId têm de aparecer no mesmo evento
   • Para todas as outras pessoas, Timestamp e ReportId tem de aparecer no mesmo evento

3. Uma coluna que contém um identificador forte para um recurso afetado. Para mapear automaticamente um recurso afetado no assistente, projete uma das seguintes colunas que contenham um identificador forte para um recurso afetado:

   • DeviceId
   • DeviceName
   • RemoteDeviceName
   • RecipientEmailAddress
   • SenderFromAddress (remetente do envelope ou endereço de retorno)
   • SenderMailFromAddress (endereço do remetente exibido pelo cliente de e-mail)
   • SenderObjectId
   • RecipientObjectId
   • AccountObjectId
   • AccountSid
   • AccountUpn
   • InitiatingProcessAccountSid
   • InitiatingProcessAccountUpn
   • InitiatingProcessAccountObjectId

As consultas simples, como as que não utilizam o project operador ou summarize para personalizar ou agregar resultados, normalmente devolvem estas colunas comuns.

Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade numa coluna como DeviceId, pode continuar a devolver Timestamp e ReportId ao ocorrê-las a partir do evento mais recente que envolve cada exclusivo DeviceId.

A seguinte consulta de exemplo conta o número de dispositivos exclusivos (DeviceId) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp e o correspondente ReportId, utiliza o summarize operador com a arg_max função .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2. Criar nova regra e fornecer detalhes do alerta

Com a consulta no editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:

• Nome da deteção – nome da regra de deteção; deve ser exclusivo.
• Frequency - Intervalo para executar a consulta e tomar medidas. Veja mais orientações na secção de frequência de regras
• Título do alerta – título apresentado com alertas acionados pela regra; deve ser exclusivo e em texto simples. As cadeias são limpas para fins de segurança para que HTML, Markdown e outro código não funcionem. Todos os URLs incluídos no título devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
• Gravidade – risco potencial do componente ou atividade identificado pela regra.
• Categoria – componente ou atividade de ameaças identificados pela regra.
• MITRE ATT&técnicas CK – uma ou mais técnicas de ataque identificadas pela regra como documentadas na arquitetura MITRE ATT&CK. Esta secção está oculta para determinadas categorias de alertas, incluindo software maligno, ransomware, atividade suspeita e software indesejável.
• Relatório de análise de ameaças – ligue o alerta gerado a um relatório de análise de ameaças existente para que apareça no separador Incidentes relacionados na análise de ameaças.
• Descrição – mais informações sobre o componente ou atividade identificados pela regra. As cadeias são limpas para fins de segurança para que HTML, Markdown e outro código não funcionem. Todos os URLs incluídos na descrição devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
• Ações recomendadas – ações adicionais que os participantes podem tomar em resposta a um alerta.

Frequência de regra

Quando guarda uma nova regra, esta é executada e verifica se existem correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos, aplicando um período de pesquisa com base na frequência que escolher:

• A cada 24 horas – é executada a cada 24 horas, verificando os dados dos últimos 30 dias.
• A cada 12 horas – é executada a cada 12 horas, verificando os dados das últimas 48 horas.
• A cada 3 horas - é executado a cada 3 horas, verificando os dados das últimas 12 horas.
• A cada hora – é executado de hora a hora, verificando os dados das últimas 4 horas.
• Contínua (NRT) – é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT), veja Frequência contínua (NRT).
• Personalizado – é executado de acordo com a frequência que selecionou. Esta opção está disponível se a regra se basear apenas em dados que são ingeridos para Microsoft Sentinel. Veja Frequência personalizada para dados de Microsoft Sentinel (Pré-visualização).

Quando edita uma regra, as alterações são aplicadas na hora de execução seguinte agendada de acordo com a frequência que definiu. A frequência da regra baseia-se no carimbo de data/hora do evento e não na hora da ingestão. Também podem existir pequenos atrasos em execuções específicas, em que a frequência configurada não é 100% precisa.

Frequência contínua (NRT)

Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização de recursos e, por conseguinte, deve ser considerada para qualquer regra de deteção personalizada qualificada na sua organização.

Na página regras de deteção personalizadas, pode migrar regras de deteção personalizadas que se ajustem à frequência Contínua (NRT) com um único botão, Migrar agora:

Selecionar Migrar agora fornece-lhe uma lista de todas as regras compatíveis de acordo com a consulta KQL. Pode optar por migrar todas ou regras selecionadas apenas de acordo com as suas preferências:

Depois de selecionar Guardar, a frequência das regras selecionadas é atualizada para a frequência Contínua (NRT).

Consultas que pode executar continuamente

Pode executar uma consulta continuamente, desde que:

• A consulta referencia apenas uma tabela.
• A consulta utiliza um operador da lista de funcionalidades de KQL Suportadas. (Para matches regex, as expressões regulares têm de ser codificadas como literais de cadeia e seguir as regras de citação de cadeias. Por exemplo, a expressão \A regular é representada no KQL como "\\A". A barra invertida extra indica que a outra barra invertida faz parte da expressão \Aregular .)
• A consulta não utiliza associações, uniões ou o externaldata operador.
• A consulta não inclui nenhuma linha/informação de comentários.

Tabelas que suportam a frequência Contínua (NRT)

As deteções quase em tempo real são suportadas para as seguintes tabelas:

• AlertEvidence
• CloudAppEvents
• DeviceEvents
• DeviceFileCertificateInfo
• DeviceFileEvents
• DeviceImageLoadEvents
• DeviceLogonEvents
• DeviceNetworkEvents
• DeviceNetworkInfo
• DeviceInfo
• DeviceProcessEvents
• DeviceRegistryEvents
• EmailAttachmentInfo
• EmailEvents (exceto LatestDeliveryLocation e LatestDeliveryAction colunas)
• EmailPostDeliveryEvents
• EmailUrlInfo
• IdentityDirectoryEvents
• IdentityLogonEvents
• IdentityQueryEvents
• UrlClickEvents

Frequência personalizada para dados de Microsoft Sentinel (Pré-visualização)

Microsoft Sentinel clientes integrados no Microsoft Defender podem selecionar Frequência personalizada quando a regra se baseia apenas em dados que são ingeridos para Microsoft Sentinel.

Quando seleciona esta opção de frequência, é apresentada a consulta Executar todos os componentes de entrada. Escreva a frequência pretendida para a regra e utilize a lista pendente para selecionar as unidades: minutos, horas ou dias. O intervalo suportado é qualquer valor entre 5 minutos e 14 dias. Quando seleciona uma frequência, o período de procura é determinado automaticamente com a seguinte lógica:

1. Para as deteções definidas para execução com mais frequência do que uma vez por dia, a pesquisa é quatro vezes superior à frequência. Por exemplo, se a frequência for de 20 minutos, a pesquisa é de 80 minutos.
2. Para deteções definidas para serem executadas uma vez por dia ou menos frequentemente, a pesquisa é de 30 dias. Por exemplo, se estiver definida para ser executada a cada três dias, a pesquisa é de 30 dias

3. Definir detalhes de melhoramento de alertas

Pode enriquecer os alertas ao fornecer e definir mais detalhes, permitindo-lhe:

• Criar um título e descrição de alerta dinâmico
• Adicionar detalhes personalizados a apresentar no painel lateral do alerta
• Associar entidades

Criar um título e descrição de alerta dinâmico (Pré-visualização)

Pode criar dinamicamente o título e a descrição do alerta com os resultados da consulta para torná-los precisos e indicativos. Esta funcionalidade pode aumentar a eficiência dos analistas do SOC ao triagem de alertas e incidentes e ao tentar compreender rapidamente a essência de um alerta.

Para configurar dinamicamente o título ou descrição do alerta, integre-os na secção Detalhes do alerta ao utilizar os nomes de texto gratuitos das colunas disponíveis nos resultados da consulta e que os rodeiam com parênteses duplos.

Por exemplo: User {{AccountName}} unexpectedly signed in from {{Location}}

Para o ajudar a decidir os nomes exatos das colunas que pretende referenciar, pode selecionar Explorar consulta e resultados, o que abre o painel de contexto Investigação avançada sobre o assistente de criação de regras, onde pode examinar a lógica de consulta e os respetivos resultados.

Adicionar detalhes personalizados (Pré-visualização)

Pode melhorar ainda mais a produtividade dos analistas do SOC ao mostrar detalhes importantes no painel do lado do alerta. Pode ver os dados dos eventos em alertas criados a partir desses eventos. Esta funcionalidade dá aos analistas do SOC visibilidade imediata dos conteúdos dos eventos dos incidentes, permitindo-lhes fazer a triagem, investigar e tirar conclusões mais rapidamente.

Na secção Detalhes personalizados , adicione pares chave-valor correspondentes aos detalhes que pretende ver:

• No campo Chave , introduza um nome à sua escolha que seja apresentado como o nome do campo nos alertas.
• No campo Parâmetro , selecione o parâmetro de evento que pretende apresentar nos alertas da lista pendente. Esta lista é preenchida por valores correspondentes aos nomes das colunas que a consulta KQL produz.

A seguinte captura de ecrã mostra como os detalhes personalizados são apresentados no painel lateral do alerta:

Associar entidades

Identifique as colunas nos resultados da consulta onde espera encontrar a principal entidade afetada ou impactada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress ou SenderMailFromAddress) e do destinatário (RecipientEmailAddress). Identificar quais dessas colunas representam a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.

Você pode selecionar apenas uma coluna para cada tipo de entidade (caixa de correio, usuário ou dispositivo). Não pode selecionar colunas que não são devolvidas pela consulta.

Mapeamento de entidades expandido (Pré-visualização)

Pode ligar uma vasta gama de tipos de entidade aos seus alertas. Ligar mais entidades ajuda os nossos alertas do grupo de motores de correlação aos mesmos incidentes e a correlacionar incidentes em conjunto. Se for um cliente Microsoft Sentinel, isto também significa que pode mapear qualquer entidade das origens de dados de terceiros que são ingeridas no Microsoft Sentinel.

Para Microsoft Defender XDR dados, as entidades são selecionadas automaticamente. Se os dados forem de Microsoft Sentinel, tem de selecionar as entidades manualmente.

Existem duas secções na secção Mapeamento de entidades expandida para a qual pode selecionar entidades:

• Recursos afetados – adicione recursos afetados que aparecem nos eventos selecionados. Podem ser adicionados os seguintes tipos de recursos:
  • Conta
  • Dispositivo
  • Mailbox
  • Aplicação na cloud
  • Recurso do Azure
  • Recurso amazon Web Services
  • Recurso do Google Cloud Platform
• Provas relacionadas – adicione não os valores que aparecem nos eventos selecionados. Os tipos de entidade suportados são:
  • Processo
  • Arquivo
  • Valor do Registro
  • IP
  • Aplicação OAuth
  • DNS
  • Grupo de segurança
  • URL
  • Cluster de correio
  • Mensagem de correio

Depois de selecionar um tipo de entidade, selecione um tipo de identificador que exista nos resultados da consulta selecionada para que possa ser utilizado para identificar esta entidade. Cada tipo de entidade tem uma lista de identificadores suportados, conforme mostrado no menu pendente relevante. Leia a descrição apresentada ao pairar o cursor sobre cada identificador para melhor compreendê-la.

Depois de selecionar o identificador, selecione uma coluna nos resultados da consulta que contém o identificador selecionado. Selecione Explorar consulta e resultados para abrir o painel de contexto de investigação avançado. Esta opção permite-lhe explorar a consulta e os resultados para se certificar de que escolhe a coluna certa para o identificador selecionado.

4. Especificar ações

Se a regra de deteção personalizada utilizar Defender XDR dados, pode efetuar automaticamente ações em dispositivos, ficheiros, utilizadores ou e-mails devolvidos pela consulta.

Ações em dispositivos

Essas ações são aplicadas a dispositivos na coluna DeviceId dos resultados da consulta:

• Isolar dispositivo – utiliza Microsoft Defender para Ponto de Extremidade para aplicar isolamento de rede completo, impedindo que o dispositivo se ligue a qualquer aplicação ou serviço. Saiba mais sobre Microsoft Defender para Ponto de Extremidade isolamento da máquina.
• Recolher pacote de investigação – recolhe informações do dispositivo num ficheiro ZIP. Saiba mais sobre o pacote de investigação Microsoft Defender para Ponto de Extremidade.
• Executar análise antivírus – executa uma análise completa do Antivírus Microsoft Defender no dispositivo.
• Iniciar investigação – inicia uma investigação automatizada no dispositivo.
• Restringir a execução de aplicações – define restrições no dispositivo para permitir que apenas os ficheiros assinados com um certificado emitido pela Microsoft sejam executados. Saiba mais sobre as restrições de aplicações com Microsoft Defender para Ponto de Extremidade.

Ações em arquivos

• Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. Os ficheiros de bloqueio só são permitidos se tiver permissões de Remediação para ficheiros e se os resultados da consulta tiverem identificado um ID de ficheiro, como um SHA1. Quando um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio é aplicado, mas não dispositivos específicos.

• Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na SHA1coluna , InitiatingProcessSHA1, SHA256ou InitiatingProcessSHA256 dos resultados da consulta. Esta ação exclui o arquivo de seu local atual e coloca uma cópia na quarentena.

Ações sobre os usuários

• Quando selecionada, a ação Marcar usuário como comprometido é executada nos usuários na coluna AccountObjectId, InitiatingProcessAccountObjectId ou RecipientObjectId dos resultados da consulta. Esta ação define o nível de risco dos utilizadores como "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.

• Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.

• Selecione Forçar reposição de palavra-passe para pedir ao utilizador para alterar a palavra-passe na sessão de início de sessão seguinte.

• Disable user As opções e Force password reset requerem o SID do utilizador, que estão nas colunas AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

Para obter mais informações sobre as ações do utilizador, veja Remediation actions in Microsoft Defender para Identidade (Ações de remediação no Microsoft Defender para Identidade).

Ações em e-mails

• Se a deteção personalizada criar mensagens de e-mail, pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (qualquer uma das pastas Lixo, Caixa de Entrada ou Itens eliminados ). Especificamente, pode mover resultados de e-mail de itens em quarentena (por exemplo, no caso de falsos positivos) ao selecionar a opção Caixa de Entrada .

  

• Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).

As colunas e RecipientEmailAddress têm de estar presentes NetworkMessageId nos resultados de saída da consulta para aplicar ações a mensagens de e-mail.

5. Definir o escopo da regra

Defina o âmbito para especificar os dispositivos que a regra abrange. O escopo influencia as regras que verificam os dispositivos e não afeta as regras que verificam apenas caixas de correio e contas ou identidades de usuários.

Ao definir o escopo, você pode selecionar:

• Todos os dispositivos
• Grupos de dispositivos específicos

A regra consulta os dados apenas dos dispositivos no âmbito. Efetua ações apenas nesses dispositivos.

6. Analisar e ativar a regra

Depois de analisar a regra, selecione Criar para salvá-la. A regra de detecção personalizada é executada imediatamente. É executada novamente com base na frequência configurada para marcar para correspondências, gerar alertas e tomar medidas de resposta.

Como as deteções personalizadas processam alertas duplicados

Uma consideração importante ao criar e rever regras de deteção personalizadas é ruído de alerta e fadiga. Grupo de deteções personalizadas e eliminação de duplicados de eventos num único alerta. Se uma deteção personalizada for acionada duas vezes num evento que contenha as mesmas entidades, detalhes personalizados e detalhes dinâmicos, cria apenas um alerta para ambos os eventos. Se a deteção reconhecer que os eventos são idênticos, regista apenas um dos eventos no alerta criado e, em seguida, trata dos duplicados, o que pode ocorrer quando o período de procura é maior do que a frequência. Se os eventos forem diferentes, a deteção personalizada regista ambos os eventos no alerta.

Confira também

• Visão geral de detecções personalizadas
• Gerir deteções personalizadas
• Visão geral da busca avançada
• Conhecer a linguagem de consulta de busca avançada
• Migrar consultas de investigação avançadas do Microsoft Defender para Ponto de Extremidade
• API de segurança do Microsoft Graph para deteções personalizadas