Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
As deteções personalizadas são agora a melhor forma de criar novas regras nos Microsoft Defender XDR SIEM do Microsoft Sentinel. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.
Importante
A nova versão da regra de análise do Fusion está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina, para detetar automaticamente ataques em vários estágios, identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de ataque. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detetar. Estes incidentes compreendem dois ou mais alertas ou atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.
Personalizada para o seu ambiente, essa tecnologia de deteção não só reduz as taxas de falsos positivos , mas também pode detetar ataques com informações limitadas ou ausentes.
Configurar as regras de Fusão
Essa deteção é habilitada por padrão no Microsoft Sentinel. Para verificar ou alterar seu status, use as seguintes instruções:
Entre no portal do Azure e digite Microsoft Sentinel.
No menu de navegação do Microsoft Sentinel, selecione Analytics.
Selecione a guia Regras ativas e localize Deteção avançada de ataque de vários estágios na coluna NOME , filtrando a lista para o tipo de regra do Fusion . Verifique a coluna STATUS para confirmar se essa deteção está habilitada ou desabilitada.
Para alterar o status, selecione esta entrada. No painel de visualização Deteção Avançada de Ataques Multiestágios , selecione Editar.
Na guia Geral do assistente de regras do Google Analytics, anote o status (Ativado/Desativado) ou altere-o, se desejar.
Se você alterar o status, mas não tiver mais alterações a fazer, selecione a guia Revisar e atualizar e selecione Salvar.
Para configurar ainda mais a regra de deteção do Fusion, selecione Avançar: Configurar o Fusion.
Configurar sinais de origem para deteção do Fusion: recomendamos que você inclua todos os sinais de origem listados, com todos os níveis de gravidade, para obter o melhor resultado. Por padrão, todos eles já estão incluídos, mas você tem a opção de fazer alterações das seguintes maneiras:
Nota
Se você excluir um sinal de origem específico ou um nível de gravidade de alerta, as deteções do Fusion que dependem de sinais dessa fonte ou de alertas correspondentes a esse nível de gravidade não serão acionadas.
Exclua sinais de deteções do Fusion, incluindo anomalias, alertas de vários provedores e logs brutos.
Caso de uso: Se você estiver testando uma fonte de sinal específica conhecida por produzir alertas barulhentos, poderá desativar temporariamente os sinais dessa fonte de sinal específica para deteções do Fusion.
Configurar a severidade do alerta para cada fornecedor: por design, o modelo Fusion ML correlaciona sinais de baixa fiabilidade em um único incidente de alta gravidade com base em sinais anômalos em toda a cadeia de eliminação de várias fontes de dados. Os alertas incluídos no Fusion são de menor gravidade (média, baixa, informativa), mas ocasionalmente alertas relevantes de alta gravidade são incluídos.
Caso de uso: Se você tiver um processo separado para triagem e investigação de alertas de alta gravidade e preferir não incluir esses alertas no Fusion, poderá configurar os sinais de origem para excluir alertas de alta gravidade das deteções do Fusion.
Exclua padrões de deteção específicos da deteção do Fusion. Determinadas deteções do Fusion podem não ser aplicáveis ao seu ambiente ou podem ser propensas a gerar falsos positivos. Se quiser excluir um padrão de deteção específico do Fusion, siga as instruções abaixo:
Localize e abra um incidente do Fusion do tipo que você deseja excluir.
Na seção Descrição, selecione Mostrar mais.
Em Excluir este padrão de deteção específico, selecione o link de exclusão, que o redireciona para a guia Configurar o Fusion no assistente de regra de análise.
Na guia Configurar o Fusion, você verá que o padrão de deteção — uma combinação de alertas e anomalias em um incidente do Fusion — foi adicionado à lista de exclusão, juntamente com a hora em que o padrão de deteção foi adicionado.
Você pode remover um padrão de deteção excluído a qualquer momento selecionando o ícone da lixeira nesse padrão de deteção.
Os incidentes que correspondem aos padrões de deteção excluídos ainda são acionados, mas não aparecem na fila de incidentes ativos. Eles são preenchidos automaticamente com os seguintes valores:
Estado: "Fechado"
Classificação de encerramento: "Indeterminado"
Comentário: "Padrão de deteção Fusion fechado automaticamente, excluído"
Tag: "ExcludedFusionDetectionPattern" - você pode consultar essa tag para visualizar todos os incidentes correspondentes a esse padrão de deteção.
Nota
Atualmente, o Microsoft Sentinel usa 30 dias de dados históricos para treinar os sistemas de aprendizado de máquina. Esses dados são sempre criptografados com as chaves da Microsoft à medida que passam pelo pipeline de aprendizado de máquina. No entanto, os dados de treino não são criptografados com Chaves Geridas pelo Cliente (CMK) se ativar a CMK na área de trabalho do Microsoft Sentinel. Para desativar o Fusion, vá para Regras ativas do Microsoft Sentinel>Configuration>Analytics>, clique com o botão direito do mouse na regra Advanced Multistage Attack Detection e selecione Desativar.
Configurar regras de análise agendadas para deteções do Fusion
Importante
A deteção baseada em fusão usando alertas de regra de análise está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Fusion deteta ataques de vários estágios baseados em cenários e ameaças emergentes usando alertas gerados por regras de análise agendadas. Para aproveitar ao máximo os recursos do Microsoft Sentinel Fusion, siga as etapas a seguir para configurar e habilitar essas regras.
O Fusion para ameaças emergentes usa alertas gerados por quaisquer regras de análise programadas que contenham informações de kill-chain (táticas) e mapeamento de entidades. Para garantir que o Fusion possa usar a saída de uma regra de análise para detetar ameaças emergentes:
Revise o mapeamento de entidades para essas regras agendadas. Use a seção de configuração de mapeamento de entidade para mapear parâmetros dos resultados da consulta para entidades reconhecidas pelo Microsoft Sentinel. Como o Fusion correlaciona alertas com base em entidades (como conta de usuário ou endereço IP), seus algoritmos de ML não podem executar a correspondência de alertas sem as informações da entidade.
Analise as táticas e técnicas nos detalhes da regra de análise. O algoritmo Fusion ML usa informações MITRE ATT&CK para detetar ataques em vários estágios, e as táticas e técnicas com as quais você rotula as regras de análise aparecem nos incidentes resultantes. Os cálculos de fusão podem ser afetados se os alertas recebidos estiverem faltando informações táticas.
O Fusion também pode detetar ameaças baseadas em cenários usando regras baseadas nos seguintes modelos de regras de análise agendadas.
Para habilitar as consultas disponíveis como modelos na página Análise, vá para a guia Modelos de regra, selecione o nome da regra na galeria de modelos e selecione Criar regra no painel de detalhes.
- Cisco - firewall bloqueia, mas logon bem-sucedido no Microsoft Entra ID
- Fortinet - Padrão de beacon detetado
- IP com vários logins do Microsoft Entra com falha com sucesso faz login no Palo Alto VPN
- Redefinição de senha múltipla por usuário
- Consentimento de aplicação raro
- SharePointFileOperation através de IPs inéditos
- Implantação de recursos suspeitos
- Assinaturas de ameaças de Palo Alto de endereços IP incomuns
Para adicionar consultas que não estão atualmente disponíveis como um modelo de regra, consulte Criar uma regra de análise personalizada a partir do zero.
Para obter mais informações, consulte Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules.
Nota
Para o conjunto de regras de análise agendadas usadas pelo Fusion, o algoritmo de ML faz correspondência difusa para as consultas KQL fornecidas nos modelos. Renomear os modelos não afeta as deteções do Fusion.
Próximos passos
Saiba mais sobre as deteções do Fusion no Microsoft Sentinel.
Saiba mais sobre as muitas deteções do Fusion baseadas em cenários.
Agora que você sabe mais sobre a deteção avançada de ataques em vários estágios, talvez esteja interessado no seguinte guia de início rápido para saber como obter visibilidade de seus dados e ameaças potenciais: Introdução ao Microsoft Sentinel.
Se você estiver pronto para investigar os incidentes criados para você, consulte o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.