Sete Consultas para Auditar Detecções do Sentinel que Seu SOC Pode Ter Perdido

Rohitashokgowd publicou sete consultas KQL que revelam modos de falha que os health checks embutidos do Sentinel não detectam. Isso inclui regras "zumbis" silenciosas que são executadas com sucesso contra tabelas vazias (usando a coluna QueryResultAmount em _SentinelHealth), detectores "sombra" que geram alertas que nunca se tornam incidentes, e regras de "tudo é benigno" onde os dados de Classificação do analista mostram mais de 90% de fechamentos não acionáveis. Também são abordados feeds quebrados onde as regras consultam tabelas que pararam de ingerir dados.

O autor também destaca regras desabilitadas e esquecidas (sinalizadas via SentinelAudit), detecções não rastreadas sem táticas MITRE ou mapeamentos de entidade, e coverage drift, onde o volume de alertas de uma técnica MITRE cai 60%+ entre janelas contínuas de 30 dias. Três das verificações dependem de um padrão de inventário de regras no qual uma Logic App agendada puxa definições de regras analíticas ARM para uma tabela personalizada do Log Analytics (SentinelAnalyticalRules_CL), permitindo que texto de consulta e metadados sejam combinados em KQL. Engenheiros de detecção devem executar essas consultas trimestralmente para identificar o perigoso cenário onde regras estão "verdes" e os dados fluem, mas o padrão de detecção parou de corresponder, a fim de aposentar, ajustar ou redirecionar as regras adequadamente, em vez de permitir que regras desabilitadas e feeds silenciosos mascarem a cobertura.