Compartilhar via


Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel

Este artigo descreve os gatilhos e as ações compatíveis com o conector do Microsoft Sentinel para Aplicativos Lógicos. Use os gatilhos e ações listados nos guias estratégicos do Microsoft Sentinel para interagir com seus dados do Microsoft Sentinel.

Importante

A funcionalidade mencionada está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Antes de começar, verifique se você tem as seguintes permissões do Azure necessárias para usar componentes do conector do Microsoft Sentinel:

Função Usar gatilhos Obter ações disponíveis Atualizar incidente,
adicionar um comentário
Leitor do Microsoft Sentinel -
Respondente/do Microsoft Sentinel Colaborador

Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel e pré-requisitos para trabalhar com guias estratégicos do Microsoft Sentinel.

Gatilhos do Microsoft Sentinel com suporte

O conector do Microsoft Sentinel e, portanto, os guias estratégicos do Microsoft Sentinel dão suporte aos seguintes gatilhos:

  • Incidente do Microsoft Sentinel. Recomendado para a maioria dos cenários de automação de incidentes.

    O guia estratégico recebe objetos de incidente, incluindo entidades e alertas. Esse gatilho permite anexar um guia estratégico a uma regra de automação que pode ser disparada sempre que um incidente é criado ou atualizado no Microsoft Sentinel, aplicando todos os benefícios das regras de automação ao incidente.

  • Alerta do Microsoft Sentinel (versão prévia). Recomendado para guias estratégicos que precisam ser executados manualmente em alertas ou para regras de análise agendadas que não geram incidentes para os alertas deles.

    • Esse gatilho não pode ser usado para automatizar as respostas para alertas gerados pelas regras de análise de segurança da Microsoft.
    • Os guias estratégicos que usam esse gatilho não podem ser chamados por regras de automação.
  • Entidade do Microsoft Sentinel. Recomendado para guias estratégicos que precisam ser executados manualmente em entidades específicas de um contexto de investigação ou busca de ameaças. Os guias estratégicos que usam esse gatilho não podem ser chamados por regras de automação.

Os esquemas usados por esses fluxos não são idênticos. É recomendável usar o fluxo de gatilho de incidentes do Microsoft Sentinel para a maioria dos cenários.

Campos dinâmicos de incidente

O objeto de Incidente recebido do incidente do Microsoft Sentinel inclui os seguintes campos dinâmicos:

Nome do campo Descrição
Propriedades do incidente Mostrado como Incidente: <nome do campo>
Alertas Uma matriz das seguintes propriedades de alerta, mostradas como Alerta: <nome do campo>.

Como cada incidente pode incluir vários alertas, selecionar uma propriedade de alerta gera automaticamente um loop for each para cobrir todos os alertas no incidente.
Entidades Uma matriz de todas as entidades do alerta
Campos de informações do workspace Detalhes sobre o espaço de trabalho do Microsoft Sentinel em que o incidente foi criado, incluindo:

– ID da assinatura
– Nome do espaço de trabalho
– ID do espaço de trabalho
– Nome do grupo de recursos

Ações do Microsoft Sentinel com suporte

O conector do Microsoft Sentinel e, portanto, os guias estratégicos do Microsoft Sentinel dão suporte às seguintes ações:

Ação Quando usar isso
Alerta - Obter incidente Nos guias estratégicos que começam com o gatilho de alerta. Útil para obter as propriedades do incidente ou recuperar a ID do ARM do incidente para usar com o incidente de atualização ou com ações de Adicionar comentário ao incidente.
Obter Incidente Ao disparar um guia estratégico de uma fonte externa ou com um gatilho que não seja do Sentinel. Identificar com uma ID de ARM de incidente. Recupera as propriedades e os comentários do incidente.
Atualizar Incidente Para alterar o status de um incidente (por exemplo, ao fechar o incidente), atribua um proprietário, adicione ou remova uma marca ou altere sua severidade, títuloou Descrição.
Adicionar comentários ao incidente Para enriquecer o incidente com informações coletadas de fontes externas; para auditar as ações executadas pelo guia estratégico nas entidades; para fornecer informações adicionais importantes para a investigação de incidentes.
Entidades – obter <tipo de entidade> Nos guias estratégicos que funcionam em um tipo específico de entidade (IP, Conta, Host, **URL ou FileHash), que é conhecida no momento da criação do guia estratégico e que você precisa ser capaz de analisar para trabalhar nos campos exclusivos dela.

Dica

As ações Atualizar incidente e Adicionar um comentário a um incidente exigem a ID do ARM do incidente.

Use primeiro a ação Alerta - obter incidente para obter a ID do ARM do incidente.

Tipos de entidade com suporte

O campo dinâmico de entidades é uma matriz de objetos JSON, cada um representando uma entidade. Cada tipo de entidade tem seu próprio esquema, que depende de suas propriedades exclusivas.

A ação "Entities - Get <tipo de entidade>" permite que você faça o seguinte:

  • Filtrar a matriz de entidades pelo tipo solicitado.
  • Analisar os campos específicos desse tipo, para que eles possam ser usados como campos dinâmicos em outras ações.

A entrada é o campo dinâmico de Entidades .

A resposta é uma matriz de entidades, em que as propriedades especiais são analisadas e podem ser usadas diretamente em um loop Para cada item.

Os tipos de entidade atualmente com suporte incluem:

A seguinte imagem mostra um exemplo de ações disponíveis para entidades:

Captura de tela de uma lista de ações de entidades.

Para outros tipos de entidade, uma funcionalidade semelhante pode ser obtida usando as ações internas dos Aplicativos Lógicos:

  • Filtre a matriz de entidades pelo tipo solicitado usando Filtrar matriz.

  • Usando Analisar JSON, analise os campos específicos desse tipo para que eles possam ser usados como campos dinâmicos em outras ações.

Para saber mais, veja: