Criar regras de deteção personalizadas no Microsoft Defender XDR

As regras de deteção personalizadas são consultas de investigação avançada que cria e ajusta para monitorizar proativamente vários eventos e estados do sistema, incluindo atividade suspeita de intrusão e pontos finais mal configurados. Pode defini-los para serem executados em intervalos regulares, gerando alertas e efetuando ações de resposta sempre que existirem correspondências.

Permissões necessárias para gerir deteções personalizadas

Para gerir deteções personalizadas, precisa de funções com permissões para os dados que estas deteções visam. Por exemplo, para gerir deteções personalizadas em múltiplas fontes de dados (Microsoft Defender e Microsoft Sentinel, ou múltiplas cargas de trabalho Defender), precisa de todos os papéis Defender e Sentinel aplicáveis. Para obter mais informações, consulte as secções seguintes.

Microsoft Defender XDR

Para gerir deteções personalizadas em dados do Microsoft Defender, precisa de lhe ser atribuída uma destas funções:

  • Definições de segurança (gerir) - Os utilizadores com esta permissão do Microsoft Defender podem gerir as definições de segurança no portal Microsoft Defender.

  • Administrador de Segurança – os utilizadores com esta função de Microsoft Entra podem gerir as definições de segurança no portal do Microsoft Defender e noutros portais e serviços.

  • Operador de Segurança – os utilizadores com esta função Microsoft Entra podem gerir alertas e ter acesso só de leitura global a funcionalidades relacionadas com segurança, incluindo todas as informações no portal do Microsoft Defender. Esta função só é suficiente para gerir deteções personalizadas se o controlo de acesso baseado em funções (RBAC) estiver desativado no Microsoft Defender para Endpoint. Se tiver o RBAC configurado, também precisa da permissão Gerir Definições de Segurança para o Defender para Endpoint.

Pode gerir deteções personalizadas que se aplicam a dados de soluções Defender específicas, se tiver as permissões certas para elas. Por exemplo, se tiver apenas permissões para gerir o Microsoft Defender para Office 365, pode criar deteções personalizadas utilizando tabelas Email*, mas não tabelas Identity*.

Da mesma forma, uma vez que a IdentityLogonEvents tabela contém informações de atividade de autenticação do Microsoft Defender for Cloud Apps e do Defender para Identidade, tem de ter permissões de gestão para ambos os serviços para gerir as deteções personalizadas que consultam essa tabela.

Nota

Para gerir deteções personalizadas, os Operadores de Segurança têm de ter a permissão Gerir Definições de Segurança no Microsoft Defender para Endpoint se o RBAC estiver ativado.

Microsoft Sentinel

Para gerir deteções personalizadas nos dados do Microsoft Sentinel, tem de ter atribuída a função de Contribuidor do Microsoft Sentinel ou superior. Os utilizadores com esta função do Azure podem gerir os dados do espaço de trabalho SIEM do Microsoft Sentinel, incluindo alertas e deteções. Pode atribuir esta função numa área de trabalho primária específica, num grupo de recursos do Azure ou numa subscrição inteira.

Gerir as permissões necessárias

Para gerir as permissões necessárias, um Administrador Global pode:

  • Atribua a função de Administrador de Segurança ou de Operador de Segurança no centro de administração do Microsoft 365 em Funções>Administrador de Segurança.
  • Verifique as definições de RBAC para o Microsoft Defender para Endpoint no Microsoft Defender XDR em Definições>Permissões>Funções. Selecione a função correspondente para atribuir a permissão gerir definições de segurança .

Importante

Utilize funções com menos permissões para ajudar a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada. Limite a sua utilização a cenários de emergência quando não pode utilizar uma função existente.

Nota

Um utilizador também precisa das permissões adequadas para os dispositivos no âmbito do dispositivo de uma regra de deteção personalizada que está a criar ou a editar. Um utilizador não pode editar uma regra de deteção personalizada que esteja confinada para ser executada em todos os dispositivos se o utilizador não tiver permissões para todos os dispositivos.

Criar uma regra de deteção personalizada

Pode criar uma regra de deteção personalizada a partir de um dos seguintes pontos de entrada:

  • Em Investigação avançada – aceda a Investigação avançada, prepare e execute a consulta e, em seguida, selecione Criar regra de deteção. Esta abordagem permite-lhe validar os resultados da consulta antes de criar a regra.
  • Na lista de deteções personalizadas — aceda a Regras de deteção personalizadas e selecione + Criar regra de deteção. Esta abordagem abre o assistente de regras diretamente, onde pode escrever ou colar uma consulta e configurar todas as definições de regra num único local.

Independentemente do ponto de entrada que utilizar, siga estes passos para configurar a regra:

  1. Preparar a consulta
  2. Criar nova regra e fornecer detalhes do alerta
  3. Definir detalhes de melhoramento de alertas
  4. Especificar ações
  5. Definir o âmbito da regra
  6. Reveja e ative a regra

1. Preparar a consulta

No portal Microsoft Defender, aceda a Investigação avançada e selecione uma consulta existente ou crie uma nova consulta. Quando utilizar uma nova consulta, execute a consulta para identificar erros e compreender possíveis resultados. Se tiver começado a partir da lista de deteções personalizadas ao selecionar + Criar regra de deteção, pode escrever ou colar a consulta diretamente no assistente de regras.

Importante

Para impedir que o serviço devolva demasiados alertas, cada regra pode gerar apenas 150 alertas sempre que for executado. Antes de criar uma regra, ajuste a consulta para evitar alertas para atividades normais do dia-a-dia.

Colunas necessárias nos resultados da consulta

Para criar uma regra de deteção personalizada usando dados do Defender, recomendamos que a consulta devolva as seguintes colunas:

  1. Timestamp ou TimeGenerated - Esta coluna determina a data e hora dos alertas gerados. Se estas colunas não forem projetadas a partir do KQL, o primeiro e o último tempo de evento para o alerta gerado são definidos de acordo com a janela de observação da deteção.
  2. Para as tabelas do Microsoft Defender para Endpoint, inclua as colunas DeviceId ou DeviceName para garantir que:
    • Os alertas são marcados com o âmbito correto do grupo de dispositivos
    • A vista de árvore de processos é construída com sucesso.
  3. Para todas as outras tabelas do Defender, projete Timestamp e ReportId a partir do mesmo evento para garantir que o Defender identifica o evento original que desencadeou o alerta, de modo que:
    • Os alertas são marcados com o âmbito de entidade correto (apenas relevante para organizações que utilizam âmbitos do Defender XDR)
    • A visualização da linha temporal de alertas está totalmente enriquecida com dados relevantes.
  4. Para mapear automaticamente um ativo afetado no assistente, projete uma das seguintes colunas que contenham um identificador forte para um ativo afetado:
    • Dispositivo:
      • DeviceId
      • DeviceName
      • RemoteDeviceName
    • Caixa de Correio:
      • RecipientEmailAddress
      • SenderFromAddress (remetente do envelope ou endereço Return-Path)
      • SenderMailFromAddress (endereço do remetente apresentado pelo cliente de e-mail)
      • SenderObjectId
      • RecipientObjectId
    • Conta:
      • AccountObjectId
      • AccountSid
      • AccountUpn
      • InitiatingProcessAccountSid
      • InitiatingProcessAccountUpn

Consultas simples, como aquelas que não usam o project operador ou summarize para personalizar ou agregar resultados, normalmente retornam estas colunas recomendadas.

Existem várias formas de garantir que as consultas mais complexas devolvem estas colunas. Por exemplo, se preferir agregar e contar por entidade numa coluna como AccountObjectId, pode continuar a devolver Timestamp e ReportId obtendo-os a partir do evento mais recente que envolva cada AccountObjectId único.

Importante

Evite filtrar deteções personalizadas utilizando a coluna Timestamp ou TimeGenerated. O serviço pré-filtra os dados para deteções personalizadas com base no período retrospetivo da deteção. Filtre os resultados por Timestamp ou TimeGenerated colunas apenas se quiser adicionar filtragem adicional para garantir que um pôr de sol específico da janela de retorno de observação é avaliado.

A seguinte consulta de exemplo conta o número de dispositivos exclusivos (DeviceId) com deteções de antivírus e utiliza esta contagem para localizar apenas os dispositivos com mais de cinco deteções. Para devolver o mais recente Timestamp e o correspondente ReportId, utiliza o summarize operador com a arg_max função .

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Sugestão

Para um melhor desempenho de consultas, defina um filtro de tempo que corresponda à frequência de execução pretendida para a regra. Uma vez que a execução menos frequente é de 24 em 24 horas, a filtragem do último dia abrange todos os novos dados.

Coluna personalizada para delimitação do âmbito no Microsoft Sentinel

Se tiver configurado o âmbito no Microsoft Sentinel, o campo personalizado SentinelScope_CF fica disponível para utilizar em consultas e regras de deteção para referenciar o âmbito nas suas análises.

Quando cria deteções personalizadas e regras de análise, tem de incluir a coluna SentinelScope_CF nas suas consultas para tornar os alertas gerados visíveis aos analistas com âmbito atribuído. Se não projetar esta coluna, os alertas não têm âmbito e ficam ocultos para os utilizadores com âmbito.

2. Criar nova regra e fornecer detalhes do alerta

No editor de consultas, selecione Criar regra de deteção e especifique os seguintes detalhes do alerta:

  • Nome da deteção – nome da regra de deteção; torná-lo exclusivo.
  • Frequency - Intervalo para executar a consulta e tomar medidas. Para mais informações, consulte Frequência de regras.
  • Lookback – o período de tempo abrangido pela consulta quando a deteção personalizada visa dados de apenas Microsoft Sentinel. Para mais informações, consulte Lookback.
  • Título do alerta – título apresentado com alertas acionados pela regra; torná-lo exclusivo e utilizar texto simples. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos no título devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
  • Gravidade – risco potencial do componente ou atividade identificado pela regra.
  • Categoria – componente ou atividade de ameaças identificados pela regra.
  • Tática - A tática MITRE ATT&CK identificada pela regra, conforme documentado na estrutura MITRE ATT&CK.
  • Técnicas - Uma ou mais técnicas de ataque identificadas pela regra, conforme documentado no quadro MITRE ATT&CK.
  • Subtécnicas - Uma ou mais subtécnicas de ataque identificadas pela regra, conforme documentado no quadro MITRE ATT&CK.
  • Relatório de análise de ameaças – ligue o alerta gerado a um relatório de análise de ameaças existente para que apareça no separador Incidentes relacionados na análise de ameaças.
  • Descrição – mais informações sobre o componente ou atividade identificados pela regra. As cadeias são limpas para fins de segurança, pelo que HTML, Markdown e outro código não funcionam. Todos os URLs incluídos na descrição devem seguir o formato de codificação de percentagem para que sejam apresentados corretamente.
  • Ações recomendadas – ações adicionais que os participantes podem tomar em resposta a um alerta.

Frequência das regras

Quando guarda uma nova regra, esta é executada e procura correspondências nos dados dos últimos 30 dias. Em seguida, a regra é executada novamente em intervalos fixos, aplicando um período de pesquisa com base na frequência que escolher:

  • A cada 24 horas
  • A cada 12 horas
  • A cada 3 horas
  • A cada hora
  • Contínua (NRT) – é executada continuamente, verificando os dados dos eventos à medida que são recolhidos e processados quase em tempo real (NRT). Para obter mais informações, veja Frequência contínua (NRT).
  • Personalizado – é executado de acordo com a frequência que selecionou. Esta opção está disponível se a regra se baseie apenas em dados ingeridos no Microsoft Sentinel. Para obter mais informações, consulte Frequência personalizada para dados do Microsoft Sentinel.

Sugestão

Faça corresponder os filtros de tempo na sua consulta ao período retrospetivo. Os resultados fora do período de pesquisa são ignorados.

Quando edita uma regra, a hora de execução seguinte agendada de acordo com a frequência definida aplica as alterações. A frequência da regra baseia-se na data e hora do evento e não no momento de ingestão. Podem ocorrer pequenos atrasos em execuções específicas, pelo que a frequência configurada não é 100% precisa.

Frequência contínua (NRT)

Definir uma deteção personalizada para ser executada na frequência Contínua (NRT) aumenta a capacidade da sua organização de identificar ameaças mais rapidamente. A utilização da frequência Contínua (NRT) tem um impacto mínimo ou nenhum na utilização dos recursos. Considere utilizá-la para qualquer regra de deteção personalizada qualificada na sua organização.

Na página regras de deteção personalizadas, pode migrar regras de deteções personalizadas que se ajustem à frequência Contínua (NRT) ao selecionar Migrar agora:

Captura de ecrã do botão Migrar agora na pesquisa avançada.

Quando seleciona Migrar agora, vê uma lista de todas as regras compatíveis de acordo com a consulta KQL. Pode optar por migrar apenas todas as regras ou regras selecionadas:

Captura de ecrã das consultas compatíveis com frequência contínua na caça avançada.

Quando seleciona Guardar, a frequência das regras selecionadas é atualizada para a frequência Contínua (NRT).

Consultas que pode executar continuamente

Pode executar uma consulta continuamente, desde que:

  • A consulta referencia apenas uma tabela.
  • A consulta utiliza um operador da lista de funcionalidades de KQL Suportadas. Para o operador matches regex, as expressões regulares devem ser codificadas como literais de cadeia de carateres e seguir as regras de delimitação entre aspas das cadeias de carateres. Por exemplo, a expressão \A regular é representada no KQL como "\\A". A barra invertida extra indica que a outra barra invertida faz parte da expressão regular\A.
  • A consulta não utiliza associações, uniões ou o externaldata operador.
  • A consulta não inclui nenhuma linha de comentários ou informações.
Tabelas que suportam a frequência Contínua (NRT)

As deteções quase em tempo real suportam as seguintes tabelas:

Microsoft Defender XDR Microsoft Sentinel
  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents (exceto LatestDeliveryLocation e LatestDeliveryAction colunas)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • ABAPAuditLog_C
  • ABAPChangeDocsLog_CL
  • AuditLogs
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • CommonSecurityLog
  • GCPAuditLogs
  • MicrosoftGraphActivityLogs
  • OfficeActivity
  • Okta_CL
  • OktaV2_CL
  • ProofpointPOD
  • ProofPointTAPClicksPermitted_CL
  • ProofPointTAPMessagesDelivered_CL
  • SecurityAlert
  • SecurityEvent
  • SigninLogs
 

Nota

Apenas as colunas de disponibilidade geral suportam a frequência Contínua (NRT).

Frequência personalizada para dados de Microsoft Sentinel

Os clientes do Microsoft Sentinel que aderem ao Microsoft Defender podem selecionar a frequência Personalizada quando a regra se baseia apenas em dados que o Microsoft Sentinel ingere.

Quando seleciona esta opção de frequência, é apresentado o componente Executar consulta em cada entrada. Introduza a frequência desejada para a regra e utilize a lista suspensa para selecionar as unidades: minutos, horas ou dias. O intervalo suportado é qualquer valor entre 5 minutos e 14 dias.

Captura de ecrã que mostra a opção Frequência personalizada no guia de configuração das Deteções personalizadas.

Importante

Quando seleciona uma frequência personalizada, o Defender obtém os seus dados a partir de Microsoft Sentinel. Esta condição significa que:

  1. Tem de ter dados disponíveis no Microsoft Sentinel.
  2. Os dados do Defender não suportam a definição de âmbito, uma vez que o Microsoft Sentinel não suporta a definição de âmbito.

Retrospetiva

O período retrospetivo das suas deteções personalizadas pode variar entre cinco minutos e 30 dias, consoante os dados visados e a frequência da sua consulta.

Se as suas deteções personalizadas incluírem dados do Defender XDR, é aplicado um período retrospetivo fixo consoante a frequência da regra selecionada:

  • Para deteções configuradas para serem executadas a cada 24 horas, o período retrospetivo é 30 dias.
  • Para deteções configuradas para serem executadas a cada 12 horas, o período retrospetivo é 48 horas.
  • Para deteções configuradas para serem executadas de três em três horas, o período retrospetivo é 12 horas.
  • Para as deteções configuradas para serem executadas de hora em hora, o período retrospetivo é de quatro horas.

Se as suas deteções personalizadas visarem apenas dados do Microsoft Sentinel, pode personalizar o período de retrospetiva consoante a frequência da regra que definiu:

  • Para as deteções definidas para serem executadas em frequências superiores (mais frequentes) do que uma hora, o período de procura está limitado a menos de 48 horas.
  • Para deteções definidas para serem executadas com frequências superiores a um dia, o período de retrospetiva pode ser configurado até um máximo de 14 dias.
  • Para deteções configuradas para serem executadas com frequências de um dia ou menos, o período retrospetivo pode ser configurado para até 30 dias.

Importante

As deteções personalizadas são avaliadas ingestion_time() para ter em conta os atrasos na ingestão. Como as deteções personalizadas avaliam ingestion_time() em vez das marcas temporais dos eventos, os eventos com valores de Timestamp ou TimeGenerated mais antigos do que o período de retrospetiva configurado podem mesmo assim ser incluídos na avaliação da regra.

Quando o período retrospetivo é superior à frequência, podem ocorrer eventos duplicados. No entanto, as deteções personalizadas agrupam-nas e eliminam automaticamente os duplicados para reduzir o ruído e a fadiga de alertas.

3. Definir detalhes de melhoramento de alertas

Pode enriquecer os alertas ao fornecer e definir mais detalhes. Quando enriquece os alertas, pode:

Criar um título e descrição de alerta dinâmico

Pode criar dinamicamente o título e a descrição do alerta com os resultados da consulta para torná-los precisos e indicativos. Esta funcionalidade pode aumentar a eficiência dos analistas do SOC ao triagem de alertas e incidentes e ao tentar compreender rapidamente a essência de um alerta.

Para configurar dinamicamente o título ou descrição do alerta, integre-os na secção Detalhes do alerta ao utilizar os nomes de texto gratuitos das colunas disponíveis nos resultados da consulta e que os rodeiam com parênteses duplos.

Por exemplo: User {{AccountName}} unexpectedly signed in from {{Location}}

Nota

Pode referenciar até três colunas em cada campo.

Captura de ecrã que mostra o título do alerta dinâmico e os campos de descrição no assistente Deteções personalizadas.

Para o ajudar a decidir os nomes exatos das colunas que pretende referenciar, selecione Explorar consulta e resultados. Esta seleção abre o painel de contexto da Procura avançada, sobreposto ao assistente de criação de regras, onde pode examinar a lógica da sua consulta e os respetivos resultados.

Adicionar detalhes personalizados

Pode melhorar ainda mais a produtividade dos analistas do SOC mostrando detalhes importantes no painel lateral do alerta. Pode mostrar os dados dos eventos nos alertas criados a partir desses eventos. Esta funcionalidade dá aos analistas do SOC visibilidade imediata dos conteúdos dos eventos dos incidentes, permitindo-lhes fazer a triagem, investigar e tirar conclusões mais rapidamente.

Na secção Detalhes personalizados , adicione pares chave-valor correspondentes aos detalhes que pretende ver:

  • No campo Chave , introduza um nome à sua escolha que seja apresentado como o nome do campo nos alertas.
  • No campo Parâmetro , selecione o parâmetro de evento que pretende apresentar nos alertas da lista pendente. Esta lista é preenchida por valores correspondentes aos nomes das colunas que a consulta KQL produz.

Captura de ecrã que mostra a opção

A seguinte captura de ecrã mostra como os detalhes personalizados aparecem no painel lateral do alerta:

Captura de ecrã que mostra os detalhes personalizados tal como aparecem no painel lateral do alerta do portal Defender.

Importante

Os detalhes personalizados têm as seguintes limitações:

  1. Cada regra está limitada a até 20 pares chave-valor de detalhes personalizados.
  2. O limite de tamanho combinado para todos os detalhes personalizados e os respetivos valores num único alerta é de 4 KB. Se a matriz de detalhes personalizados exceder este limite, toda a matriz de detalhes personalizados será removida do alerta.

Identifique as colunas nos resultados da sua consulta onde espera encontrar a entidade principal afetada ou impactada. Por exemplo, uma consulta pode devolver endereços do remetente (SenderFromAddress ou SenderMailFromAddress) e do destinatário (RecipientEmailAddress). Identificar quais destas colunas representam a entidade afetada principal ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e ações de resposta de destino.

Só pode selecionar uma coluna para cada tipo de entidade (caixa de correio, utilizador ou dispositivo). Não pode selecionar colunas que não são devolvidas pela consulta.

Mapeamento de entidades expandido

Pode ligar uma vasta gama de tipos de entidade aos seus alertas. Associar mais entidades ajuda o motor de correlação a agrupar alertas nos mesmos incidentes e a correlacionar incidentes entre si. Se for cliente do Microsoft Sentinel, isso também significa que pode mapear qualquer entidade das fontes de dados de terceiros cujos dados são ingeridos no Microsoft Sentinel.

Para Microsoft Defender XDR dados, as entidades são selecionadas automaticamente. Se os dados forem de Microsoft Sentinel, tem de selecionar as entidades manualmente.

Nota

As entidades afetam a forma como os alertas são agrupados em incidentes. Certifique-se de rever cuidadosamente as entidades para garantir a alta qualidade dos incidentes. Para obter mais informações, veja Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender.

A secção Mapeamento de entidades expandida tem duas secções onde pode selecionar entidades:

  • Recursos afetados – adicione recursos afetados que aparecem nos eventos selecionados. Pode adicionar os seguintes tipos de recursos:
    • Conta
    • Dispositivo
    • Caixa de correio
    • Aplicação na cloud
    • recurso do Azure
    • Recurso amazon Web Services
    • Recurso do Google Cloud Platform
  • Evidências relacionadas – Adicione ativos não patrimoniais que apareçam nos eventos selecionados. Os tipos de entidade suportados são:
    • Processo
    • Ficheiro
    • Valor do registo
    • IP
    • Aplicação OAuth
    • DNS
    • Grupo de segurança
    • URL
    • Cluster de correio
    • Mensagem de correio

Nota

Atualmente, só pode mapear recursos como entidades afetadas.

Captura de ecrã que mostra as opções de mapeamento de entidades no assistente de Deteções personalizadas.

Depois de selecionar um tipo de entidade, selecione um tipo de identificador que exista nos resultados da consulta selecionada para que possa utilizá-lo para identificar esta entidade. Cada tipo de entidade tem uma lista de identificadores suportados, como mostrado no menu suspenso correspondente. Para compreender melhor cada identificador, leia a descrição apresentada quando paira o cursor do rato sobre o mesmo.

Depois de selecionar o identificador, selecione uma coluna nos resultados da consulta que contém o identificador selecionado. Selecione Explorar consulta e resultados para abrir o painel de contexto de investigação avançado. Esta opção permite-lhe explorar a consulta e os resultados para se certificar de que escolhe a coluna certa para o identificador selecionado.

4. Especificar ações

Se a sua regra de deteção personalizada usar dados do Defender, pode tomar automaticamente ações em dispositivos, ficheiros, utilizadores ou emails que a consulta devolva.

Captura de ecrã a mostrar ações para deteções personalizadas no portal do Microsoft Defender.

Ações em dispositivos

Aplique estas ações aos dispositivos na DeviceId coluna dos resultados da consulta:

Ações em ficheiros

  • Quando selecionada, a ação Permitir/Bloquear pode ser aplicada ao ficheiro. O bloqueio de ficheiros só é permitido se tiver permissões de Remediate para ficheiros e se os resultados da consulta identificarem um identificador de ficheiro, como um hash SHA-1. Assim que um ficheiro é bloqueado, outras instâncias do mesmo ficheiro em todos os dispositivos também são bloqueadas. Pode controlar a que grupo de dispositivos o bloqueio se aplica, mas não dispositivos específicos.

  • Quando selecionada, a ação Ficheiro de quarentena pode ser aplicada aos ficheiros na SHA1coluna , InitiatingProcessSHA1, SHA256ou InitiatingProcessSHA256 dos resultados da consulta. Esta ação elimina o ficheiro da localização atual e coloca uma cópia em quarentena.

Ações nos utilizadores

  • Quando selecionada, a ação Marcar utilizador como comprometido aplica-se aos utilizadores na coluna AccountObjectId, InitiatingProcessAccountObjectId ou RecipientObjectId nos resultados da consulta. Esta ação define o nível de risco do utilizador para "alto" no Microsoft Entra ID, acionando as políticas de proteção de identidade correspondentes.

  • Selecione Desativar utilizador para impedir temporariamente um utilizador de iniciar sessão.

  • Selecione Repor a autenticação do utilizador para solicitar ao utilizador que altere a palavra-passe no próximo início de sessão (para identidades locais) ou para exigir que inicie sessão novamente (para identidades do Microsoft Entra).

  • As opções Desativar utilizador e Repor autenticação de utilizador requerem o identificador de segurança do utilizador (SID), que estão nas colunas AccountSid, InitiatingProcessAccountSid, RequestAccountSide OnPremSid.

  • No caso das identidades Microsoft Entra, o parâmetro AccountObjectId é necessário em todas as ações.

Para obter mais informações sobre as ações do utilizador, consulte Ações de remediação no Microsoft Defender para Identidade e Ações de remediação no Microsoft Defender para Aplicações na Cloud.

Ações em e-mails

  • Se a deteção personalizada devolver mensagens de e-mail, pode selecionar Mover para a pasta da caixa de correio para mover o e-mail para uma pasta selecionada (uma das seguintes pastas: Lixo, Caixa de entrada ou Itens eliminados). Especificamente, pode mover resultados de e-mail de itens em quarentena (por exemplo, no caso de falsos positivos) ao selecionar a opção Caixa de Entrada .

    Captura de ecrã a mostrar a opção Caixa de Entrada em deteções personalizadas no portal do Microsoft Defender.

  • Em alternativa, pode selecionar Eliminar e-mail e, em seguida, optar por mover os e-mails para Itens Eliminados (Eliminação recuperável) ou eliminar permanentemente os e-mails selecionados (Eliminação rápida).

As colunas NetworkMessageId e RecipientEmailAddress têm de estar presentes nos resultados de saída da consulta para aplicar ações às mensagens de correio eletrónico.

5. Definir o âmbito da regra

Defina o âmbito para especificar os dispositivos que a regra abrange. O âmbito influencia as regras que verificam os dispositivos e não afetam regras que verificam apenas caixas de correio e contas de utilizador ou identidades.

Ao definir o âmbito, selecione:

  • Todos os dispositivos
  • Grupos de dispositivos específicos

A regra consulta os dados apenas dos dispositivos no âmbito. Efetua ações apenas nesses dispositivos.

Nota

Os utilizadores só podem criar ou editar uma regra de deteção personalizada se tiverem as permissões correspondentes para os dispositivos incluídos no âmbito da regra. Por exemplo, os administradores só podem criar ou editar regras que estejam confinadas a todos os grupos de dispositivos se tiverem permissões para todos os grupos de dispositivos.

6. Reveja e ative a regra

Depois de rever a regra, selecione Criar para guardá-la. A regra de deteção personalizada é executada imediatamente. É executada novamente com base na frequência configurada para verificar a existência de correspondências, gerar alertas e efetuar ações de resposta.

Importante

Reveja regularmente as deteções personalizadas quanto à sua eficiência e eficácia. Para obter orientações sobre como otimizar as suas consultas, consulte Melhores práticas para consultas de caça avançada. Para se certificar de que está a criar deteções que acionam alertas verdadeiros, dedure algum tempo para rever as deteções personalizadas existentes ao seguir os passos em Gerir regras de deteção personalizadas existentes.

Mantém o controlo sobre a amplitude ou a especificidade das suas deteções personalizadas. Quaisquer alertas falsos gerados por deteções personalizadas podem indicar a necessidade de modificar determinados parâmetros das regras.

Como as deteções personalizadas processam alertas duplicados

Uma consideração importante ao criar e rever regras de deteção personalizadas é ruído de alerta e fadiga. As deteções personalizadas agrupam e eliminam eventos duplicados num único alerta. Se uma regra de deteção personalizada for executada duas vezes num evento que contenha as mesmas entidades, detalhes personalizados e detalhes dinâmicos, cria um alerta para ambos os eventos. Se a regra de deteção reconhecer que os eventos são idênticos, regista um dos eventos no alerta criado e trata dos duplicados. Podem ocorrer duplicações quando o período retrospetivo é superior à frequência. Se os eventos forem diferentes, a deteção personalizada regista ambos os eventos no alerta.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.