Excluir regras de análise da correlação no Microsoft Defender XDR (pré-visualização)

Este artigo explica como excluir regras de análise específicas do motor de correlação Microsoft Defender XDR. Esta funcionalidade ajuda as organizações a migrar do Microsoft Sentinel a manter o comportamento previsível dos incidentes e a garantir a compatibilidade com os fluxos de trabalho de automatização existentes.

Descrição geral

Microsoft Defender XDR agrupa múltiplos alertas e incidentes em histórias de ataque unificadas. Embora esta capacidade forneça informações de segurança avançadas, pode levar a um comportamento inesperado para as organizações que migram de Microsoft Sentinel, em que os incidentes são estáticos e determinados exclusivamente pelas configurações de regras de análise.

Ao excluir regras de análise específicas da correlação, pode garantir que os alertas gerados por essas regras ignoram o motor de correlação e agrupam-se em incidentes exatamente como em Microsoft Sentinel — com base apenas na configuração de agrupamento da regra de análise.

Para saber mais sobre como funciona a correlação no Microsoft Defender XDR, veja Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender.

Pré-requisitos

Para excluir regras de análise da correlação, precisa das seguintes permissões:

Microsoft Sentinel Utilizadores Contribuidores com esta função de Azure podem gerir Microsoft Sentinel dados da área de trabalho SIEM, incluindo alertas e deteções.

Como funciona a exclusão

Quando exclui uma regra de análise da correlação:

• Qualquer alerta gerado por essa regra ignora o motor de correlação
• Os alertas são agrupados em incidentes com base apenas na configuração de agrupamento da regra de análise
• O comportamento corresponde à forma como os incidentes foram criados no Microsoft Sentinel
• A regra funciona independentemente da lógica de correlação que normalmente cria histórias de ataque

Esta exclusão é controlada ao adicionar a #DONT_CORR# etiqueta ao início da descrição da regra.

Excluir uma regra da correlação com a IU

Pode excluir uma regra de análise da correlação com um botão de alternar no assistente de regras de análise.

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. Navegue para o Assistente de regras de análise.

3. No separador Geral do assistente de regras, introduza e nome e descrição.

4. No separador Definir lógica de regra , configure a lógica da regra conforme necessário.

5. No separador Definições do incidente , certifique-se de que a opção Ativar correlação está definida como Desativado.

   

6. Defina o botão de alternar para Ativado para excluir a regra da correlação.

Quando exclui uma regra com o botão de alternar da IU, a #DONT_CORR# etiqueta é adicionada automaticamente ao início da descrição da regra. A vista de regras de análise inclui agora uma coluna para o estado de correlação, para que possa ver facilmente que regras são excluídas, bem como filtrar a lista para ver regras num estado específico.

Excluir uma regra da correlação manualmente

Pode adicionar ou remover manualmente a #DONT_CORR# etiqueta para controlar o estado de correlação de uma regra de análise.

Adicionar a etiqueta manualmente

1. Abra a regra de análise no modo de edição.

2. No campo Descrição da regra, adicione #DONT_CORR# no início do texto.

3. Guarde a regra.

Controlar a exclusão de correlação através da API

Pode controlar programaticamente o estado de exclusão das regras de análise ao adicionar ou remover a #DONT_CORR# etiqueta através da API de análise.

Para modificar o estado de correlação de uma regra:

1. Utilize a API Microsoft Defender XDR para obter a configuração atual da regra.

2. Adicione ou remova a #DONT_CORR# etiqueta no início do campo de descrição da regra.

3. Atualize a regra com a API.

Para obter mais informações sobre como utilizar a API de Microsoft Defender XDR, veja Descrição geral Microsoft Defender XDR APIs.

Considerações importantes

Tenha em atenção os seguintes pontos ao utilizar a exclusão de correlação:

• O estado de correlação corresponde sempre à etiqueta. Se excluir uma regra com a IU e, em seguida, remover manualmente a #DONT_CORR# etiqueta da descrição, o estado de correlação da regra reverterá para Correlação ativada.

• Todas as regras de análise têm a correlação ativada por predefinição, a menos que sejam explicitamente excluídas.

• Mesmo quando uma regra é excluída da correlação, se uma regra de análise for definida com um título dinâmico, o título do incidente no portal do Defender poderá ser diferente do título em Microsoft Sentinel. O título Microsoft Sentinel é o título do primeiro alerta e, no Defender, retorquiu-se à tática MITRE comum de todos os alertas.

• Alterar o estado de correlação de uma regra não afeta os alertas que foram criados antes da alteração. Os alertas recebem o estado de correlação quando são criados e este estado permanece estático.

• O motor de correlação foi concebido para criar histórias de ataque completas e ajuda significativamente os analistas do SOC a compreender os ataques e a responder de forma eficiente. Excluir apenas regras da correlação quando necessário para requisitos empresariais ou operacionais específicos.

• Regras de formatação de etiquetas

  • Não sensível a maiúsculas e minúsculas – pode utilizar qualquer combinação de letras maiúsculas e minúsculas (por exemplo, #dont_corr# ou #DONT_CORR#).
  • O espaçamento é flexível – pode adicionar qualquer número de espaços entre a etiqueta e o resto da descrição ou nenhum espaço.
  • Tem de estar no início – a etiqueta tem de aparecer no início do campo de descrição.

Por exemplo, as seguintes descrições são todas válidas:

• #DONT_CORR# Esta regra deteta tentativas de início de sessão suspeitas
• #dont_corr# Esta regra monitoriza as modificações de ficheiros
• #DONT_CORR#This regra não tem espaço após a etiqueta

Passos seguintes

• Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender
• Criar regras de deteção personalizadas
• Gerir deteções personalizadas
• Gerir incidentes no Microsoft Defender