Partilhar via

Obtenha recomendações de ajuste fino para suas regras de análise no Microsoft Sentinel

Importante

As deteções personalizadas são agora a melhor forma de criar novas regras nos Microsoft Defender XDR SIEM do Microsoft Sentinel. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.

Importante

O ajuste de deteção está atualmente em PREVISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O ajuste fino das regras de deteção de ameaças em seu SIEM pode ser um processo difícil, delicado e contínuo de equilíbrio entre maximizar a cobertura de deteção de ameaças e minimizar as taxas de falsos positivos. O Microsoft Sentinel simplifica e agiliza esse processo usando aprendizado de máquina para analisar bilhões de sinais de suas fontes de dados, bem como suas respostas a incidentes ao longo do tempo, deduzindo padrões e fornecendo recomendações e insights acionáveis que podem reduzir significativamente sua sobrecarga de ajuste e permitir que você se concentre em detetar e responder a ameaças reais.

O ajuste de recomendações e insights agora está incorporado às suas regras de análise. Este artigo explicará o que esses insights mostram e como você pode implementar as recomendações.

Exibir informações sobre regras e recomendações de ajuste

Para ver se o Microsoft Sentinel tem alguma recomendação de ajuste para alguma das suas regras de análise, selecione Analytics no menu de navegação do Microsoft Sentinel.

Quaisquer regras que tenham recomendações exibirão um ícone de lâmpada, como mostrado aqui:

Captura de ecrã da lista de regras de análise com indicador de recomendação.

Edite a regra para exibir as recomendações junto com os outros insights. Eles aparecerão juntos no separador Definir Lógica de Regra do assistente de regras analíticas, abaixo da exibição de Simulação de Resultados.

Captura de tela do ajuste de insights na regra de análise.

Tipos de percepções

A exibição de insights de ajuste consiste em vários painéis que você pode rolar ou passar o dedo, cada um mostrando algo diferente. O período de tempo - 14 dias - para o qual os insights são exibidos é mostrado na parte superior do quadro.

  1. O primeiro painel de informações exibe algumas informações estatísticas - o número médio de alertas por incidente, o número de incidentes abertos e o número de incidentes fechados, agrupados por classificação (verdadeiro/falso positivo). Essa perceção ajuda você a descobrir a carga nessa regra e entender se algum ajuste é necessário - por exemplo, se as configurações de agrupamento precisam ser ajustadas.

    Captura de tela da análise de eficiência da regra.

    Essa perceção é o resultado de uma consulta do Log Analytics. Selecionar Alertas médios por incidente levará você à consulta no Log Analytics que produziu o insight. Seleccionar Incidentes em aberto irá direcioná-lo para a folha Incidentes.

  2. O segundo painel de informações recomenda uma lista de entidades a serem excluídas. Essas entidades estão altamente correlacionadas com incidentes que encerraste e classificaste como falso positivo. Selecione o sinal de adição ao lado de cada entidade listada para excluí-la da consulta em execuções futuras desta regra.

    Captura de ecrã da recomendação de exclusão da entidade.

    Esta recomendação é produzida pelos modelos avançados de ciência de dados e aprendizagem automática da Microsoft. A inclusão deste painel na exibição de insights de ajuste depende da existência de recomendações a serem exibidas.

  3. O terceiro painel de informações mostra as quatro entidades mapeadas que aparecem com mais frequência em todos os alertas produzidos por essa regra. O mapeamento de entidades deve ser configurado na regra para que essa perceção produza quaisquer resultados. Essa perceção pode ajudá-lo a tomar conhecimento de quaisquer entidades que estão "ocupando os holofotes" e desviando a atenção de outras. Você pode querer lidar com essas entidades separadamente em uma regra diferente, ou você pode decidir que elas são falsos positivos ou ruído de outra forma, e excluí-las da regra.

    Captura de ecrã da visão das principais entidades.

    Essa perceção é o resultado de uma consulta do Log Analytics. A seleção de qualquer uma das entidades levará você à consulta no Log Analytics que produziu o insight.

Próximos passos

Para obter mais informações, consulte:

  • Last updated on