Criar e gerenciar guias estratégicos do Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser anexado a uma regra de automação para ser executado automaticamente quando alertas específicos são gerados ou quando incidentes são criados ou atualizados. Os guias estratégicos também podem ser executados manualmente sob demanda em incidentes, alertas ou entidades específicos.

Este artigo descreve como criar e gerenciar guias estratégicos do Microsoft Sentinel. Posteriormente, você pode anexar esses guias estratégicos a regras de análise ou regras de automação ou executá-los manualmente em incidentes, alertas ou entidades específicos.

Observação

Guias estratégicos no Microsoft Sentinel são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, o que significa que você tem todo o poder, personalização e modelos internos de aplicativos lógicos. Encargos adicionais podem ser aplicados. Para obter informações sobre preços, visite a página de preços dos Aplicativos Lógicos do Azure.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Como versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

• Uma conta e uma assinatura do Azure. Se você não tem uma assinatura, inscreva-se em uma conta gratuita do Azure.

• Para criar e gerenciar guias estratégicos, você precisa ter acesso ao Microsoft Sentinel com uma das seguintes funções do Azure:

  Aplicativo lógico	Funções do Azure	Descrição
  Consumo	Colaborador de Aplicativo Lógico	Editar e gerenciar aplicativos lógicos.
  Consumo	Operador de Aplicativo Lógico	Ler, habilitar e desabilitar aplicativos lógicos.
  Standard	Operador Standard de Aplicativos Lógicos	Habilitar, reenviar e desabilitar fluxos de trabalho.
  Standard	Desenvolvedor Standard de Aplicativos Lógicos	Crie e edite fluxos de trabalho.
  Standard	Colaborador Standard de Aplicativos Lógicos	Gerenciar todos os aspectos de um fluxo de trabalho.

  Para saber mais, confira a seguinte documentação:

  • Acesso a operações de aplicativo lógico
  • Pré-requisitos do guia estratégico do Microsoft Sentinel.

• Antes de criar seu guia estratégico, recomendamos que você leia Aplicativos Lógicos do Azure para guias estratégicos do Microsoft Sentinel.

Criar um Guia estratégico

Siga estas etapas para criar um guia estratégico no Microsoft Sentinel:

1. No portal do Azure ou no portal do Defender, acesse seu workspace do Microsoft Sentinel. No menu do espaço de trabalho, em Configuração, selecione Automação.

   Portal do Azure

   

   Portal do Defender

   

2. No menu superior, selecione Criar e selecione uma das seguintes opções:

   • Se você estiver criando um guia estratégico de Consumo, selecione uma das opções a seguir, dependendo do gatilho que deseja usar, e siga as etapas para um aplicativo lógico de Consumo:

     • Guia estratégico com gatilho de incidente
     • Guia estratégico com gatilho de alerta
     • Guia estratégico com gatilho de entidade

     Este guia continua com o Guia estratégico com gatilho de entidade.

   • Se você estiver criando um guia estratégico Standard, selecione o Guia estratégico em branco e siga as etapas para o tipo de aplicativo lógico Standard.

   Para obter mais informações, confira Tipos de aplicativo lógico com suporte e Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Preparar o aplicativo lógico do seu guia estratégico

Selecione uma das guias a seguir para obter detalhes sobre como criar um aplicativo lógico para seu guia estratégico, dependendo se você está usando um aplicativo lógico de Consumo ou Standard. Para obter mais informações, confira Tipos de aplicativo lógico com suporte.

Dica

Se os seus guias estratégicos precisarem acessar recursos protegidos que estejam dentro ou conectados a uma rede virtual do Azure, crie um fluxo de trabalho de aplicativo lógico Standard.

Os fluxos de trabalho Standard são executados nos Aplicativos Lógicos do Azure de locatário único e dão suporte o uso de pontos de extremidade privados para tráfego de entrada, de modo que seus fluxos de trabalho possam se comunicar de forma privada e segura com redes virtuais. Os fluxos de trabalho padrão também suportam a integração de redes virtuais para o tráfego de saída. Para obter mais informações, consulte o Tráfego seguro entre redes virtuais e Aplicativos Lógicos do Azure de locatário único, usando pontos de extremidade privados.

Consumo

Depois que você seleciona o gatilho, que inclui um incidente, alerta ou gatilho de entidade, o assistente Criar guia estratégico é exibido, por exemplo:

Siga estas etapas para criar seu guia estratégico:

1. Na folha Informações Básicas, forneça as seguintes informações:

   1. Para Assinatura e Grupo de recursos, selecione os valores desejados em suas respectivas listas.

      O valor Região é definido como a mesma região do workspace do Log Analytics associado.

   2. Em Nome do guia estratégico, insira um nome para o seu guia estratégico.

   3. Para monitorar a atividade desse guia estratégico para fins de diagnóstico, selecione Habilitar logs de diagnóstico no Log Analytics e, em seguida, selecione um workspace do Log Analytics, a menos que já tenha selecionado um espaço de trabalho.

2. Selecione Avançar : Conexões >.

3. Na guia Conexões, recomendamos deixar os valores padrão, que configuram um aplicativo lógico para se conectar ao Microsoft Sentinel com uma identidade gerenciada.

   Para obter mais informações, confira Autenticar guias estratégicos no Microsoft Sentinel.

4. Para continuar, selecione Avançar : Revisar e criar >.

5. Na guia Revisar e criar, revise suas opções de configuração e selecione Criar guia estratégico.

   O Azure leva alguns minutos para criar e implantar seu guia estratégico. Após a conclusão da implantação, seu guia estratégico será aberto no designer do fluxo de trabalho de Consumo para Aplicativos Lógicos do Azure. O gatilho que você selecionou anteriormente aparece automaticamente como a primeira etapa do seu fluxo de trabalho, portanto, agora você pode continuar a criar o fluxo de trabalho a partir daqui.

   

6. No designer, selecione o gatilho do Microsoft Sentinel, se ainda não estiver selecionado.

7. No painel Criar conexão, siga estas etapas para fornecer as informações necessárias para se conectar ao Microsoft Sentinel.

   1. Para Autenticação, selecione um dos seguintes métodos, que afetam os parâmetros de conexão subsequentes:

      Método	Descrição
      OAuth	Open Authorization (OAuth) é um padrão de tecnologia que permite autorizar um aplicativo ou serviço a se conectar a outro sem expor informações privadas, como senhas. O OAuth 2.0 é o protocolo do setor para autorização e concede acesso limitado a recursos protegidos. Para saber mais, consulte os recursos a seguir: - O que é OAuth? - Autorização OAuth 2.0 com Microsoft Entra ID
      Entidade de serviço	Uma entidade de serviço representa uma entidade que requer acesso a recursos que são protegidos por um locatário do Microsoft Entra. Para obter mais informações, consulte Objeto da entidade de serviço.
      Identidade gerenciada	Uma identidade gerenciada automaticamente no Microsoft Entra ID. Os aplicativos podem usar essa identidade para acessar recursos que dão suporte a autenticação do Microsoft Entra e para obter tokens do Microsoft Entra sem precisar gerenciar nenhuma credencial. Para obter segurança ideal, a Microsoft recomenda o uso de uma identidade gerenciada para autenticação quando possível. Essa opção oferece segurança superior e ajuda a manter as informações de autenticação seguras para que você não precise gerenciar essas informações confidenciais. Para saber mais, consulte os recursos a seguir: - O que são identidades gerenciadas para recursos do Azure? - Autenticar o acesso e as conexões aos recursos do Azure com identidades gerenciadas nos Aplicativos Lógicos do Azure.

      Para obter mais informações, consulte Prompts de autenticação.

   2. Com base na opção de autenticação selecionada, forneça os valores de parâmetro necessários para a opção correspondente.

      Para obter mais informações sobre esses parâmetros, consulte Referência do conector Microsoft Sentinel.

   3. Para ID do Locatário, selecione a ID do locatário do Microsoft Entra.

   4. Ao terminar, selecione Entrar.

8. Se você já tiver escolhido o guia estratégico com gatilho de entidade, selecione o tipo de entidade que deseja que esse guia estratégico receba como entrada.

   

Standard

Os guias estratégicos baseados em um fluxo de trabalho padrão não são compatíveis com modelos de guias estratégicos, portanto, você precisa primeiro criar um aplicativo lógico Standard, depois criar o seu guia estratégico e, por fim, escolher o gatilho para o seu guia estratégico.

Depois de selecionar Guia estratégico em branco, uma nova guia do navegador é aberta e o assistente Criar Aplicativo Lógico é exibido. O assistente mostra as opções de hospedagem disponíveis quando Standard - Plano de Serviço de Fluxo de Trabalho já estiver selecionado, por exemplo:

Siga estas etapas para criar o aplicativo lógico Standard:

Criar aplicativo lógico Standard

1. Na página Criar aplicativo lógico, confirme a seleção do plano de hospedagem e selecione Selecionar.

2. Na folha Informações Básicas, forneça as seguintes informações:

   1. Para Assinatura e Grupo de Recursos, selecione os valores desejados em suas respectivas listas.

   2. Em Nome do aplicativo lógico, insira um nome para o seu aplicativo lógico.

   3. Em Região, selecione a região do Azure para seu aplicativo lógico.

   4. Para Plano do Windows (selected-region), crie ou selecione um plano existente.

   5. Para Plano de preços, selecione os recursos de computação e seus preços para seu aplicativo lógico.

   6. Em Redundância de zona, você pode habilitar essa funcionalidade se tiver selecionado uma região do Azure que dê suporte à redundância de zona de disponibilidade.

      Para esse exemplo, deixe a opção desabilitada. Para obter mais informações, confira Proteger aplicativos lógicos contra falhas de região com redundância de zonas e zonas de disponibilidade.

   7. Selecione Avançar: Armazenamento>.

   

3. Na guia Armazenamento, forneça as seguintes informações:

   1. Para Tipo de armazenamento, selecione Armazenamento do Microsoft Azure e crie ou selecione uma conta de armazenamento.

   2. Para Configurações de diagnóstico do serviço Blob, deixe a configuração padrão.

4. Na guia Rede, você pode deixar as opções padrão para esse exemplo.

   Para seus cenários de produção específicos e reais, certifique-se de revisar e selecionar as opções apropriadas. Você também pode alterar essa configuração depois de implantar seu recurso de aplicativo lógico. Para saber mais, confira a seguinte documentação:

   • Criar um exemplo de fluxo de trabalho Standard - Portal do Microsoft Azure

   • Tráfego seguro entre aplicativos lógicos Standard e redes virtuais do Azure usando pontos de extremidade privados.

5. Na guia Monitoramento, siga estas etapas:

   1. Em Application Insights, defina Habilitar o Application Insights como Não.

      Essa configuração desabilita ou habilita o monitoramento de desempenho com o Application Insights no Azure Monitor. No entanto, para o Microsoft Sentinel, esse recurso não é necessário e tem um custo adicional.

   2. Para aplicar marcas a esse aplicativo lógico para fins de categorização e cobrança de recursos, selecione Avançar : Marcas >. Caso contrário, selecione Examinar + criar.

6. Na guia Revisar + criar, revise suas opções de configuração e selecione Criar.

   O Azure leva alguns minutos para criar e implantar seu aplicativo lógico.

7. Após a conclusão da implantação, selecione Acessar o recurso, que abre o recurso do aplicativo lógico.

   Ao contrário dos guias estratégicos de consumo clássicos, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Criar um fluxo de trabalho para o seu guia estratégico

1. No menu do aplicativo lógico, em Fluxos de Trabalho, selecione Fluxos de Trabalho.

2. Na barra de ferramentas da página Fluxos de trabalho, selecione Adicionar.

3. No painel Novo fluxo de trabalho, forneça as seguintes informações:

   Propriedade	Descrição
   Nome do fluxo de trabalho	Um nome significativo para seu fluxo de trabalho.
   Tipo de estado	Selecione Estado. O Microsoft Sentinel não dá suporte ao uso de fluxos de trabalho sem estado como guias estratégicos.

4. Quando terminar, selecione Criar.

   Depois que o Azure salvar o fluxo de trabalho, a página Fluxos de trabalho mostrará o fluxo de trabalho.

5. Selecione o fluxo de trabalho para abrir a página Visão geral do fluxo de trabalho.

   Essa página mostra todas as informações sobre o fluxo de trabalho, inclusive o histórico de todas as vezes em que o fluxo de trabalho foi executado.

6. No menu fluxo de trabalho, em Desenvolvedor, selecione Designer.

   O designer do fluxo de trabalho é aberto para que você comece a criar o fluxo de trabalho adicionando um gatilho.

Adicionar o gatilho do fluxo de trabalho

1. No designer, selecione Adicionar um gatilho para abrir o painel Adicionar um gatilho, por exemplo:

   

2. Siga estas etapas gerais para localizar os gatilhos do Microsoft Sentinel, que incluem esses gatilhos:

   • Entidade do Microsoft Sentinel
   • Alerta do Microsoft Sentinel
   • Incidente do Microsoft Sentinel

   

3. Selecione o gatilho que deseja usar em seu guia estratégico.

   Este exemplo continua com o gatilho da entidade do Microsoft Sentinel.

4. No designer, selecione o gatilho, se ainda não estiver selecionado.

5. No painel Criar conexão, forneça as informações necessárias para se conectar ao Microsoft Sentinel.

   1. Para Autenticação, selecione um dos seguintes métodos, que afetam os parâmetros de conexão subsequentes:

      Método	Descrição
      OAuth	Open Authorization (OAuth) é um padrão de tecnologia que permite autorizar um aplicativo ou serviço a se conectar a outro sem expor informações privadas, como senhas. O OAuth 2.0 é o protocolo do setor para autorização e concede acesso limitado a recursos protegidos. Para saber mais, consulte os recursos a seguir: - O que é OAuth? - Autorização OAuth 2.0 com Microsoft Entra ID
      Entidade de serviço	Uma entidade de serviço representa uma entidade que requer acesso a recursos que são protegidos por um locatário do Microsoft Entra. Para obter mais informações, consulte Objeto da entidade de serviço.
      Identidade gerenciada	Uma identidade gerenciada automaticamente no Microsoft Entra ID. Os aplicativos podem usar essa identidade para acessar recursos que dão suporte a autenticação do Microsoft Entra e para obter tokens do Microsoft Entra sem precisar gerenciar nenhuma credencial. Para obter segurança ideal, a Microsoft recomenda o uso de uma identidade gerenciada para autenticação quando possível. Essa opção oferece segurança superior e ajuda a manter as informações de autenticação seguras para que você não precise gerenciar essas informações confidenciais. Para saber mais, consulte os recursos a seguir: - O que são identidades gerenciadas para recursos do Azure? - Autenticar o acesso e as conexões aos recursos do Azure com identidades gerenciadas nos Aplicativos Lógicos do Azure.

      Para obter mais informações, consulte Prompts de autenticação.

   2. Com base na opção de autenticação selecionada, forneça os valores de parâmetro necessários para a opção correspondente.

      Para obter mais informações sobre esses parâmetros, consulte Referência do conector Microsoft Sentinel.

   3. Para ID do Locatário, selecione a ID do locatário do Microsoft Entra.

   4. Ao terminar, selecione Entrar.

6. Se você escolheu o guia estratégico com gatilho de entidade, selecione o tipo de entidade que deseja que esse guia estratégico receba como entrada.

   

Para obter mais informações, confira Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Prompts de autenticação

Quando você adiciona um gatilho ou uma ação subsequente que requer autenticação, pode ser solicitado que você escolha entre os tipos de autenticação disponíveis com suporte para o provedor de recursos correspondente. Neste exemplo, um gatilho do Microsoft Sentinel é a primeira operação que você adiciona ao seu fluxo de trabalho. Portanto, o provedor de recursos é o Microsoft Sentinel, que dá suporte a várias opções de autenticação. Para saber mais, confira a seguinte documentação:

• Autenticar guias estratégicos para o Microsoft Sentinel
• Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel

Adicionar ações ao seu guia estratégico

Agora que você tem um fluxo de trabalho para o seu guia estratégico, defina o que acontece quando você chama o guia estratégico. Adicione ações, condições lógicas, loops ou condições de caso de alternância, tudo isso selecionando o sinal de adição (+) no designer. Para obter mais informações, consulte Criar um fluxo de trabalho com um gatilho ou ação.

Essa seleção abre o painel Adicionar uma ação, em que é possível navegar ou pesquisar serviços, aplicativos, sistemas, ações de fluxo de controle e muito mais. Depois de inserir os termos da pesquisa ou selecionar o recurso desejado, a lista de resultados mostra as ações disponíveis.

Em cada ação, quando você seleciona dentro de um campo, obtém as seguintes opções:

• Conteúdo dinâmico (ícone de relâmpago): Escolha em uma lista de saídas disponíveis das ações anteriores no fluxo de trabalho, incluindo o gatilho do Microsoft Sentinel. Por exemplo, essas saídas podem incluir os atributos de um alerta ou incidente passado para o guia estratégico, inclusive os valores e atributos de todas as entidades mapeadas e detalhes personalizados no alerta ou incidente. Você pode adicionar referências à ação atual selecionando essas saídas.

  Para exemplos que mostram o uso de conteúdo dinâmico, consulte as seções a seguir:

  • Usar guias estratégicos de entidade sem ID de incidente
  • Trabalhar com detalhes personalizados

• Editor de expressões (ícone de função): escolha em uma grande biblioteca de funções para adicionar mais lógica ao seu fluxo de trabalho.

Para obter mais informações, confira Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Conteúdo dinâmico: Guias estratégicos de entidade sem ID de incidente

Os guias estratégicos criados com o gatilho entidade do Microsoft Sentinel costumam usar o campo D do ARM de Incidente, por exemplo, para atualizar um incidente depois de realizar uma ação na entidade. Se esse guia estratégico for disparado em um cenário que não esteja conectado a um incidente, como na busca a ameaças, não haverá ID de incidente para preencher esse campo. Em vez disso, o campo é preenchido com um valor nulo. Como resultado, o guia estratégico pode falhar ao ser executado até a conclusão.

Para evitar essa falha, recomendamos que você crie uma condição que verifique se há um valor no campo ID do incidente antes que o fluxo de trabalho execute qualquer outra ação. Você pode prescrever um conjunto diferente de ações a serem executadas se o campo tiver um valor nulo, devido ao fato de o guia estratégico não estar sendo executado a partir de um incidente.

1. Em seu fluxo de trabalho, antes da primeira ação que se refere ao campo ID do ARM de Incidente, siga estas etapas gerais para adicionar uma ação de Condição.

2. No painel Condição, na linha de condição, selecione o campo Escolher um valor à esquerda e, em seguida, selecione a opção de conteúdo dinâmico (ícone de relâmpago).

3. Na lista de conteúdo dinâmico, em Incidentes do Microsoft Sentinel, use a caixa de pesquisa para localizar e selecionar ID do ARM de Incidentes.

   Dica

   Se a saída não aparecer na lista, ao lado do nome do gatilho, selecione Ver mais.

4. No campo do meio, na lista de operadores, selecione não é igual a.

5. No campo direito Escolha um valor e selecione a opção do editor de expressões (ícone de função).

6. No editor, insira nulo e selecione Adicionar.

Quando terminar, sua condição terá uma aparência semelhante à do exemplo a seguir:

Conteúdo dinâmico: trabalhar com detalhes personalizados

No gatilho Incidente do Microsoft Sentinel, a saída Detalhes personalizados do alerta é uma matriz de objetos JSON em que cada um representa um detalhe personalizado de um alerta. Os detalhes personalizados são pares de chave-valor que permitem que você exiba informações de eventos no alerta para que possam ser representados, rastreados e analisados como parte do incidente.

Esse campo no alerta é personalizável, portanto, seu esquema depende do tipo de evento que é apresentado. Para gerar o esquema que determina como analisar a saída de detalhes personalizados, forneça os dados de uma instância desse evento:

1. No menu do workspace do Microsoft Sentinel, em Configuração, selecione Análise.

2. Siga as etapas para criar ou abrir uma regra de consulta agendada ou uma regra de consulta NRT existente.

3. Na guia Definir lógica da regra, expanda a seção Detalhes personalizados, por exemplo:

   

   A tabela a seguir fornece mais informações sobre esses pares de chave-valor:

   Item	Localidade	Descrição
   Chave	Coluna da esquerda	Representa os campos personalizados que você cria.
   Valor	Coluna da direita	Representa os campos dos dados do evento que preenchem os campos personalizados.

4. Para gerar o esquema, forneça o seguinte exemplo de código JSON:

   { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
   

   O código mostra os nomes de chave como matrizes e os valores como itens nas matrizes. Os valores são mostrados como os valores reais, não a coluna que contém os valores.

Para usar campos personalizados para gatilhos de incidentes, siga estas etapas para seu fluxo de trabalho:

1. No designer do fluxo de trabalho, no gatilho Incidente do Microsoft Sentinel, adicione a ação interna chamada Analisar JSON.

2. Selecione dentro do parâmetro Conteúdo da ação e selecione a opção de lista de conteúdo dinâmico (ícone de relâmpago).

3. Na lista, na seção do gatilho de incidentes, localize e selecione Detalhes Personalizados do Alerta, por exemplo:

   

   Essa seleção adiciona automaticamente um loop Para cada em torno de Analisar JSON porque um incidente contém uma matriz de alertas.

4. No painel de informações Analisar JSON, selecione Usar payload de amostra para gerar o esquema, por exemplo:

   

5. Na caixa Inserir ou colar uma amostra de payload JSON, forneça uma amostra de payload e selecione Concluído.

   Por exemplo, você pode encontrar uma amostra de payload procurando no Log Analytics outra instância desse alerta e, em seguida, copiando o objeto de detalhes personalizados, que pode ser encontrado em Propriedades Estendidas. Para acessar os dados do Log Analytics, vá para a página Logs no portal do Azure ou para a página Busca avançada de ameaças no portal do Defender.

   O exemplo a seguir mostra o código JSON de amostra anterior:

   

   Ao terminar, a caixa Esquema agora contém o esquema gerado com base na amostra que você forneceu. A ação Analisar JSON cria campos personalizados que agora podem ser usados como campos dinâmicos com o tipo Matriz nas ações subsequentes do seu fluxo de trabalho.

   O exemplo a seguir mostra uma matriz e seus itens, tanto no esquema quanto na lista de conteúdo dinâmico para uma ação subsequente chamada Redigir:

   

Gerenciar seus guias estratégicos

Selecione a guia Automação > Guias estratégicos ativos para exibir todos os guias estratégicos aos quais você tem acesso, filtrados pelo modo de exibição de assinatura.

Depois de integrar ao portal do Microsoft Defender, por padrão, a guia Guias Estratégicos Ativos mostra um filtro predefinido com a assinatura do workspace integrado. No portal do Azure, edite as assinaturas que você está mostrando no menu Diretório + assinatura no cabeçalho de página global do Azure.

Embora a guia Guias estratégicos ativos exiba todos os guias estratégicos ativos disponíveis em todas as assinaturas selecionadas, por padrão, um guia estratégico só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.

A guia Guias estratégicos ativos mostra os seus guias estratégicos com os seguintes detalhes:

Nome da coluna	Descrição
Status	Indica se o guia estratégico está habilitado ou desabilitado.
Plano	Indica se o guia estratégico usa o tipo de recurso Aplicativos Lógicos do Azure Standard ou de Consumo. Guias estratégicos do tipo Standard usam a convenção de nomenclatura LogicApp/Workflow, que reflete como um guia estratégico Standard representa um fluxo de trabalho que existe junto com outros fluxos de trabalho em um único aplicativo lógico. Para obter mais informações, confira Guias estratégicos dos Aplicativos Lógicos do Azure para Microsoft Sentinel.
Tipo de gatilho	Indica o gatilho no Aplicativos Lógicos do Azure que inicia esse guia estratégico: - Incidente/Alerta/Entidade do Microsoft Sentinel: o guia estratégico é iniciado com um dos gatilhos do Sentinel, incluindo incidente, alerta ou entidade - Usando uma ação do Microsoft Sentinel: o guia estratégico é iniciado com um gatilho que não é do Microsoft Sentinel, mas usa uma ação do Microsoft Sentinel - Outro: o guia estratégico não inclui nenhum componente do Microsoft Sentinel - Não inicializado: o guia estratégico foi criado, mas não contém componentes, nem dispara nenhuma ação.

Selecione um guia estratégico para abrir sua página dos Aplicativos Lógicos do Azure, que mostra mais detalhes sobre o guia estratégico. Na página dos Aplicativos Lógicos do Azure:

• Exibir um log de todas as vezes em que o guia estratégico foi executado
• Exibir resultados da execução, incluindo êxitos, falhas e outros detalhes
• Se você tiver as permissões relevantes, abra o designer de fluxo de trabalho nos Aplicativos Lógicos do Azure para editar o guia estratégico diretamente

Conteúdo relacionado

Depois de criar seu guia estratégico, anexe-o a regras a serem acionadas por eventos em seu ambiente ou execute seus guias estratégicos manualmente em incidentes, alertas ou entidades específicos.

Para saber mais, veja:

• Automatizar e executar guias estratégicos do Microsoft Sentinel
• Autenticar guias estratégicos para o Microsoft Sentinel
• Usar um guia estratégico do Microsoft Sentinel para deter usuários potencialmente comprometidos