Compartilhar via


Automação no Microsoft Sentinel: Orquestração de segurança, automação e resposta (SOAR)

Normalmente, as equipes de gerenciamento de informações de segurança e eventos (SIEM) e do centro de operações de segurança (SOC) são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que os funcionários disponíveis ficam sobrecarregados. Muitas vezes isso gera situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.

Além de ser um sistema SIEM, o Microsoft Sentinel também é uma plataforma de orquestração de segurança, automação e resposta (SOAR). Uma das principais finalidades é automatizar todas as tarefas recorrentes e previsíveis de enriquecimento, resposta e correção que são de responsabilidade da equipe e do centro de operações de segurança (SOC/SecOps), liberando tempo de atividade e recursos para uma investigação mais aprofundada e para a busca de ameaças avançadas.

Este artigo descreve os recursos SOAR do Microsoft Sentinel e mostra como o uso de regras de automação e manuais em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Regras de automação

O Microsoft Sentinel usa regras de automação para permitir que os usuários gerenciem a automação do tratamento de incidentes a partir de um local central. Use regras de automação para:

  • Atribua automação mais avançada a incidentes e alertas, usando guias estratégicos
  • Marcar, atribuir ou fechar incidentes automaticamente sem um guia estratégico
  • Automatizar respostas para várias regras de análise de uma só vez
  • Crie tarefas para que seus analistas sigam na triagem, na investigação e na correção de incidentes
  • Controlar a ordem das ações executadas

Recomendamos que você aplique regras de automação quando os incidentes forem criados ou atualizados para agilizar ainda mais a automação e simplificar fluxos de trabalho complexos para seus processos de orquestração de incidentes.

Para mais informações, confira Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.

Guias estratégicos

Um guia estratégico é uma coleção dessas respostas e ações de correção que podem ser executadas rotineiramente no Microsoft Sentinel. Um guia estratégico pode:

  • Ajude a automatizar e orquestrar sua resposta contra ameaças
  • Integrar-se a outros sistemas, tanto internos quanto externos
  • Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, ou ser executado manualmente sob demanda, como em resposta a novos alertas

No Microsoft Sentinel, os manuais são baseados em fluxos de trabalho criados no Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda a programar, automatizar e orquestrar tarefas e fluxos de trabalho nos sistemas da empresa. Isso significa que os guias estratégicos podem aproveitar toda a capacidade e a personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e ferramentas de design fáceis de usar, bem como escalabilidade, confiabilidade e nível de serviço de um serviço do Azure de camada 1.

Para saber mais, confira Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.

Automação com a plataforma de operações de segurança unificada

Depois de integrar seu workspace do Microsoft Sentinel à plataforma de operações de segurança unificada, observe as seguintes diferenças na maneira como a automação funciona em seu workspace:

Funcionalidade Descrição
Regras de automação com gatilhos de alerta Na plataforma de operações de segurança unificada, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel.

Para mais informações, consulte Gatilho para criar alerta.
Regras de automação com gatilhos de incidente No portal do Azure e na plataforma de operações de segurança unificada, a propriedade de condição do Provedor de incidentes foi removida, pois todos os incidentes têm o Microsoft Defender XDR como o provedor de incidentes (o valor no campo ProviderName).

Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do Provedor de incidentes é definida apenas para Microsoft Sentinel ou Microsoft 365 Defender.

No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente nos incidentes que contêm alertas criados pela regra de análise especificada. Isto significa que você pode definir a propriedade de condição Nome da regra de análise para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada apenas em incidentes no Microsoft Sentinel.

Para obter mais informações, consulte Condições de gatilho de incidente.
Alterações nos nomes de incidentes existentes Na plataforma unificada de operações SOC, o portal do Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu workspace à plataforma unificada de operações SOC, os nomes de incidentes existentes poderão ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar os títulos dos incidentes como critérios de condição em suas regras de automação. Em vez disso, sugerimos usar o nome de qualquer regra de análise que criou alertas incluídos no incidente e marcas, se for necessária mais especificidade.
Campo Atualizado por
  • Depois de integrar o seu workspace, o campo Atualizado por tem um novo conjunto de valores com suporte, que não incluem mais o Microsoft 365 Defender. Nas regras de automação existentes, o Microsoft 365 Defender é substituído por um valor de Outros depois de integrar seu workspace.

  • Se várias alterações forem feitas no mesmo incidente em um período de 5 a 10 minutos, uma única atualização será enviada ao Microsoft Sentinel, com apenas a alteração mais recente.

    Para obter mais informações, consulte Gatilho de atualização de incidentes.
  • Regras de automação que adicionam tarefas de incidente Se uma regra de automação adicionar uma tarefa de incidente, a tarefa será mostrada somente no portal do Azure.
    Regra de criação de incidentes da Microsoft Não há suporte para regras de criação de incidentes da Microsoft na plataforma de operações de segurança unificada.

    Para obter mais informações, confira Incidentes do Microsoft Defender XDR e regras de criação de incidentes da Microsoft.
    Executar regras de automação no portal do Defender Pode levar até 10 minutos desde o momento em que um alerta é disparado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse atraso de tempo ocorre porque o incidente é criado no portal do Defender e encaminhado para o Microsoft Sentinel para a regra de automação.
    Guia dos guias estratégicos ativos Após integrar a plataforma unificada de operações de segurança, por padrão, a guia Guias estratégicos ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados em outras assinaturas usando o filtro de assinatura.

    Para obter mais informações, consulte Criar e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos de conteúdo.
    Executar guias estratégicos manualmente sob demanda No momento, os procedimentos a seguir não são compatíveis com a plataforma de operações de segurança unificada:
  • Executar um guia estratégico manualmente em um alerta
  • Executar um guia estratégico manualmente em uma entidade
  • A execução de guias estratégicos em incidentes requer a sincronização do Microsoft Sentinel Se você tentar executar um guia estratégico em um incidente da plataforma de operações de segurança unificada e vir a mensagem "Não é possível acessar dados relacionados a esta ação. Atualize a tela em alguns minutos." mensagem, isso significa que o incidente ainda não foi sincronizado com o Microsoft Sentinel.

    Atualize a página de incidentes depois que o incidente for sincronizado para executar o guia estratégico com êxito.
    Incidentes: adicionar alertas a incidentes /
    Removendo alertas de incidentes
    Como não há suporte para adicionar alertas ou remover alertas de incidentes depois de integrar seu workspace à plataforma de operações de segurança unificada, essas ações também não têm suporte de dentro de guias estratégicos. Para mais informações, confira Diferenças de capacidade entre portais.