Criar regras de deteção personalizadas no Microsoft Defender XDR

As regras de detecção personalizadas são consultas de busca avançada que você projeta e ajusta para monitorar proativamente vários eventos e estados do sistema, incluindo atividade suspeita de comprometimento e endpoints mal configurados. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.

Permissões necessárias para gerenciar detecções personalizadas

Para gerir deteções personalizadas, precisa de funções com permissões para os dados que estas deteções visam. Por exemplo, para gerenciar detecções personalizadas em várias fontes de dados (Microsoft Defender e Microsoft Sentinel ou várias cargas de trabalho Defender), você precisa de todas as funções Defender e Sentinel aplicáveis. Para obter mais informações, consulte as secções seguintes.

Microsoft Defender XDR

Para gerenciar detecções personalizadas nos dados do Microsoft Defender, você precisa ter uma destas funções atribuída:

  • Configurações de segurança (gerenciar) – os usuários com essa permissão de Microsoft Defender podem gerenciar as configurações de segurança no portal do Microsoft Defender.

  • Administrador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.

  • Operador de Segurança – os utilizadores com esta função Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal do Microsoft Defender. Essa função é suficiente para gerenciar apenas detecções personalizadas se o controle de acesso baseado em função (RBAC) estiver desabilitado no Microsoft Defender para Endpoint. Se tiver o RBAC configurado, também precisa da permissão Gerir Definições de Segurança para o Defender para Endpoint.

Você pode gerenciar detecções personalizadas que se aplicam a dados de soluções de Defender específicas se tiver as permissões certas para elas. Por exemplo, se você tiver apenas permissões de gerenciamento para o Microsoft Defender para Office 365, poderá criar deteções personalizadas usando tabelas Email*, mas não tabelas Identity*.

Da mesma forma, uma vez que a IdentityLogonEvents tabela contém informações de atividade de autenticação do Microsoft Defender para Aplicativos de Nuvem e do Defender para Identidade, tem de ter permissões de gestão para ambos os serviços para gerir as deteções personalizadas que consultam essa tabela.

Observação

Para gerenciar detecções personalizadas, os Operadores de Segurança devem ter a permissão Gerenciar Configurações de Segurança no Microsoft Defender para Ponto de Extremidade se o RBAC estiver habilitado.

Microsoft Sentinel

Para gerenciar detecções personalizadas nos dados do Microsoft Sentinel, é preciso que a função Microsoft Sentinel Contributor ou superior seja atribuída a você. Os usuários com esta função do Azure podem gerenciar os dados do workspace SIEM do Microsoft Sentinel, incluindo alertas e detecções. Você pode atribuir esta função em um workspace primário específico, em um grupo de recursos do Azure ou em uma assinatura inteira.

Gerenciar as permissões necessárias

Para gerir as permissões necessárias, um Administrador Global pode:

  • Atribua a função de Administrador de Segurança ou Operador de Segurança no Centro de administração do Microsoft 365 em Funções>Administrador de Segurança.
  • Verifique as configurações de RBAC do Microsoft Defender para Endpoint no Microsoft Defender XDR em Configurações>Permissões>Funções. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .

Importante

Utilize funções com menos permissões para ajudar a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada. Limite a sua utilização a cenários de emergência quando não pode utilizar uma função existente.

Observação

Um utilizador também precisa das permissões adequadas para os dispositivos no âmbito do dispositivo de uma regra de deteção personalizada que está a criar ou a editar. Um utilizador não pode editar uma regra de deteção personalizada que esteja confinada para ser executada em todos os dispositivos se o utilizador não tiver permissões para todos os dispositivos.

Criar uma regra de deteção personalizada

Pode criar uma regra de deteção personalizada a partir de um dos seguintes pontos de entrada:

  • Em Investigação avançada – aceda a Investigação avançada, prepare e execute a consulta e, em seguida, selecione Criar regra de deteção. Esta abordagem permite-lhe validar os resultados da consulta antes de criar a regra.
  • Na lista de deteções personalizadas — aceda a Regras de deteção personalizadas e selecione + Criar regra de deteção. Esta abordagem abre o assistente de regras diretamente, onde pode escrever ou colar uma consulta e configurar todas as definições de regra num único local.

Independentemente do ponto de entrada que utilizar, siga estes passos para configurar a regra:

  1. Preparar a consulta
  2. Criar uma nova regra e forneça detalhes de alerta
  3. Definir detalhes de melhoramento de alertas
  4. Especificar as ações
  5. Definir o escopo da regra
  6. Revise e ative a regra

1. Preparar a consulta

No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Quando utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados. Se tiver começado a partir da lista de deteções personalizadas ao selecionar + Criar regra de deteção, pode escrever ou colar a consulta diretamente no assistente de regras.

Importante

Para impedir que o serviço devolva demasiados alertas, cada regra pode gerar apenas 150 alertas sempre que for executado. Antes de criar uma regra, ajuste sua consulta para evitar alertas para atividades normais do dia a dia.

Colunas obrigatórias nos resultados da consulta

Para criar uma regra de detecção personalizada usando Defender dados, recomendamos que a consulta retorne as seguintes colunas:

  1. Timestamp ou TimeGenerated - Esta coluna define a data e a hora dos alertas gerados. Se essas colunas não forem projetadas a partir do KQL, a primeira e a última hora do evento para o alerta gerado serão definidas de acordo com a janela de pesquisa da detecção.
  2. Para as tabelas do Microsoft Defender para Ponto de Extremidade, inclua as colunas DeviceId ou DeviceName para garantir que:
    • Os alertas são marcados com o escopo correto do grupo de dispositivos
    • A visualização em árvore de processos foi criada com sucesso.
  3. Para todas as outras tabelas do Defender, projete Timestamp e ReportId do mesmo evento para garantir que o Defender identifique o evento original que disparou o alerta, para que:
    • Os alertas são marcados com o escopo de entidade correto (apenas relevante para organizações que usam escopos Defender XDR)
    • A exibição da linha do tempo do alerta é totalmente enriquecida com dados relevantes.
  4. Para mapear um ativo afetado automaticamente no assistente, projete uma das seguintes colunas que contêm um identificador forte para um ativo afetado:
    • Dispositivo:
      • DeviceId
      • DeviceName
      • RemoteDeviceName
    • Caixa de correio:
      • RecipientEmailAddress
      • SenderFromAddress (remetente do envelope ou endereço de retorno)
      • SenderMailFromAddress (endereço do remetente exibido pelo cliente de e-mail)
      • SenderObjectId
      • RecipientObjectId
    • Conta:
      • AccountObjectId
      • AccountSid
      • AccountUpn
      • InitiatingProcessAccountSid
      • InitiatingProcessAccountUpn

Consultas simples, como aquelas que não usam o operador project ou summarize para personalizar ou agregar os resultados, geralmente retornam estas colunas recomendadas.

Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade em uma coluna como AccountObjectId, você ainda poderá retornar Timestamp e ReportId obtendo-os do evento mais recente envolvendo cada AccountObjectId única.

Importante

Evite filtrar detecções personalizadas usando a coluna Timestamp ou TimeGenerated. O serviço pré-filtra os dados para detecções personalizadas com base no período de retrospectiva da detecção. Filtre os resultados por colunas Timestamp ou TimeGenerated somente se você quiser adicionar filtragem extra para garantir que um encerramento específico da janela de retrospectiva seja avaliado.

A seguinte consulta de exemplo conta o número de dispositivos exclusivos (DeviceId) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp e o correspondente ReportId, utiliza o summarize operador com a arg_max função .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Dica

Para um melhor desempenho de consultas, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Uma vez que a execução menos frequente é a cada 24 horas, filtrar pelo último dia abrange todos os novos dados.

Configurar o escopo de coluna personalizada para o Microsoft Sentinel

Se você configurou o escopo do Microsoft Sentinel, o campo personalizado SentinelScope_CF está disponível para uso em consultas e regras de detecção para referenciar o escopo em suas análises.

Ao criar detecções personalizadas e regras de análise, você deve incluir a coluna SentinelScope_CF nas consultas para que os alertas disparados fiquem visíveis para os analistas com escopo definido. Se você não projetar essa coluna, os alertas ficarão sem escopo e ocultos para usuários com escopo específico.

2. Criar nova regra e fornecer detalhes do alerta

No editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:

  • Nome da deteção – nome da regra de deteção; torná-lo exclusivo.
  • Frequency - Intervalo para executar a consulta e tomar medidas. Para obter mais informações, consulte frequência da regra.
  • Lookback – o período de tempo abrangido pela consulta quando a deteção personalizada visa dados de apenas Microsoft Sentinel. Para obter mais informações, consulte Lookback.
  • Título do alerta – título apresentado com alertas acionados pela regra; torná-lo exclusivo e utilizar texto simples. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos no título devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
  • Severidade – risco potencial do componente ou atividade identificado pela regra.
  • Categoria – componente ou atividade de ameaças identificados pela regra.
  • Tática – tática MITRE ATT&CK identificada pela regra conforme documentado na estrutura MITRE ATT&CK.
  • Técnicas – uma ou mais técnicas de ataque identificadas pela regra conforme documentado na estrutura MITRE ATT&CK.
  • Sub-técnicas – uma ou mais sub-técnicas de ataque identificadas pela regra conforme documentado na estrutura MITRE ATT&CK.
  • Relatório de análise de ameaças – ligue o alerta gerado a um relatório de análise de ameaças existente para que apareça no separador Incidentes relacionados na análise de ameaças.
  • Descrição – mais informações sobre o componente ou atividade identificados pela regra. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos na descrição devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
  • Ações recomendadas – ações adicionais que os participantes podem tomar em resposta a um alerta.

Frequência da regra

Quando você salva uma nova regra, ela é executada e verifica correspondências nos dados dos últimos 30 dias. Em seguida, a regra é executada novamente em intervalos fixos, aplicando um período de pesquisa com base na frequência que escolher:

  • A cada 24 horas
  • A cada 12 horas
  • A cada 3 horas
  • A cada hora
  • Contínua (NRT) – é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT). Para obter mais informações, veja Frequência contínua (NRT).
  • Personalizado – é executado de acordo com a frequência que selecionou. Esta opção está disponível se a regra se baseia apenas em dados ingeridos no Microsoft Sentinel. Para obter mais informações, consulte Frequência personalizada para dados do Microsoft Sentinel.

Dica

Alinhe os filtros de tempo da consulta com o período de retrospectiva. Os resultados fora do período de pesquisa são ignorados.

Quando edita uma regra, a hora de execução seguinte agendada de acordo com a frequência definida aplica as alterações. A frequência da regra baseia-se no carimbo de data/hora do evento e não no horário da ingestão. Podem ocorrer pequenos atrasos em execuções específicas, pelo que a frequência configurada não é 100% precisa.

Frequência contínua (NRT)

Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização dos recursos. Considere utilizá-la para qualquer regra de deteção personalizada qualificada na sua organização.

Na página regras de deteção personalizadas, pode migrar regras de deteções personalizadas que se ajustem à frequência Contínua (NRT) ao selecionar Migrar agora:

Captura de tela do botão Migrar agora na busca avançada.

Quando seleciona Migrar agora, vê uma lista de todas as regras compatíveis de acordo com a consulta KQL. Pode optar por migrar apenas todas as regras ou regras selecionadas:

Captura de tela das consultas compatíveis com frequência contínua na caça avançada.

Quando seleciona Guardar, a frequência das regras selecionadas é atualizada para a frequência Contínua (NRT).

Consultas que você pode executar continuamente

Pode executar uma consulta continuamente, desde que:

  • A consulta referencia apenas uma tabela.
  • A consulta utiliza um operador da lista de funcionalidades de KQL Suportadas. Para o operador matches regex, as expressões regulares devem ser codificadas como literais de cadeia de caracteres e seguir as regras de delimitação de cadeia de caracteres. Por exemplo, a expressão \A regular é representada no KQL como "\\A". A barra invertida extra indica que a outra barra invertida faz parte da expressão regular \A.
  • A consulta não utiliza associações, uniões ou o externaldata operador.
  • A consulta não inclui nenhuma linha de comentários ou informações.
Tabelas que oferecem suporte à frequência contínua (NRT)

As deteções quase em tempo real suportam as seguintes tabelas:

Microsoft Defender XDR Microsoft Sentinel
  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (exceto LatestDeliveryLocation e LatestDeliveryAction colunas)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • ABAPAuditLog_C
  • ABAPChangeDocsLog_CL
  • AuditLogs
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • CommonSecurityLog
  • GCPAuditLogs
  • MicrosoftGraphActivityLogs
  • OfficeActivity
  • Okta_CL
  • OktaV2_CL
  • ProofpointPOD
  • ProofPointTAPClicksPermitted_CL
  • ProofPointTAPMessagesDelivered_CL
  • SecurityAlert
  • SecurityEvent
  • SigninLogs
 

Observação

Somente colunas disponíveis de modo geral oferecem suporte à frequência Contínua (NRT).

Frequência personalizada para dados de Microsoft Sentinel

Os clientes do Microsoft Sentinel que adotam o Microsoft Defender podem selecionar a frequência personalizada quando a regra se baseia apenas em dados que o Microsoft Sentinel ingere.

Ao selecionar esta opção de frequência, o componente Executar consulta para cada entrada é exibido. Digite a frequência desejada para a regra e use o menu suspenso para selecionar as unidades: minutos, horas ou dias. O intervalo suportado é qualquer valor entre 5 minutos e 14 dias.

Captura de tela que mostra a opção Frequência personalizada no guia de configuração de Detecções personalizadas.

Importante

Quando seleciona uma frequência personalizada, o Defender obtém os seus dados a partir de Microsoft Sentinel. Esta condição significa que:

  1. Tem de ter dados disponíveis no Microsoft Sentinel.
  2. Os dados do Defender não dão suporte à definição de escopo, pois o Microsoft Sentinel não dá suporte à definição de escopo.

Retrospectiva

O período de retrospectiva das suas detecções personalizadas pode variar de cinco minutos a 30 dias, dependendo dos dados de destino e da frequência da sua consulta.

Se as suas detecções personalizadas incluírem dados do Defender XDR, será aplicado um período retroativo fixo dependendo da frequência da regra que você escolher:

  • Para detecções configuradas para serem executadas a cada 24 horas, o período de retrospectiva é 30 dias.
  • Para detecções configuradas para serem executadas a cada 12 horas, o período de retrospectiva é 48 horas.
  • Para detecções configuradas para serem executadas a cada três horas, o período de retrospectiva é 12 horas.
  • Para as detecções configuradas para serem executadas a cada hora, o período de retrospectiva é de quatro horas.

Se as suas detecções personalizadas tiverem como alvo apenas dados do Microsoft Sentinel, você poderá personalizar o período de retrospectiva dependendo da frequência da regra que configurou:

  • Para as deteções definidas para serem executadas em frequências superiores (mais frequentes) do que uma hora, o período de procura está limitado a menos de 48 horas.
  • Para detecções configuradas para serem executadas com frequência superior a um dia, a janela de retrospectiva pode ser configurada para até 14 dias.
  • Para detecções configuradas para serem executadas em frequências de um dia ou menos, o período retroativo pode ser configurado para até 30 dias.

Importante

As detecções personalizadas avaliam ingestion_time() levar em conta atrasos na ingestão. Como as detecções personalizadas avaliam ingestion_time() em vez dos carimbos de data/hora dos eventos, os eventos com valores de Timestamp ou TimeGenerated mais antigos do que o período de retrospectiva configurado ainda podem ser incluídos na avaliação da regra.

Quando o período de retrospectiva é maior do que a frequência, eventos duplicados podem ocorrer. No entanto, as detecções personalizadas as agrupam e eliminam a duplicação automaticamente para reduzir o ruído e a fadiga de alertas.

3. Definir detalhes de melhoramento de alertas

Pode enriquecer os alertas ao fornecer e definir mais detalhes. Ao enriquecer alertas, você pode:

Criar um título e descrição de alerta dinâmico

Pode criar dinamicamente o título e a descrição do alerta com os resultados da consulta para torná-los precisos e indicativos. Esta funcionalidade pode aumentar a eficiência dos analistas do SOC ao triagem de alertas e incidentes e ao tentar compreender rapidamente a essência de um alerta.

Para configurar dinamicamente o título ou descrição do alerta, integre-os na secção Detalhes do alerta ao utilizar os nomes de texto gratuitos das colunas disponíveis nos resultados da consulta e que os rodeiam com parênteses duplos.

Por exemplo: User {{AccountName}} unexpectedly signed in from {{Location}}

Observação

Pode referenciar até três colunas em cada campo.

Captura de tela que mostra os campos de título e descrição do alerta dinâmico no assistente de Detecções personalizadas.

Para o ajudar a decidir os nomes exatos das colunas que pretende referenciar, selecione Explorar consulta e resultados. Essa opção abre o painel de contexto da Investigação avançada além do assistente de criação de regras, em que você pode examinar a lógica da sua consulta e os respectivos resultados.

Adicionar detalhes personalizados

Você pode aumentar ainda mais a produtividade dos analistas do SOC exibindo detalhes importantes no painel lateral do alerta. É possível exibir os dados dos eventos em alertas gerados a partir desses eventos. Esta funcionalidade dá aos analistas do SOC visibilidade imediata dos conteúdos dos eventos dos incidentes, permitindo-lhes fazer a triagem, investigar e tirar conclusões mais rapidamente.

Na secção Detalhes personalizados , adicione pares chave-valor correspondentes aos detalhes que pretende ver:

  • No campo Chave , introduza um nome à sua escolha que seja apresentado como o nome do campo nos alertas.
  • No campo Parâmetro , selecione o parâmetro de evento que pretende apresentar nos alertas da lista pendente. Esta lista é preenchida por valores correspondentes aos nomes das colunas que a consulta KQL produz.

Captura de tela que mostra a opção Detalhes personalizados no assistente Detecções personalizadas.

A seguinte captura de ecrã mostra como os detalhes personalizados aparecem no painel lateral do alerta:

Captura de tela que mostra os detalhes personalizados conforme aparecem no painel lateral do alerta no portal do Defender.

Importante

Os detalhes personalizados têm as seguintes limitações:

  1. Cada regra é limitada a até 20 pares de chave-valor de detalhes personalizados.
  2. O limite de tamanho combinado para todos os detalhes personalizados e os respetivos valores num único alerta é de 4 KB. Se a matriz de detalhes personalizados exceder este limite, toda a matriz de detalhes personalizados será removida do alerta.

Identifique as colunas nos resultados da consulta onde espera encontrar a principal entidade afetada ou impactada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress ou SenderMailFromAddress) e do destinatário (RecipientEmailAddress). Identificar quais dessas colunas representam a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.

Você pode selecionar apenas uma coluna para cada tipo de entidade (caixa de correio, usuário ou dispositivo). Não pode selecionar colunas que não são devolvidas pela consulta.

Mapeamento de entidades expandido

Pode ligar uma vasta gama de tipos de entidade aos seus alertas. Vincular mais entidades ajuda o mecanismo de correlação a agrupar alertas referentes aos mesmos incidentes e a correlacionar incidentes entre si. Se você for cliente do Microsoft Sentinel, isso também significa que você pode mapear qualquer entidade de suas fontes de dados de terceiros ingeridas no Microsoft Sentinel.

Para Microsoft Defender XDR dados, as entidades são selecionadas automaticamente. Se os dados forem de Microsoft Sentinel, tem de selecionar as entidades manualmente.

Observação

As entidades afetam a forma como os alertas são agrupados em incidentes. Certifique-se de revisar cuidadosamente as entidades para garantir a alta qualidade dos incidentes. Para obter mais informações, veja Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender.

A secção Mapeamento de entidades expandida tem duas secções onde pode selecionar entidades:

  • Recursos afetados – adicione recursos afetados que aparecem nos eventos selecionados. Pode adicionar os seguintes tipos de recursos:
    • Conta
    • Dispositivo
    • Caixa de correio
    • Aplicação na cloud
    • Recurso do Azure
    • Recurso amazon Web Services
    • Recurso do Google Cloud Platform
  • Evidências relacionadas – Adicione ativos não inventariados que aparecem nos eventos selecionados. Os tipos de entidade suportados são:
    • Processo
    • Arquivo
    • Valor do registro
    • IP
    • Aplicação OAuth
    • DNS
    • Grupo de segurança
    • URL
    • Cluster de e-mail
    • Mensagem de correio

Observação

Atualmente, você só pode mapear ativos como entidades impactadas.

Captura de tela que mostra as opções de mapeamento de entidades no assistente de Detecções personalizadas.

Depois de selecionar um tipo de entidade, selecione um tipo de identificador que exista nos resultados da consulta selecionada para que possa utilizá-lo para identificar esta entidade. Cada tipo de entidade tem uma lista de identificadores com suporte, conforme mostrado no menu suspenso correspondente. Para compreender melhor cada identificador, leia a descrição apresentada quando paira o cursor do rato sobre o mesmo.

Depois de selecionar o identificador, selecione uma coluna nos resultados da consulta que contém o identificador selecionado. Selecione Explorar consulta e resultados para abrir o painel de contexto de busca avançada. Esta opção permite-lhe explorar a consulta e os resultados para se certificar de que escolhe a coluna certa para o identificador selecionado.

4. Especificar ações

Se a sua regra de detecção personalizada usa dados do Defender, ela pode executar ações automáticas em dispositivos, arquivos, usuários ou e-mails retornados pela consulta.

Captura de ecrã a mostrar ações para deteções personalizadas no portal do Microsoft Defender.

Ações em dispositivos

Aplique estas ações aos dispositivos na DeviceId coluna dos resultados da consulta:

Ações em arquivos

  • Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. O bloqueio de arquivos só é permitido se você tiver permissões de Remediar para arquivos e se os resultados da consulta identificarem uma ID de arquivo, como um hash SHA-1. Assim que um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio se aplica, mas não dispositivos específicos.

  • Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na SHA1coluna , InitiatingProcessSHA1, SHA256ou InitiatingProcessSHA256 dos resultados da consulta. Esta ação exclui o arquivo de seu local atual e coloca uma cópia na quarentena.

Ações sobre os usuários

  • Quando selecionada, a ação Marcar usuário como comprometido se aplica aos usuários na coluna AccountObjectId, InitiatingProcessAccountObjectId ou RecipientObjectId dos resultados da consulta. Esta ação define o nível de risco do utilizador para "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.

  • Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.

  • Selecione Redefinir autenticação do usuário para solicitar que o usuário altere a senha no próximo logon (para identidades locais) ou exija que ele faça login novamente (para identidades do Microsoft Entra).

  • As opções Desativar utilizador e Repor autenticação de utilizador requerem o identificador de segurança do utilizador (SID), que estão nas colunas AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

  • Para identidades do Microsoft Entra, o parâmetro AccountObjectId é necessário para todas as ações.

Para obter mais informações sobre as ações do usuário, consulte Ações de remediação no Microsoft Defender para Identidade e Ações de remediação no Microsoft Defender para Aplicativos de Nuvem.

Ações em e-mails

  • Se a detecção personalizada retornar mensagens de e-mail, você pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (qualquer uma das pastas Lixo Eletrônico, Caixa de Entrada ou Itens Excluídos). Especificamente, você pode mover resultados de email dos itens em quarentena (por exemplo, no caso de falsos positivos) selecionando a opção Caixa de Entrada.

    Captura de tela da opção Caixa de Entrada em detecções personalizadas no portal do Microsoft Defender.

  • Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).

As colunas NetworkMessageId e RecipientEmailAddress devem estar presentes nos resultados da consulta para aplicar ações às mensagens de e-mail.

5. Definir o escopo da regra

Defina o âmbito para especificar os dispositivos que a regra abrange. O escopo influencia as regras que verificam os dispositivos e não afeta as regras que verificam apenas caixas de correio e contas ou identidades de usuários.

Ao definir o âmbito, selecione:

  • Todos os dispositivos
  • Grupos de dispositivos específicos

A regra consulta os dados apenas dos dispositivos no âmbito. Efetua ações apenas nesses dispositivos.

Observação

Os utilizadores só podem criar ou editar uma regra de deteção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no âmbito da regra. Por exemplo, os administradores só podem criar ou editar regras que estejam confinadas a todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.

6. Revise e ative a regra

Depois de analisar a regra, selecione Criar para salvá-la. A regra de deteção personalizada é executada imediatamente. É executada novamente com base na frequência configurada para verificar se há correspondências, gerar alertas e executar ações de resposta.

Importante

Revise regularmente as detecções personalizadas quanto à eficiência e à eficácia. Para obter orientações sobre como otimizar suas consultas, consulte Melhores práticas para consultas de busca avançada. Para se certificar de que está a criar deteções que acionam alertas verdadeiros, dedure algum tempo para rever as deteções personalizadas existentes ao seguir os passos em Gerir regras de deteção personalizadas existentes.

Mantém o controlo sobre a amplitude ou a especificidade das suas deteções personalizadas. Quaisquer alertas falsos gerados por deteções personalizadas podem indicar a necessidade de modificar determinados parâmetros das regras.

Como as deteções personalizadas processam alertas duplicados

Uma consideração importante ao criar e revisar regras de detecção personalizadas é o ruído e a fadiga de alertas. As detecções personalizadas agrupam e eliminam eventos duplicados em um único alerta. Se uma regra de deteção personalizada for executada duas vezes num evento que contenha as mesmas entidades, detalhes personalizados e detalhes dinâmicos, cria um alerta para ambos os eventos. Se a regra de deteção reconhecer que os eventos são idênticos, regista um dos eventos no alerta criado e trata dos duplicados. Duplicidades podem ocorrer quando o período de retrospectiva é maior do que a frequência. Se os eventos forem diferentes, a deteção personalizada regista ambos os eventos no alerta.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.