Definição de filtro e critérios de agregação

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

4 min. de leitura

Você pode definir e definir condições de filtro para que possa especificar quais incidentes Microsoft Azure Sentinel de entrada devem criar incidentes de segurança. Você também pode definir critérios de campo de incidente adicionais que permitem que um incidente de entrada seja anexado a um incidente de segurança em aberto em vez de criar um incidente.

Definir as condições de filtragem para incidentes de segurança

Defina as condições de filtragem para que os incidentes de segurança sejam criados somente quando as condições de filtragem corresponderem.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Este tipo de filtragem ajuda a isolar incidentes de segurança e limita o número de incidentes de segurança que você cria. Se você definir critérios de filtragem adicionais, somente os incidentes necessários serão ingeridos sem precisar mudar a consulta ou a configuração do incidente acionado.

Procedimento

Para definir os critérios que um incidente Microsoft Azure Sentinel de entrada deve satisfazer para que um incidente de segurança seja criado, selecione Filtrar com base em condições.
As opções no primeiro campo nas Condições do filtro correspondem aos campos exibidos na seção Ingestão de incidente de amostra do Azure Sentinel para o incidente que você ingeriu. Esses campos são dinâmicos e mudam dependendo do incidente que você ingere. Os critérios inseridos fazem distinção entre maiúsculas e minúsculas. Verifique se os critérios definidos correspondem aos valores do incidente.
Use a condição de filtro contém para os seguintes campos com vários valores:
- properties(labels)
- properties(additionalData(alertProductNames))
- properties(relatedAnalyticRuleIds)
- properties(additionalData(tactics))
Como a condição do filtro pode recuperar somente cadeias de caracteres, você deve usar a condição do filtro " contém " nos campos acima para garantir que os dados sejam filtrados corretamente.

Figura 1. Condições de geração de incidente de segurança
Usando as listas e os campos do construtor de condições, defina os filtros para a primeira linha.
Para adicionar mais condições, clique em E ou OU.
- Se AND for selecionado, todas as condições deverão ser correspondidas.
- Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
Para definir uma segunda condição de filtro, clique em Novos critérios.

Definir condições de agregação

Defina critérios de agregação de incidentes adicionais que agregam um incidente de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes, potencialmente duplicados. Quando você usa critérios de valor de correspondência de campo para cada perfil, essa agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de incidentes relacionados em um único incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Se um novo incidente corresponder a todos os valores selecionados nas condições de campo de agregação na etapa de mapeamento, o incidente será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os incidentes agregados adicionados em uma lista relacionada em um incidente de segurança.

Todos os incidentes agregados em um incidente de segurança são exibidos na lista relacionada de incidentes agregados do Azure Sentinel. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que os incidentes são adicionados aos incidentes de segurança existentes.

Procedimento

Para definir critérios de campo de incidente adicionais que permitem que um incidente Microsoft Azure Sentinel de entrada seja anexado a um incidente de segurança aberto em vez de criar um novo incidente, selecione a opção Condições de agregação, conforme mostrado na figura a seguir.

Figura 2. Condições de Agregação
No campo Campos de incidente com valores correspondentes, insira os valores de campo que você deseja corresponder aos incidentes de segurança existentes na sua instância Now Platform.
Todos os valores de campo selecionados no campo de entrada de seleção múltipla devem corresponder para que os critérios de agregação sejam atendidos e para que este incidente de entrada possa ser anexado a um incidente de segurança existente. Esta seleção implica que é uma condição E em que campos, como Observáveis e Itens de configuração que podem ter vários valores de campo, são mapeados para eles. Se apenas um subconjunto dos valores for correspondido, as condições de agregação de incidente do Azure Sentinel não serão atendidas e um novo incidente de segurança será criado.
Para adicionar várias condições de correspondência de campo, clique em Adicionar novos critérios
A agregação ocorrerá se qualquer uma das condições do campo de seleção múltipla que você definir forem atendidas. Esta seleção implica a condição OU.
Para atualizar a anotação de trabalho de um novo incidente quando ele for adicionado a um incidente de segurança, selecione Registrar anotação de trabalho para novo incidente.

A anotação de trabalho registra que um novo incidente foi adicionado e inclui um link para os detalhes do incidente. A anotação de trabalho de log também atualiza mais detalhes que você adiciona ao campo de anotação de trabalho em sua seção de mapeamento.
Para configurar a programação, clique em Continuar.

O que Fazer Depois

Defina uma programação para recuperar os dados do incidente e os incidentes ingeridos que correspondem aos critérios no perfil.