Monitore a integridade e audite a integridade de suas regras de análise

Para garantir uma deteção de ameaças abrangente, ininterrupta e sem manipulação no seu serviço Microsoft Sentinel, acompanhe a saúde e a integridade das suas regras de análise. Mantenha-os funcionando de forma otimizada monitorando suas perceções de execução, consultando os logs de integridade e auditoria e usando a repetição manual para testar e otimizar suas regras.

Configure notificações de eventos de integridade e auditoria para as partes interessadas relevantes, que podem então tomar medidas. Por exemplo, defina e envie mensagens de e-mail ou do Microsoft Teams, crie novos tíquetes em seu sistema de tíquetes e assim por diante.

Este artigo descreve como usar os recursos de auditoria e monitoramento de integridade do Microsoft Sentinel para acompanhar a integridade e a integridade de suas regras de análise no Microsoft Sentinel.

Para obter informações sobre insights de regras e repetição manual de regras, consulte Monitorar e otimizar a execução de suas regras de análise agendadas.

Resumo

• Logs de integridade da regra de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram a execução de regras de análise e o resultado final dessas execuções — se elas foram bem-sucedidas ou falharam e, se falharam, por quê.
  • O log também registra, para cada execução de uma regra de análise:
    • Quantos eventos a consulta da regra capturou.
    • Se o número de eventos ultrapassou o limite definido na regra, fazendo com que a regra dispare um alerta.

  Esses logs são coletados na tabela SentinelHealth no Log Analytics.

• Logs de auditoria de regras de análise do Microsoft Sentinel:

  • Esse log captura eventos que registram alterações feitas em qualquer regra de análise, incluindo os seguintes detalhes:
    • O nome da regra que foi alterada.
    • Quais propriedades da regra foram alteradas.
    • O estado das configurações da regra antes e depois da alteração.
    • O usuário ou identidade que fez a alteração.
    • O IP de origem e a data/hora da alteração.
    • ... e muito mais.

  Esses logs são coletados na tabela SentinelAudit no Log Analytics.

Utilizar as tabelas de dados SentinelHealth e SentinelAudit

Para obter dados de auditoria e integridade das tabelas descritas anteriormente, você deve primeiro ativar o recurso de integridade do Microsoft Sentinel para seu espaço de trabalho. Para obter mais informações, consulte Ativar auditoria e monitoramento de integridade para o Microsoft Sentinel.

Quando o recurso de integridade é ativado, a tabela de dados do SentinelHealth é criada no primeiro evento de sucesso ou falha gerado para suas regras e playbooks de automação.

Compreender os eventos da tabela SentinelHealth e SentinelAudit

A tabela SentinelHealth regista os seguintes tipos de eventos de integridade de regras de análise:

• Execução de regra de análise agendada.
• Execução da regra de análise NRT.

Para obter mais informações, consulte Esquema de colunas da tabela SentinelHealth.

A tabela SentinelAudit registra os seguintes tipos de eventos de auditoria de regras de análise:

• Criar ou atualizar regra de análise.
• Regra de análise excluída.

Para obter mais informações, consulte Esquema de colunas da tabela SentinelAudit.

Executar consultas para detetar problemas de integridade e integridade

Para obter melhores resultados, crie suas consultas nas funções pré-criadas para essas tabelas, _SentinelHealth() e _SentinelAudit(), em vez de consultar as tabelas diretamente. Essas funções mantêm a compatibilidade com versões anteriores de suas consultas se forem feitas alterações no esquema das tabelas.

Como primeiro passo, filtre as tabelas em busca de dados relacionados às regras de análise. Use o SentinelResourceType parâmetro.

_SentinelHealth()
| where SentinelResourceType == "Analytics Rule"

Se desejar, você pode filtrar ainda mais a lista para um tipo específico de regra de análise. Use o SentinelResourceKind parâmetro para isso.

| where SentinelResourceKind == "Scheduled"

# OR

| where SentinelResourceKind == "NRT"

Aqui estão alguns exemplos de consultas para ajudá-lo a começar:

• Encontre regras que são "autodisabled":

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | where Reason == "The analytics rule is disabled and was not executed."
  

• Conte as regras e execuções que tiveram sucesso ou falharam, por motivo:

  _SentinelHealth()
  | where SentinelResourceType == "Analytics Rule"
  | summarize Occurrence=count(), Unique_rule=dcount(SentinelResourceId) by Status, Reason
  

• Localizar atividade de exclusão de regra:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | where Description =="Analytics rule deleted"
  

• Encontre atividade em regras, por nome da regra e nome da atividade:

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | summarize Count= count() by RuleName=SentinelResourceName, Activity=Description
  

• Encontre a atividade nas regras, pelo nome do chamador (a identidade que executou a atividade):

  _SentinelAudit()
  | where SentinelResourceType =="Analytic Rule"
  | extend Caller= tostring(ExtendedProperties.CallerName)
  | summarize Count = count() by Caller, Activity=Description
  

Veja mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:

• em que operador
• Operador de resumo
• função tostring()
• função de agregação count()
• Função de agregação dcount()

Para obter mais informações sobre o KQL, consulte Visão geral da Kusto Query Language (KQL).

Outros recursos:

• Referência Rápida da KQL
• Kusto Query Recursos de aprendizagem de línguas

Regras programadas

Quando uma regra de agendamento falha, ela é repetida mais cinco vezes exatamente na mesma janela. A regra não ignora a janela nem perde um alerta, desde que uma das seis tentativas tenha sucesso.

A falha em uma das seis tentativas indica um atraso no acionamento do alerta. A consulta a seguir calcula o atraso exato:

_SentinelHealth()
| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), executionStart = todatetime(ExtendedProperties["executionStart"])
| extend delay = datetime_diff('minute', startTime, executionStart)

Para procurar falhas completas (ou seja, uma janela que foi ignorada), use a seguinte consulta:

_SentinelHealth()| where SentinelResourceType == @"Analytics Rule" 
| where SentinelResourceKind == "Scheduled"
| where Status != "Success"
| extend startTime = tostring(ExtendedProperties["QueryStartTimeUTC"])
| summarize failuresByStartTime = count() by startTime, SentinelResourceId
| where failuresByStartTime == 6
| summarize count() by SentinelResourceId

Esta consulta procura execuções de regras de análise agendadas em que nenhuma das seis tentativas foi bem-sucedida. Você pode identificar uma nova tentativa observando a hora de início da janela da regra, já que as novas tentativas sempre olham para a hora de início original. Esta consulta fornece o número de janelas omitidas para cada regra analítica. Esperamos que janelas ignoradas sejam raras. Caso veja que tem regras analíticas com janelas ignoradas, use as consultas para entender o motivo da falha dessas regras específicas e a tabela dos motivos de falhas e atenuações para corrigi-las.

Regras NRT

O mecanismo de repetição para regras NRT se comporta de forma diferente das regras agendadas. Se uma regra falhar ao ser executada, o sistema também considerará a janela com falha na próxima execução (um minuto depois). Esse comportamento continua por até 60 falhas (uma hora).

Como uma falha de uma execução específica reflete apenas um minuto de atraso, não se concentre em falhas individuais. Em vez disso, use a seguinte consulta para monitorar o atraso de cada regra analítica:

_SentinelHealth()
| where SentinelResourceKind == "NRT"
| extend startTime = todatetime(ExtendedProperties["QueryStartTimeUTC"]), endTime = todatetime(ExtendedProperties["QueryEndTimeUTC"]), alertsCreated = toint(ExtendedProperties["AlertsGeneratedAmount"])
| where alertsCreated == 0 
| extend ruleDelay = datetime_diff('minute', endTime, startTime)
| project TimeGenerated, ruleDelay, SentinelResourceId
| render timechart

Você também pode definir uma regra de análise para disparar alertas sobre atrasos significativos (por exemplo, se uma regra NRT tiver um atraso de mais de 10 minutos).

Status, erros e etapas sugeridas

Para execução de regra de análise agendada ou execução de regra de análise NRT, você pode ver qualquer um dos seguintes status e descrições:

• Sucesso: Regra executada com sucesso, gerando <n> alertas.

• Êxito: a regra foi executada com êxito, mas não atingiu o limite (<n>) necessário para gerar um alerta.

• Falha: essas descrições explicam a falha da regra e o que você pode fazer a respeito.

  Description	Remediação
  Ocorreu um erro interno do servidor durante a execução da consulta.
  A execução da consulta atingiu o tempo limite.
  Uma tabela referenciada na consulta não foi encontrada.	Verifique se a fonte de dados relevante está conectada.
  Ocorreu um erro semântico durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Uma função chamada pela consulta é nomeada com uma palavra reservada.	Remova ou renomeie a função.
  Ocorreu um erro de sintaxe durante a execução da consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  O espaço de trabalho não existe.
  Essa consulta usa muitos recursos do sistema e foi impedida de ser executada.	Revise e ajuste a regra de análise. Consulte nossa visão geral do Kusto Query Language e a documentação de práticas recomendadas.
  Uma função chamada pela consulta não foi encontrada.	Verifique a existência em seu espaço de trabalho de todas as funções chamadas pela consulta.
  O espaço de trabalho usado na consulta não foi encontrado.	Verifique se todos os espaços de trabalho na consulta existem.
  Você não tem permissões para executar essa consulta.	Tente redefinir a regra de análise editando-a e salvando-a (sem alterar nenhuma configuração).
  Você não tem permissões de acesso a um ou mais dos recursos na consulta.
  A consulta referia-se a um caminho de armazenamento que não foi encontrado.
  Foi negado à consulta acesso a um caminho de armazenamento.
  Várias funções com o mesmo nome são definidas neste espaço de trabalho.	Remova ou renomeie a função redundante e redefina a regra editando-a e salvando-a.
  Esta consulta não retornou nenhum resultado.
  Vários conjuntos de resultados nesta consulta não são permitidos.
  Os resultados da consulta contêm um número inconsistente de campos por linha.
  A execução da regra foi atrasada devido aos longos tempos de ingestão de dados.
  A execução da regra foi adiada devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas temporários.
  O alerta não foi enriquecido devido a problemas de mapeamento de entidades.
  < entidades de número> foram descartadas no nome<devido ao limite de tamanho do alerta de 32 KB.
  < número> de entidades foram descartadas no nome<devido a problemas de mapeamento de entidade.
  A consulta resultou em <, que excedem o máximo de resultados de limite>agrupamento de eventos de alerta por linha. O alerta por linha foi gerado para os primeiros <eventos de limite 1> e um alerta agregado adicional foi gerado para contabilizar todos os eventos. - <número> = número de eventos retornados pela consulta - <limite> = atualmente 150 alertas para regras programadas, 30 para regras NRT - <tipo> de regra = Programado ou NRT

Usar a pasta de trabalho de auditoria e monitoramento de integridade

1. Para disponibilizar a pasta de trabalho em seu espaço de trabalho, instale a solução de pasta de trabalho do hub de conteúdo do Microsoft Sentinel:

   1. No portal do Microsoft Sentinel, selecione Hub de conteúdo (Visualização) no menu Gerenciamento de conteúdo.

   2. No hub Conteúdo, insira a integridade na barra de pesquisa e selecione Integridade do Google Analytics & Auditoria entre as soluções da pasta de trabalho em Autônomo nos resultados.

      

   3. Selecione Instalar no painel de detalhes e, em seguida, selecione Salvar que aparece em seu lugar.

2. Quando a solução indicar que está instalada, selecione Pastas de trabalho no menu Gerenciamento de ameaças.

   

3. Na galeria Pastas de trabalho, selecione a guia Modelos, insira integridade na barra de pesquisa e selecione Integridade do Google Analytics & Auditoria entre os resultados.

   

4. Selecione Salvar no painel de detalhes para criar uma cópia editável e utilizável da pasta de trabalho. Quando a cópia for criada, selecione Ver livro guardado.

5. Uma vez na pasta de trabalho, primeiro selecione a assinatura e o espaço de trabalho que você deseja exibir (eles podem já estar selecionados) e, em seguida, defina o TimeRange para filtrar os dados de acordo com suas necessidades. Use a alternância Mostrar ajuda para exibir a explicação in-loco da pasta de trabalho.

   

Esta pasta de trabalho tem três abas:

Separador Descrição Geral

A guia Visão geral mostra resumos de integridade e auditoria:

• Resumos de integridade do status da regra de análise é executada no espaço de trabalho selecionado: número de execuções, sucessos e falhas e detalhes de eventos de falha.
• Resumos de auditoria de atividades em regras de análise no espaço de trabalho selecionado: número de atividades ao longo do tempo, número de atividades por tipo e número de atividades de diferentes tipos por regra.

Guia Saúde

A guia Saúde permite explorar eventos de saúde específicos.

• Filtre os dados da página inteira por status (sucesso ou falha) e tipo de regra (agendada ou NRT).
• Veja as tendências de execuções de regras bem-sucedidas e falhadas (dependendo do filtro de status) durante o período de tempo selecionado. Você pode "escovar o tempo" no gráfico de tendência para ver um subconjunto do intervalo de tempo original.
• Filtre o resto da página por motivo.
• Veja o número total de execuções para todas as regras de análise, exibidas proporcionalmente por status em um gráfico de pizza.
• Segue-se uma tabela que mostra o número de regras de análise exclusivas que foram executadas, discriminadas por tipo de regra e estado.
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Veja cada status, com o número de possíveis razões para esse status. (Apenas os motivos representados nas execuções no período de tempo selecionado são mostrados.)
  • Selecione um status para filtrar os gráficos restantes para esse status.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Em seguida, veja uma lista desses motivos, com o número total de execuções de regras combinadas e o número de regras exclusivas que foram executadas.
  • Selecione um motivo para filtrar os gráficos a seguir por esse motivo.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Depois disso, é apresentada uma lista das regras de análise exclusivas que foram executadas, com os resultados mais recentes e as linhas de tendência do seu sucesso e fracasso (dependendo do status selecionado para filtrar a lista).
  • Selecione uma regra para detalhar e mostrar uma nova tabela com todas as execuções dessa regra (no período de tempo selecionado).
  • Limpe essa tabela selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Se selecionar uma regra na lista, aparece uma nova tabela com os detalhes de saúde da regra selecionada.

Guia Auditoria

A guia Auditoria permite detalhar eventos de auditoria específicos.

• Filtre os dados da página inteira por tipo de regra de auditoria (agendada/Fusão).
• Veja as tendências da atividade auditada nas regras de análise ao longo do período selecionado. Você pode "escovar o tempo" no gráfico de tendência para ver um subconjunto do intervalo de tempo original.
• Veja os números de eventos auditados, discriminados por atividade e tipo de regra.
  • Selecione uma atividade para filtrar os gráficos a seguir para essa atividade.
  • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Veja o número de eventos auditados por nome de regra.
  • Selecione um nome de regra para filtrar a tabela a seguir para essa regra e para detalhar e mostrar uma nova tabela com toda a atividade nessa regra (no período selecionado). (Veja depois a captura de tela a seguir.)
  • Limpe o filtro selecionando o ícone "Limpar seleção" (parece um ícone "Desfazer") no canto superior direito do gráfico.
• Veja o número de eventos auditados por chamador (a identidade que executou a atividade).
• Se você selecionou um nome de regra no gráfico anterior, outra tabela será exibida mostrando as atividades auditadas nessa regra. Selecione o valor que aparece como um link na coluna ExtendedProperties para abrir um painel lateral exibindo as alterações feitas na regra.

Próximos passos

• Monitore e otimize a execução de regras de análise no Microsoft Sentinel.
• Saiba mais sobre auditoria e monitoramento de integridade no Microsoft Sentinel.
• Ative a auditoria e o monitoramento de integridade no Microsoft Sentinel.
• Monitore a integridade de suas regras e playbooks de automação.
• Monitore a integridade dos conectores de dados.
• Veja mais informações sobre os esquemas de tabela SentinelHealth e SentinelAudit.