Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As regras de detecção personalizadas são consultas de busca avançada que você projeta e ajusta para monitorar proativamente vários eventos e estados do sistema, incluindo atividade suspeita de comprometimento e endpoints mal configurados. Você pode configurá-los para serem executados em intervalos regulares, gerando alertas e tomando ações de resposta sempre que houver correspondências.
Permissões necessárias para gerenciar detecções personalizadas
Para gerir deteções personalizadas, precisa de funções com permissões para os dados que estas deteções visam. Por exemplo, para gerenciar detecções personalizadas em várias fontes de dados (Microsoft Defender e Microsoft Sentinel ou várias cargas de trabalho Defender), você precisa de todas as funções Defender e Sentinel aplicáveis. Para obter mais informações, consulte as secções seguintes.
Microsoft Defender XDR
Para gerenciar detecções personalizadas nos dados do Microsoft Defender, você precisa ter uma destas funções atribuída:
Configurações de segurança (gerenciar) – os usuários com essa permissão de Microsoft Defender podem gerenciar as configurações de segurança no portal do Microsoft Defender.
Administrador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.
Operador de Segurança – os utilizadores com esta função Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal do Microsoft Defender. Essa função é suficiente para gerenciar apenas detecções personalizadas se o controle de acesso baseado em função (RBAC) estiver desabilitado no Microsoft Defender para Endpoint. Se tiver o RBAC configurado, também precisa da permissão Gerir Definições de Segurança para o Defender para Endpoint.
Você pode gerenciar detecções personalizadas que se aplicam a dados de soluções de Defender específicas se tiver as permissões certas para elas. Por exemplo, se você tiver apenas permissões de gerenciamento para o Microsoft Defender para Office 365, poderá criar deteções personalizadas usando tabelas Email*, mas não tabelas Identity*.
Da mesma forma, uma vez que a IdentityLogonEvents tabela contém informações de atividade de autenticação do Microsoft Defender para Aplicativos de Nuvem e do Defender para Identidade, tem de ter permissões de gestão para ambos os serviços para gerir as deteções personalizadas que consultam essa tabela.
Observação
Para gerenciar detecções personalizadas, os Operadores de Segurança devem ter a permissão Gerenciar Configurações de Segurança no Microsoft Defender para Ponto de Extremidade se o RBAC estiver habilitado.
Microsoft Sentinel
Para gerenciar detecções personalizadas nos dados do Microsoft Sentinel, é preciso que a função Microsoft Sentinel Contributor ou superior seja atribuída a você. Os usuários com esta função do Azure podem gerenciar os dados do workspace SIEM do Microsoft Sentinel, incluindo alertas e detecções. Você pode atribuir esta função em um workspace primário específico, em um grupo de recursos do Azure ou em uma assinatura inteira.
Gerenciar as permissões necessárias
Para gerir as permissões necessárias, um Administrador Global pode:
- Atribua a função de Administrador de Segurança ou Operador de Segurança no Centro de administração do Microsoft 365 em Funções>Administrador de Segurança.
- Verifique as configurações de RBAC do Microsoft Defender para Endpoint no Microsoft Defender XDR em Configurações>Permissões>Funções. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .
Importante
Utilize funções com menos permissões para ajudar a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada. Limite a sua utilização a cenários de emergência quando não pode utilizar uma função existente.
Observação
Um utilizador também precisa das permissões adequadas para os dispositivos no âmbito do dispositivo de uma regra de deteção personalizada que está a criar ou a editar. Um utilizador não pode editar uma regra de deteção personalizada que esteja confinada para ser executada em todos os dispositivos se o utilizador não tiver permissões para todos os dispositivos.
Criar uma regra de deteção personalizada
Pode criar uma regra de deteção personalizada a partir de um dos seguintes pontos de entrada:
- Em Investigação avançada – aceda a Investigação avançada, prepare e execute a consulta e, em seguida, selecione Criar regra de deteção. Esta abordagem permite-lhe validar os resultados da consulta antes de criar a regra.
- Na lista de deteções personalizadas — aceda a Regras de deteção personalizadas e selecione + Criar regra de deteção. Esta abordagem abre o assistente de regras diretamente, onde pode escrever ou colar uma consulta e configurar todas as definições de regra num único local.
Independentemente do ponto de entrada que utilizar, siga estes passos para configurar a regra:
- Preparar a consulta
- Criar uma nova regra e forneça detalhes de alerta
- Definir detalhes de melhoramento de alertas
- Especificar as ações
- Definir o escopo da regra
- Revise e ative a regra
1. Preparar a consulta
No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Quando utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados. Se tiver começado a partir da lista de deteções personalizadas ao selecionar + Criar regra de deteção, pode escrever ou colar a consulta diretamente no assistente de regras.
Importante
Para impedir que o serviço devolva demasiados alertas, cada regra pode gerar apenas 150 alertas sempre que for executado. Antes de criar uma regra, ajuste sua consulta para evitar alertas para atividades normais do dia a dia.
Colunas obrigatórias nos resultados da consulta
Para criar uma regra de detecção personalizada usando Defender dados, recomendamos que a consulta retorne as seguintes colunas:
-
TimestampouTimeGenerated- Esta coluna define a data e a hora dos alertas gerados. Se essas colunas não forem projetadas a partir do KQL, a primeira e a última hora do evento para o alerta gerado serão definidas de acordo com a janela de pesquisa da detecção. -
Para as tabelas do Microsoft Defender para Ponto de Extremidade, inclua as colunas
DeviceIdouDeviceNamepara garantir que:- Os alertas são marcados com o escopo correto do grupo de dispositivos
- A visualização em árvore de processos foi criada com sucesso.
-
Para todas as outras tabelas do Defender, projete
TimestampeReportIddo mesmo evento para garantir que o Defender identifique o evento original que disparou o alerta, para que:- Os alertas são marcados com o escopo de entidade correto (apenas relevante para organizações que usam escopos Defender XDR)
- A exibição da linha do tempo do alerta é totalmente enriquecida com dados relevantes.
- Para mapear um ativo afetado automaticamente no assistente, projete uma das seguintes colunas que contêm um identificador forte para um ativo afetado:
- Dispositivo:
DeviceIdDeviceNameRemoteDeviceName
- Caixa de correio:
RecipientEmailAddress-
SenderFromAddress(remetente do envelope ou endereço de retorno) -
SenderMailFromAddress(endereço do remetente exibido pelo cliente de e-mail) SenderObjectIdRecipientObjectId
- Conta:
AccountObjectIdAccountSidAccountUpnInitiatingProcessAccountSidInitiatingProcessAccountUpn
- Dispositivo:
Consultas simples, como aquelas que não usam o operador project ou summarize para personalizar ou agregar os resultados, geralmente retornam estas colunas recomendadas.
Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade em uma coluna como AccountObjectId, você ainda poderá retornar Timestamp e ReportId obtendo-os do evento mais recente envolvendo cada AccountObjectId única.
Importante
Evite filtrar detecções personalizadas usando a coluna Timestamp ou TimeGenerated. O serviço pré-filtra os dados para detecções personalizadas com base no período de retrospectiva da detecção. Filtre os resultados por colunas Timestamp ou TimeGenerated somente se você quiser adicionar filtragem extra para garantir que um encerramento específico da janela de retrospectiva seja avaliado.
A seguinte consulta de exemplo conta o número de dispositivos exclusivos (DeviceId) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp e o correspondente ReportId, utiliza o summarize operador com a arg_max função .
DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
Dica
Para um melhor desempenho de consultas, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Uma vez que a execução menos frequente é a cada 24 horas, filtrar pelo último dia abrange todos os novos dados.
Configurar o escopo de coluna personalizada para o Microsoft Sentinel
Se você configurou o escopo do Microsoft Sentinel, o campo personalizado SentinelScope_CF está disponível para uso em consultas e regras de detecção para referenciar o escopo em suas análises.
Ao criar detecções personalizadas e regras de análise, você deve incluir a coluna SentinelScope_CF nas consultas para que os alertas disparados fiquem visíveis para os analistas com escopo definido. Se você não projetar essa coluna, os alertas ficarão sem escopo e ocultos para usuários com escopo específico.
2. Criar nova regra e fornecer detalhes do alerta
No editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:
- Nome da deteção – nome da regra de deteção; torná-lo exclusivo.
- Frequency - Intervalo para executar a consulta e tomar medidas. Para obter mais informações, consulte frequência da regra.
- Lookback – o período de tempo abrangido pela consulta quando a deteção personalizada visa dados de apenas Microsoft Sentinel. Para obter mais informações, consulte Lookback.
- Título do alerta – título apresentado com alertas acionados pela regra; torná-lo exclusivo e utilizar texto simples. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos no título devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
- Severidade – risco potencial do componente ou atividade identificado pela regra.
- Categoria – componente ou atividade de ameaças identificados pela regra.
- Tática – tática MITRE ATT&CK identificada pela regra conforme documentado na estrutura MITRE ATT&CK.
- Técnicas – uma ou mais técnicas de ataque identificadas pela regra conforme documentado na estrutura MITRE ATT&CK.
- Sub-técnicas – uma ou mais sub-técnicas de ataque identificadas pela regra conforme documentado na estrutura MITRE ATT&CK.
- Relatório de análise de ameaças – ligue o alerta gerado a um relatório de análise de ameaças existente para que apareça no separador Incidentes relacionados na análise de ameaças.
- Descrição – mais informações sobre o componente ou atividade identificados pela regra. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos na descrição devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
- Ações recomendadas – ações adicionais que os participantes podem tomar em resposta a um alerta.
Frequência da regra
Quando você salva uma nova regra, ela é executada e verifica correspondências nos dados dos últimos 30 dias. Em seguida, a regra é executada novamente em intervalos fixos, aplicando um período de pesquisa com base na frequência que escolher:
- A cada 24 horas
- A cada 12 horas
- A cada 3 horas
- A cada hora
- Contínua (NRT) – é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT). Para obter mais informações, veja Frequência contínua (NRT).
- Personalizado – é executado de acordo com a frequência que selecionou. Esta opção está disponível se a regra se baseia apenas em dados ingeridos no Microsoft Sentinel. Para obter mais informações, consulte Frequência personalizada para dados do Microsoft Sentinel.
Dica
Alinhe os filtros de tempo da consulta com o período de retrospectiva. Os resultados fora do período de pesquisa são ignorados.
Quando edita uma regra, a hora de execução seguinte agendada de acordo com a frequência definida aplica as alterações. A frequência da regra baseia-se no carimbo de data/hora do evento e não no horário da ingestão. Podem ocorrer pequenos atrasos em execuções específicas, pelo que a frequência configurada não é 100% precisa.
Frequência contínua (NRT)
Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização dos recursos. Considere utilizá-la para qualquer regra de deteção personalizada qualificada na sua organização.
Na página regras de deteção personalizadas, pode migrar regras de deteções personalizadas que se ajustem à frequência Contínua (NRT) ao selecionar Migrar agora:
Quando seleciona Migrar agora, vê uma lista de todas as regras compatíveis de acordo com a consulta KQL. Pode optar por migrar apenas todas as regras ou regras selecionadas:
Quando seleciona Guardar, a frequência das regras selecionadas é atualizada para a frequência Contínua (NRT).
Consultas que você pode executar continuamente
Pode executar uma consulta continuamente, desde que:
- A consulta referencia apenas uma tabela.
- A consulta utiliza um operador da lista de funcionalidades de KQL Suportadas. Para o operador
matches regex, as expressões regulares devem ser codificadas como literais de cadeia de caracteres e seguir as regras de delimitação de cadeia de caracteres. Por exemplo, a expressão\Aregular é representada no KQL como"\\A". A barra invertida extra indica que a outra barra invertida faz parte da expressão regular\A. - A consulta não utiliza associações, uniões ou o
externaldataoperador. - A consulta não inclui nenhuma linha de comentários ou informações.
Tabelas que oferecem suporte à frequência contínua (NRT)
As deteções quase em tempo real suportam as seguintes tabelas:
| Microsoft Defender XDR | Microsoft Sentinel |
|---|---|
|
|
Observação
Somente colunas disponíveis de modo geral oferecem suporte à frequência Contínua (NRT).
Frequência personalizada para dados de Microsoft Sentinel
Os clientes do Microsoft Sentinel que adotam o Microsoft Defender podem selecionar a frequência personalizada quando a regra se baseia apenas em dados que o Microsoft Sentinel ingere.
Ao selecionar esta opção de frequência, o componente Executar consulta para cada entrada é exibido. Digite a frequência desejada para a regra e use o menu suspenso para selecionar as unidades: minutos, horas ou dias. O intervalo suportado é qualquer valor entre 5 minutos e 14 dias.
Importante
Quando seleciona uma frequência personalizada, o Defender obtém os seus dados a partir de Microsoft Sentinel. Esta condição significa que:
- Tem de ter dados disponíveis no Microsoft Sentinel.
- Os dados do Defender não dão suporte à definição de escopo, pois o Microsoft Sentinel não dá suporte à definição de escopo.
Retrospectiva
O período de retrospectiva das suas detecções personalizadas pode variar de cinco minutos a 30 dias, dependendo dos dados de destino e da frequência da sua consulta.
Se as suas detecções personalizadas incluírem dados do Defender XDR, será aplicado um período retroativo fixo dependendo da frequência da regra que você escolher:
- Para detecções configuradas para serem executadas a cada 24 horas, o período de retrospectiva é 30 dias.
- Para detecções configuradas para serem executadas a cada 12 horas, o período de retrospectiva é 48 horas.
- Para detecções configuradas para serem executadas a cada três horas, o período de retrospectiva é 12 horas.
- Para as detecções configuradas para serem executadas a cada hora, o período de retrospectiva é de quatro horas.
Se as suas detecções personalizadas tiverem como alvo apenas dados do Microsoft Sentinel, você poderá personalizar o período de retrospectiva dependendo da frequência da regra que configurou:
- Para as deteções definidas para serem executadas em frequências superiores (mais frequentes) do que uma hora, o período de procura está limitado a menos de 48 horas.
- Para detecções configuradas para serem executadas com frequência superior a um dia, a janela de retrospectiva pode ser configurada para até 14 dias.
- Para detecções configuradas para serem executadas em frequências de um dia ou menos, o período retroativo pode ser configurado para até 30 dias.
Importante
As detecções personalizadas avaliam ingestion_time() levar em conta atrasos na ingestão. Como as detecções personalizadas avaliam ingestion_time() em vez dos carimbos de data/hora dos eventos, os eventos com valores de Timestamp ou TimeGenerated mais antigos do que o período de retrospectiva configurado ainda podem ser incluídos na avaliação da regra.
Quando o período de retrospectiva é maior do que a frequência, eventos duplicados podem ocorrer. No entanto, as detecções personalizadas as agrupam e eliminam a duplicação automaticamente para reduzir o ruído e a fadiga de alertas.
3. Definir detalhes de melhoramento de alertas
Pode enriquecer os alertas ao fornecer e definir mais detalhes. Ao enriquecer alertas, você pode:
- Criar um título e descrição de alerta dinâmico
- Adicionar detalhes personalizados a apresentar no painel lateral do alerta
- Associar entidades
Criar um título e descrição de alerta dinâmico
Pode criar dinamicamente o título e a descrição do alerta com os resultados da consulta para torná-los precisos e indicativos. Esta funcionalidade pode aumentar a eficiência dos analistas do SOC ao triagem de alertas e incidentes e ao tentar compreender rapidamente a essência de um alerta.
Para configurar dinamicamente o título ou descrição do alerta, integre-os na secção Detalhes do alerta ao utilizar os nomes de texto gratuitos das colunas disponíveis nos resultados da consulta e que os rodeiam com parênteses duplos.
Por exemplo: User {{AccountName}} unexpectedly signed in from {{Location}}
Observação
Pode referenciar até três colunas em cada campo.
Para o ajudar a decidir os nomes exatos das colunas que pretende referenciar, selecione Explorar consulta e resultados. Essa opção abre o painel de contexto da Investigação avançada além do assistente de criação de regras, em que você pode examinar a lógica da sua consulta e os respectivos resultados.
Adicionar detalhes personalizados
Você pode aumentar ainda mais a produtividade dos analistas do SOC exibindo detalhes importantes no painel lateral do alerta. É possível exibir os dados dos eventos em alertas gerados a partir desses eventos. Esta funcionalidade dá aos analistas do SOC visibilidade imediata dos conteúdos dos eventos dos incidentes, permitindo-lhes fazer a triagem, investigar e tirar conclusões mais rapidamente.
Na secção Detalhes personalizados , adicione pares chave-valor correspondentes aos detalhes que pretende ver:
- No campo Chave , introduza um nome à sua escolha que seja apresentado como o nome do campo nos alertas.
- No campo Parâmetro , selecione o parâmetro de evento que pretende apresentar nos alertas da lista pendente. Esta lista é preenchida por valores correspondentes aos nomes das colunas que a consulta KQL produz.
A seguinte captura de ecrã mostra como os detalhes personalizados aparecem no painel lateral do alerta:
Importante
Os detalhes personalizados têm as seguintes limitações:
- Cada regra é limitada a até 20 pares de chave-valor de detalhes personalizados.
- O limite de tamanho combinado para todos os detalhes personalizados e os respetivos valores num único alerta é de 4 KB. Se a matriz de detalhes personalizados exceder este limite, toda a matriz de detalhes personalizados será removida do alerta.
Associar entidades
Identifique as colunas nos resultados da consulta onde espera encontrar a principal entidade afetada ou impactada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress ou SenderMailFromAddress) e do destinatário (RecipientEmailAddress). Identificar quais dessas colunas representam a principal entidade afetada ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.
Você pode selecionar apenas uma coluna para cada tipo de entidade (caixa de correio, usuário ou dispositivo). Não pode selecionar colunas que não são devolvidas pela consulta.
Mapeamento de entidades expandido
Pode ligar uma vasta gama de tipos de entidade aos seus alertas. Vincular mais entidades ajuda o mecanismo de correlação a agrupar alertas referentes aos mesmos incidentes e a correlacionar incidentes entre si. Se você for cliente do Microsoft Sentinel, isso também significa que você pode mapear qualquer entidade de suas fontes de dados de terceiros ingeridas no Microsoft Sentinel.
Para Microsoft Defender XDR dados, as entidades são selecionadas automaticamente. Se os dados forem de Microsoft Sentinel, tem de selecionar as entidades manualmente.
Observação
As entidades afetam a forma como os alertas são agrupados em incidentes. Certifique-se de revisar cuidadosamente as entidades para garantir a alta qualidade dos incidentes. Para obter mais informações, veja Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender.
A secção Mapeamento de entidades expandida tem duas secções onde pode selecionar entidades:
-
Recursos afetados – adicione recursos afetados que aparecem nos eventos selecionados. Pode adicionar os seguintes tipos de recursos:
- Conta
- Dispositivo
- Caixa de correio
- Aplicação na cloud
- Recurso do Azure
- Recurso amazon Web Services
- Recurso do Google Cloud Platform
-
Evidências relacionadas – Adicione ativos não inventariados que aparecem nos eventos selecionados. Os tipos de entidade suportados são:
- Processo
- Arquivo
- Valor do registro
- IP
- Aplicação OAuth
- DNS
- Grupo de segurança
- URL
- Cluster de e-mail
- Mensagem de correio
Observação
Atualmente, você só pode mapear ativos como entidades impactadas.
Depois de selecionar um tipo de entidade, selecione um tipo de identificador que exista nos resultados da consulta selecionada para que possa utilizá-lo para identificar esta entidade. Cada tipo de entidade tem uma lista de identificadores com suporte, conforme mostrado no menu suspenso correspondente. Para compreender melhor cada identificador, leia a descrição apresentada quando paira o cursor do rato sobre o mesmo.
Depois de selecionar o identificador, selecione uma coluna nos resultados da consulta que contém o identificador selecionado. Selecione Explorar consulta e resultados para abrir o painel de contexto de busca avançada. Esta opção permite-lhe explorar a consulta e os resultados para se certificar de que escolhe a coluna certa para o identificador selecionado.
4. Especificar ações
Se a sua regra de detecção personalizada usa dados do Defender, ela pode executar ações automáticas em dispositivos, arquivos, usuários ou e-mails retornados pela consulta.
Ações em dispositivos
Aplique estas ações aos dispositivos na DeviceId coluna dos resultados da consulta:
- Isolar dispositivo - Usa o Microsoft Defender para Endpoint para aplicar isolamento total da rede, impedindo que o dispositivo se conecte a qualquer aplicativo ou serviço. Saiba mais sobre o isolamento de máquina no Microsoft Defender para Ponto de Extremidade.
- Coletar pacote de investigação – coleta informações do dispositivo em um arquivo ZIP. Saiba mais sobre o pacote de investigação do Microsoft Defender para Endpoint.
- Executar análise antivírus – executa uma análise completa do Antivírus Microsoft Defender no dispositivo.
- Iniciar investigação – inicia uma investigação automatizada no dispositivo.
- Restringir a execução de aplicações – define restrições no dispositivo para permitir que apenas os ficheiros assinados com um certificado emitido pela Microsoft sejam executados. Saiba mais sobre as restrições de aplicativos com Microsoft Defender para Ponto de Extremidade.
Ações em arquivos
Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. O bloqueio de arquivos só é permitido se você tiver permissões de Remediar para arquivos e se os resultados da consulta identificarem uma ID de arquivo, como um hash SHA-1. Assim que um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio se aplica, mas não dispositivos específicos.
Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na
SHA1coluna ,InitiatingProcessSHA1,SHA256ouInitiatingProcessSHA256dos resultados da consulta. Esta ação exclui o arquivo de seu local atual e coloca uma cópia na quarentena.
Ações sobre os usuários
Quando selecionada, a ação Marcar usuário como comprometido se aplica aos usuários na coluna
AccountObjectId,InitiatingProcessAccountObjectIdouRecipientObjectIddos resultados da consulta. Esta ação define o nível de risco do utilizador para "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.
Selecione Redefinir autenticação do usuário para solicitar que o usuário altere a senha no próximo logon (para identidades locais) ou exija que ele faça login novamente (para identidades do Microsoft Entra).
As opções Desativar utilizador e Repor autenticação de utilizador requerem o identificador de segurança do utilizador (SID), que estão nas colunas
AccountSid,InitiatingProcessAccountSid,RequestAccountSideOnPremSid.Para identidades do Microsoft Entra, o parâmetro
AccountObjectIdé necessário para todas as ações.
Para obter mais informações sobre as ações do usuário, consulte Ações de remediação no Microsoft Defender para Identidade e Ações de remediação no Microsoft Defender para Aplicativos de Nuvem.
Ações em e-mails
Se a detecção personalizada retornar mensagens de e-mail, você pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (qualquer uma das pastas Lixo Eletrônico, Caixa de Entrada ou Itens Excluídos). Especificamente, você pode mover resultados de email dos itens em quarentena (por exemplo, no caso de falsos positivos) selecionando a opção Caixa de Entrada.
Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).
As colunas NetworkMessageId e RecipientEmailAddress devem estar presentes nos resultados da consulta para aplicar ações às mensagens de e-mail.
5. Definir o escopo da regra
Defina o âmbito para especificar os dispositivos que a regra abrange. O escopo influencia as regras que verificam os dispositivos e não afeta as regras que verificam apenas caixas de correio e contas ou identidades de usuários.
Ao definir o âmbito, selecione:
- Todos os dispositivos
- Grupos de dispositivos específicos
A regra consulta os dados apenas dos dispositivos no âmbito. Efetua ações apenas nesses dispositivos.
Observação
Os utilizadores só podem criar ou editar uma regra de deteção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no âmbito da regra. Por exemplo, os administradores só podem criar ou editar regras que estejam confinadas a todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.
6. Revise e ative a regra
Depois de analisar a regra, selecione Criar para salvá-la. A regra de deteção personalizada é executada imediatamente. É executada novamente com base na frequência configurada para verificar se há correspondências, gerar alertas e executar ações de resposta.
Importante
Revise regularmente as detecções personalizadas quanto à eficiência e à eficácia. Para obter orientações sobre como otimizar suas consultas, consulte Melhores práticas para consultas de busca avançada. Para se certificar de que está a criar deteções que acionam alertas verdadeiros, dedure algum tempo para rever as deteções personalizadas existentes ao seguir os passos em Gerir regras de deteção personalizadas existentes.
Mantém o controlo sobre a amplitude ou a especificidade das suas deteções personalizadas. Quaisquer alertas falsos gerados por deteções personalizadas podem indicar a necessidade de modificar determinados parâmetros das regras.
Como as deteções personalizadas processam alertas duplicados
Uma consideração importante ao criar e revisar regras de detecção personalizadas é o ruído e a fadiga de alertas. As detecções personalizadas agrupam e eliminam eventos duplicados em um único alerta. Se uma regra de deteção personalizada for executada duas vezes num evento que contenha as mesmas entidades, detalhes personalizados e detalhes dinâmicos, cria um alerta para ambos os eventos. Se a regra de deteção reconhecer que os eventos são idênticos, regista um dos eventos no alerta criado e trata dos duplicados. Duplicidades podem ocorrer quando o período de retrospectiva é maior do que a frequência. Se os eventos forem diferentes, a deteção personalizada regista ambos os eventos no alerta.
Conteúdo relacionado
- Visão geral de detecções personalizadas
- Gerir deteções personalizadas
- Visão geral da busca avançada
- Conhecer a linguagem de consulta de busca avançada
- Migrar consultas de busca avançada do Microsoft Defender para Ponto de Extremidade
- API de segurança do Microsoft Graph para deteções personalizadas
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.