Compartilhar via


Automatize e execute manuais do Microsoft Sentinel

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser definido para ser executado automaticamente quando alertas específicos forem gerados ou quando incidentes forem criados ou atualizados, sendo anexados a uma regra de automação. Ele também pode ser executado manualmente sob demanda em incidentes, alertas ou entidades específicos.

Esse artigo descreve como anexar manuais a regras de análise ou regras de automação, ou executar manuais manualmente em incidentes, alertas ou entidades específicas.

Observação

Guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, o que significa que você obtém toda a potência, capacidade de personalização e modelos internos dos Aplicativos Lógicos. Podem ser aplicadas taxas adicionais. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Antes de começar, certifique-se de ter um manual disponível para automatizar ou executar, com um gatilho, condições e ações definidas. Para obter mais informações, veja Criar e gerenciar manuais do Microsoft Sentinel.

Funções do Azure necessárias para executar manuais

Para executar manuais, você precisa das seguintes funções do Azure:

Função Descrição
Proprietário Permite-lhe conceder acesso aos manuais no grupo de recursos.
Colaborador do Microsoft Sentinel Anexe um manual a uma regra de análise ou regra de automação
Respondente do Microsoft Sentinel Acesse um incidente para executar um guia estratégico manualmente. Para realmente executar o manual, você também precisa das seguintes funções:

- Microsoft Sentinel Playbook Operator, para executar um guia estratégico manualmente
- Função de Colaborador de Automação do Microsoft Sentinel, para permitir que regras de automação executem guia estratégico.

Para obter mais informações, veja pré-requisitos do manual.

Permissões extras necessárias para executar manuais sobre incidentes

O Microsoft Sentinel usa uma conta de serviço para executar manuais sobre incidentes, para adicionar segurança e permitir que a API de regras de automação dê suporte a casos de uso de CI/CD. Essa conta de serviço é usada para manuais acionados por incidentes ou quando você executa um manual manualmente em um incidente específico.

Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos onde o guia estratégico reside, na forma da função Microsoft Sentinel Automation Contributor . Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer guia estratégico no grupo de recursos relevante, manualmente ou com uma regra de automação.

Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de Proprietário ou Administrador de acesso de usuário. Para executar os manuais, também precisará da função Colaborador de Aplicações Lógicas no grupo de recursos que contém os manuais que pretende executar.

Configurar permissões do guia estratégico para incidentes em uma implantação multilocatária

Em uma implantação multilocatária, se o manual que você deseja executar estiver em um locatário diferente, você deverá conceder à conta de serviço do Microsoft Sentinel permissão para executar o manual no locatário do manual.

  1. No menu de navegação do Microsoft Sentinel, no locatário dos guias estratégicos, selecione Configurações.

  2. Na página Configurações, selecione a guia Configurações e, em seguida, o expansor Permissões do Playbook.

  3. Selecione o botão Configurar permissões para abrir o painel Gerenciar permissões.

  4. Marque as caixas de seleção dos grupos de recursos que contêm os manuais que você deseja executar e selecione Aplicar. Por exemplo:

    Captura de tela que mostra a seção de ações com o guia estratégico de execução selecionado.

Você mesmo deve ter permissões de Proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e deve ter a função Operador de Playbook do Microsoft Sentinel em qualquer grupo de recursos que contenha guia estratégico que deseja executar.

Se, em um cenário MSSP, você quiser executar um guia estratégico em um locatário do cliente a partir de uma regra de automação criada enquanto estiver conectado ao locatário do provedor de serviços, você deverá conceder permissão ao Microsoft Sentinel para executar o guia estratégico em ambos os locatários:

  • No locatário do cliente, siga as instruções padrão para a implantação multilocatário.

  • No inquilino do fornecedor de serviços, adicione a aplicação Azure Security Insights no seu modelo de integração do Azure Lighthouse da seguinte forma:

    1. No portal do Azure, acesse Microsoft Entra ID e selecione Aplicativos empresariais.
    2. Selecione Tipo de aplicativo e filtre Aplicativos Microsoft.
    3. Na caixa de pesquisa, insira Azure Security Insights.
    4. Copie o campo ID do Objeto. Você precisa adicionar essa autorização extra à sua delegação existente do Azure Lighthouse.

A função Microsoft Sentinel Automation Contributor tem um GUID fixo de f4c81013-99ee-4d62-a7ee-b3f1f648599a. Um exemplo de autorização do Azure Lighthouse teria aparência semelhante a esta no modelo de parâmetros:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatize respostas a incidentes e alertas

Para responder automaticamente a incidentes inteiros ou alertas individuais com um guia estratégico, crie uma regra de automação que seja executada quando o incidente for criado ou atualizado, ou quando o alerta for gerado. Essa regra de automação inclui uma etapa que chama o guia estratégico que você deseja usar.

Para criar uma regra de automação:

  1. Na página Automação no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e, em seguida, a regra de Automação. Por exemplo:

    Captura de tela mostrando como adicionar um novo segmento.

  2. O painel Criar regra de automação é aberto. Digite um nome para a sua regra. Suas opções diferem dependendo de se o workspace está integrado ao portal do Microsoft Defender. Por exemplo:

  3. Gatilho: Selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.

  4. Condições:

    1. Se o workspace ainda não estiver integrado ao portal do Defender, os incidentes poderão ter duas fontes possíveis:

      Se você selecionou um dos gatilhos de incidente e deseja que a regra de automação entre em vigor somente em incidentes originados no Microsoft Sentinel ou, como alternativa, no Microsoft Defender XDR, especifique a origem na condição Se o provedor de incidentes for igual a.

      Essa condição só é apresentada se um gatilho de incidente for selecionado e o seu espaço de trabalho não estiver integrado na plataforma unificada de operações de segurança.

    2. Para todos os tipos de gatilho, se você quiser que a regra de automação entre em vigor somente em determinadas regras de análise, especifique quais delas modificando a condição Se o nome da regra de análise contiver.

    3. Adicione quaisquer outras condições que você deseja determinar se essa regra de automação será executada. Selecione + Adicionar e selecione condições ou grupos de condições na lista suspensa. A lista de condições é preenchida por detalhes de alerta e campos de identificador de entidade.

  5. Ações:

    1. Como você está usando essa regra de automação para executar um guia estratégico, selecione a ação Executar guia estratégico na lista suspensa. Em seguida, você será solicitado a selecionar em uma segunda lista suspensa que mostra os guia estratégico disponíveis. Uma regra de automação pode executar apenas os guias estratégico que começam com o mesmo gatilho (incidente ou alerta) que o gatilho definido na regra, portanto, apenas esses guias estratégico aparecem na lista.

      Se um guia estratégico aparecer esmaecido na lista suspensa, significa que o Microsoft Sentinel não tem permissão para o grupo de recursos desse guia estratégico. Clique no link Gerenciar permissões do guia estratégico para atribuir permissões.

      No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e selecione Aplicar. Por exemplo:

      Captura de tela que mostra a seção de ações com o guia estratégico de execução selecionado.

      Você mesmo deve ter permissões de Proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e deve ter a função Operador de Playbook do Microsoft Sentinel em qualquer grupo de recursos que contenha guia estratégico que deseja executar.

      Para obter mais informações, veja Permissões extras necessárias para executar manuais em incidentes.

    2. Adicione outras ações desejadas para essa regra. Você pode alterar a ordem de execução de ações selecionando as setas para cima ou para baixo à direita de qualquer ação.

  6. Defina uma data de vencimento para a sua regra de automação se desejar que ela tenha uma.

  7. Insira um número em Ordem para determinar em que ponto da sequência de regras de automação essa regra será executada.

  8. Selecione Aplicar para concluir sua automação.

Para obter mais informações, veja Criar e gerenciar manuais do Microsoft Sentinel.

Responder a alertas — método herdado

Outra maneira de executar guias estratégicos automaticamente em resposta aos alertas é chamá-los a partir de uma regra de análise. Quando a regra gera um alerta, o guia estratégico é executado.

Esse método será preterido a partir de março de 2026.

A partir de junho de 2023, você não pode mais adicionar guias estratégicos a regras de análise dessa maneira. No entanto, você ainda pode ver os guias estratégicos existentes chamados de regras de análise, que ainda serão executados até março de 2026. Recomendamos fortemente que você crie regras de automação para chamar esses guia estratégico antes disso.

Execute um manual manualmente, sob demanda

Você também pode executar manualmente um guia estratégico sob demanda, seja em resposta a alertas, incidentes ou entidades. Isso pode ser útil em situações em que você deseja mais entrada de origem humana e controle sobre processos de orquestração e resposta.

Executar um guia estratégico manualmente em um alerta

Este procedimento não tem suporte no portal do Defender.

No portal do Microsoft Azure, selecione uma das guias a seguir, conforme necessário para seu ambiente:

  1. Na página Incidentes, selecione um incidente e, em seguida, selecione Ver detalhes completos para abrir a página de detalhes do incidente.

  2. Na página de detalhes do incidente, no widget Linha do tempo do incidente, selecione o alerta no qual deseja executar o guia estratégico. Selecione os três pontos no final da linha do alerta e selecione Executar guia estratégico no menu pop-up.

    Captura de tela de execução de um guia estratégico em um alerta sob demanda.

  3. O painel Guia estratégico de alertas é aberto. Você verá uma lista de todos os guias estratégicos configurados com o gatilho Microsoft Sentinel Alert Aplicativos Lógicos do Azure aos quais você tem acesso.

  4. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

Você pode ver o histórico de execução de guias estratégicos em um alerta selecionando a guia Execuções no painel Guias estratégicos de alerta. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abre o log de execução completo em Aplicativos Lógicos.

Executar um guia estratégico manualmente em um incidente

Esse procedimento é diferente, dependendo se você estiver trabalhando no portal do Azure ou no portal do Defender. Selecione a guia relevante para seu ambiente:

  1. Na página Incidentes, selecione um incidente.

  2. No painel de detalhes do incidente que aparece ao lado, selecione Ações > Executar guia estratégico.

    Selecionar os três pontos no final da linha do incidente na grade ou clicar com o botão direito no incidente exibe a mesma lista do botão Ação.

  3. O painel Executar guia estratégico no incidente abre na lateral. Você verá uma lista de todos os guias estratégico configurados com o gatilho Microsoft Sentinel Incident Aplicativos Lógicos do Azure ao qual você tem acesso.

    Se não vir o manual que pretende executar na lista, significa que o Microsoft Sentinel não tem permissões para executar manuais nesse grupo de recursos.

    Para conceder essas permissões, selecione Configurações>Configurações>Permissões do Guia Estratégico>Configurar permissões. No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e selecione Aplicar.

    Para obter informações, veja Permissões extras necessárias para executar manuais sobre incidentes.

  4. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

    Você deve ter a função de operador de guia estratégico do Microsoft Sentinel em qualquer grupo de recursos que contenha guias estratégicos que você deseja executar. Se você não consegue executar o guia estratégico devido a permissões ausentes, é recomendável que entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, veja Pré-requisitos do manual do Microsoft Sentinel.

Exiba o histórico de execução de guias estratégicos em um incidente selecionando a guia Execuções no painel Executar o guia estratégico sobre incidentes. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abre o log de execução completo em Aplicativos Lógicos.

Executar um guia estratégico manualmente em uma entidade

Este procedimento não tem suporte no portal do Defender.

Selecione uma entidade de uma das seguintes maneiras, dependendo do contexto de origem:

Se você estiver na página de detalhes de um incidente (nova versão):

No widget Entidades na guia Visão geral, localize sua entidade e siga um destes procedimentos:

  • Não selecione a entidade. Em vez disso, selecione os três pontos à direita da entidade e selecione Executar guia estratégico. Localize o manual que você deseja executar e selecione Executar na linha desse manual.

  • Selecione a entidade para abrir a guia Entidades da página de detalhes do incidente. Localize sua entidade na lista e selecione os três pontos à direita. Localize o manual que você deseja executar e selecione Executar na linha desse manual.

  • Selecione uma entidade e faça uma busca detalhada na página de detalhes da entidade. Em seguida, selecione o botão Executar guia estratégico no painel esquerdo. Localize o manual que você deseja executar e selecione Executar na linha desse manual.

Independentemente do contexto de onde você veio, a última etapa deste procedimento é no painel Executar guia estratégico no <tipo de entidade>. Este painel mostra uma lista de todos os guias estratégicos aos quais você tem acesso e que foram configurados com o gatilho Microsoft Sentinel Entity Aplicativos Lógicos do Azure para o tipo de entidade selecionado.

No painel *Executar manual em <tipo de entidade>, selecione a guia Execuções para ver o histórico de execução do manual para uma determinada entidade. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abre o log de execução completo em Aplicativos Lógicos.

Para saber mais, veja: