Compartilhar via

Criar regras de análise agendadas a partir de modelos

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

De longe, o tipo mais comum de regra de análise, as regras Agendadas, é baseado em consultas Kusto que são configuradas para serem executadas em intervalos regulares e examinam dados brutos de um período de "lookback" definido. Essas consultas podem executar operações estatísticas complexas em seus dados de destino, revelando linhas de base e exceções em grupos de eventos. Se o número de resultados capturados pela consulta ultrapassar o limite configurado na regra, a regra produzirá um alerta.

A Microsoft disponibiliza uma ampla variedade de modelos de regra de análise para você por meio das muitas soluções fornecidas no Hub de Conteúdo e incentiva você a usá-los para criar suas regras. As consultas em modelos de regra agendada foram escritas por especialistas em segurança e ciência de dados, da Microsoft ou do fornecedor da solução que fornece o modelo.

Este artigo mostra como criar uma regra de análise agendada usando um modelo.

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para saber mais, confira É hora de seguir em frente: desativação do portal do Azure no Microsoft Sentinel para aumentar a segurança.

Exibir regras de análise existentes

Para exibir as regras de análise instaladas no Microsoft Sentinel, vá para a página Análise. A guia Modelos de regra exibe todos os modelos de regra instalados. Para encontrar mais modelos de regra, acesse o Hub de conteúdos no Microsoft Sentinel para instalar as soluções relacionadas ao produto ou conteúdos autônomos.

  1. No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

  2. Na tela Análise, selecione a guia Modelos de regra.

  3. Se você quiser filtrar a lista de modelos Agendados:

    1. Selecione Adicionar filtro e escolha o Tipo de regra na lista de filtros.

    2. Na lista resultante, selecione Agendado. Em seguida, selecione Aplicar.

    Captura de tela dos modelos de regra de análise agendada no portal do Microsoft Defender.

Criar uma regra com base em um modelo

Este procedimento descreve como criar uma regra de análise a partir de um modelo.

No menu de navegação do Microsoft Defender, expanda Microsoft Sentinel e, em seguida, Configuração. Selecione Análise.

  1. Na tela Análise, selecione a guia Modelos de regra.

  2. Selecione um nome de modelo e, em seguida, selecione o botão Criar regra no painel de detalhes para criar uma nova regra ativa com base nesse modelo.

    Cada modelo tem uma lista de fontes de dados necessárias. Quando você abre o modelo, as fontes de dados são verificadas automaticamente quanto à disponibilidade. Se uma fonte de dados não estiver habilitada, o botão Criar regra poderá estar desabilitado ou você poderá ver uma mensagem nesse sentido.

    Captura de tela do painel de visualização da regra de análise.

  3. O assistente de criação de regra é aberto. Todos os detalhes são preenchidos automaticamente.

  4. Percorra as guias do assistente, personalizando a lógica e outras configurações de regra sempre que possível para atender melhor às suas necessidades específicas. Para obter mais informações, consulte:

    Quando você chega ao final do assistente de criação de regra, o Microsoft Sentinel cria a regra. A nova regra aparece na guia Regras ativas.

    Repita o processo para criar mais regras. Para obter mais detalhes sobre como personalizar suas regras no assistente de criação de regras, consulte Criar uma regra de análise personalizada do zero.

Dica

  • Habilite todas as regras associadas às fontes de dados conectadas para garantir a cobertura de segurança total para o ambiente. A maneira mais eficiente de habilitar as regras de análise é diretamente da página do conector de dados, que lista todas as regras relacionadas. Para obter mais informações, confira Conectar fontes de dados.

  • Você também pode enviar regras por push ao Microsoft Sentinel por meio da API e do PowerShell, embora isso exija ações adicionais.

    Ao usar a API ou o PowerShell, você precisa primeiro exportar as regras ao JSON para depois habilitar as regras. A API ou o PowerShell pode ser útil ao habilitar regras em várias instâncias do Microsoft Sentinel com configurações idênticas em cada instância.

Próximas etapas

Neste documento, você aprendeu a criar regras de análise agendadas a partir de modelos no Microsoft Sentinel.