Compartilhar via


Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel

Os analistas de SOC lidam com inúmeros alertas e incidentes de segurança, e o volume grande pode sobrecarregar as equipes, resultando em alertas sendo ignorados e incidentes não sendo investigados. Muitos alertas e incidentes podem ser resolvidos pelos mesmos conjuntos de ações de correção predefinidas, que podem ser automatizados para tornar o SOC mais eficiente e liberar analistas para investigações mais aprofundadas.

Use os guias estratégicos do Microsoft Sentinel para executar conjuntos pré-configurados de ações de correção para ajudar a automatizar e orquestrar sua resposta a ameaças. Execute guias estratégicos automaticamente, em resposta a alertas e incidentes específicos que disparam uma regra de automação configurada ou manualmente e sob demanda para uma entidade ou alerta específico.

Por exemplo, se uma conta e um computador estiverem comprometidos, um guia estratégico poderá isolar automaticamente o computador da rede e bloquear a conta no momento em que a equipe do SOC for notificada sobre o incidente.

Observação

Como os guias estratégicos fazem uso de Aplicativos Lógicos do Azure, encargos adicionais podem ser aplicados. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

A seguinte tabela lista casos de uso de alto nível em que recomendamos usar guias estratégicos do Microsoft Sentinel para automatizar sua resposta contra ameaças:

Caso de uso Descrição
Enriquecimento Colete dados e anexe-os a um incidente para ajudar sua equipe a tomar decisões mais inteligentes.
Sincronização bidirecional Sincronize incidentes do Microsoft Sentinel com outros sistemas de tíquetes. Por exemplo, crie uma regra de automação para todas as criações de incidentes e anexe um guia estratégico que abre um tíquete no ServiceNow.
Orquestração Use a plataforma de chat da equipe do SOC para controlar melhor a fila de incidentes. Por exemplo, envie mensagem para o canal de operações de segurança no Microsoft Teams ou Slack para assegurar que os analistas de segurança estejam cientes do incidente.
Response Responda imediatamente a ameaças, com o mínimo de dependências humanas, como quando um usuário ou computador comprometido é indicado. Como alternativa, dispare manualmente uma série de etapas automatizadas durante uma investigação ou durante a busca.

Para obter mais informações, consulte Casos de uso, modelos e exemplos recomendados do guia estratégico.

Pré-requisitos

As funções a seguir são necessárias para usar os Aplicativos Lógicos do Azure para criar e executar guias estratégicos no Microsoft Sentinel.

Função Descrição
Proprietário Permite-lhe conceder acesso aos manuais no grupo de recursos.
Colaborador do Microsoft Sentinel Permite anexar um guia estratégico a uma regra de análise ou automação.
Respondente do Microsoft Sentinel Permite que você acesse um incidente para executar um guia estratégico manualmente, mas não permite que você execute o guia estratégico.
Operador de Guia Estratégico do Microsoft Sentinel Permite executar um guia estratégico manualmente.
Colaborador de automação do Microsoft Sentinel Permite que as regras de automação executem guias estratégicos. Esta função não é usada para nenhuma outra finalidade.

A tabela a seguir descreve as funções necessárias com base em se você seleciona um aplicativo lógico de Consumo ou Standard para criar seu guia estratégico:

Aplicativo lógico Funções do Azure Descrição
Consumo Colaborador de Aplicativo Lógico Editar e gerenciar aplicativos lógicos. Execute guias estratégicos. Não permite que você conceda acesso a guias estratégicos.
Consumo Operador de Aplicativo Lógico Ler, habilitar e desabilitar aplicativos lógicos. Não permite que você edite ou atualize aplicativos lógicos.
Standard Operador Standard dos Aplicativos Lógicos Habilitar, reenviar e desabilitar fluxos de trabalho em um aplicativo lógico.
Standard Desenvolvedor Standard dos Aplicativos Lógicos Criar e editar aplicativos lógicos.
Standard Colaborador Standard dos Aplicativos Lógicos Gerenciar todos os aspectos de um aplicativo lógico.

A guia Guias estratégicos ativos na página Automação exibe todos os guias estratégicos ativos disponíveis em todas as assinaturas selecionadas. Por padrão, um guia estratégico só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.

Permissões extras necessárias para o Microsoft Sentinel executar guias estratégicos

O Microsoft Sentinel usa uma conta de serviço para executar guias estratégicos em incidentes, para adicionar segurança e habilitar a API de regras de automação para dar suporte a casos de uso de CI/CD. Essa conta de serviço é usada para manuais acionados por incidentes ou quando você executa um manual manualmente em um incidente específico.

Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos onde o guia estratégico reside, na forma da função Microsoft Sentinel Automation Contributor . Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer guia estratégico no grupo de recursos relevante, manualmente ou com uma regra de automação.

Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de Proprietário ou Administrador de acesso de usuário. Para executar os guias estratégicos, você também precisará da função de Colaborador do Aplicativo Lógico no grupo de recursos que contém os guias estratégicos que você deseja executar.

Modelos de guia estratégico (versão prévia)

Importante

Os Modelos de guias estratégicos estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Os modelos de guia estratégico são fluxos de trabalho predefinidos, testados e prontos para uso que não são utilizáveis como guias estratégicos, mas estão prontos para serem personalizados para atender às suas necessidades. Também recomendamos que você use modelos de guia estratégico como referência de práticas recomendadas ao desenvolver guias estratégicos do zero ou como inspiração para novos cenários de automação.

Obtenha modelos de guia estratégico das seguintes fontes:

Localidade Descrição
Página automação do Microsoft Sentinel A guia Modelos de guia estratégico lista todos os guias estratégicos instalados. Crie um ou mais guias estratégicos ativos usando o mesmo modelo.

Quando publicamos uma nova versão de um modelo, todos os guias estratégicos ativos criados com base nesse modelo têm um rótulo extra adicionado na guia Guias estratégicos ativos para indicar que uma atualização está disponível.
Página do Hub de Conteúdo do Microsoft Sentinel Os modelos de guia estratégico estão disponíveis como parte de soluções de produtos ou conteúdo autônomo que você instala a partir do Hub de conteúdo.

Para obter mais informações, consulte:
Sobre o conteúdo e as soluções do Microsoft Azure Sentinel
Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel
GitHub O repositório do GitHub do Microsoft Sentinel contém muitos outros modelos de guia estratégico. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure.

Tecnicamente, um modelo de guia estratégico é um modelo do ARM (Azure Resource Manager), que consiste de vários recursos: um fluxo de trabalho dos Aplicativos Lógicos do Azure e conexões de API para cada conexão envolvida.

Para saber mais, veja:

Criação de guia estratégico e fluxo de trabalho de uso

Use o seguinte fluxo de trabalho para criar e executar guias estratégicos do Microsoft Sentinel:

  1. Defina o seu cenário de automação. Recomendamos que você examine os casos de uso recomendados para guias estratégicos e os modelos de guia estratégico para começar.

  2. Se você não estiver usando um modelo, crie o seu guia estratégico e compile o seu aplicativo lógico. Para obter mais informações, confira Criar e gerenciar guias estratégicos do Microsoft Sentinel.

    Teste seu aplicativo lógico executando-o manualmente. Para obter mais informações, confira Executar um guia estratégico manualmente sob demanda.

  3. Configure seu guia estratégico para ser executado automaticamente em um novo alerta ou criação de incidente ou execute-o manualmente, conforme necessário para seus processos. Para obter mais informações, consulte Responder a ameaças com guias estratégicos do Microsoft Sentinel.