Crie incidentes automaticamente com base em alertas de segurança da Microsoft
Os alertas disparados nas soluções de segurança da Microsoft que estão conectadas ao Microsoft Sentinel, como o Microsoft Defender for Cloud Apps e o Microsoft Defender para Identidade, não criam incidentes automaticamente no Microsoft Sentinel. Por padrão, quando você conecta uma solução da Microsoft ao Microsoft Sentinel, qualquer alerta gerado nesse serviço será ingerido e armazenado na tabela SecurityAlert no espaço de trabalho do Microsoft Sentinel. É possível usar esses dados como todos os outros dados brutos que você ingere no Microsoft Sentinel.
É possível configurar facilmente o Microsoft Sentinel para criar incidentes automaticamente toda vez que um alerta é disparado em uma solução de segurança da Microsoft conectada, seguindo as instruções neste artigo.
Importante
Este artigo não se aplica se você:
- Habilitou a Integração de incidentes do Microsoft Defender XDR, ou
- Integração do Microsoft Sentinel ao portal do Microsoft Defender.
Nesses cenários, o Microsoft Defender XDR cria incidentes a partir de alertas gerados nos serviços da Microsoft.
Caso você use as regras de criação de incidentes para outras soluções de segurança da Microsoft ou outros produtos não integrados ao Defender XDR, como o Gerenciamento de Risco Interno do Microsoft Purview, e pretende integrá-las ao portal do Defender, substitua as regras de criação de incidentes por regras de análise agendada.
Pré-requisitos
Conecte sua solução de segurança instalando a solução apropriada do Hub de Conteúdo no Microsoft Sentinel e configurando o conector de dados. Para obter mais informações, confira Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel e conectores de dados do Microsoft Sentinel.
Habilitar a geração automática de incidentes no conector de dados
A maneira mais direta de criar incidentes automaticamente a partir de alertas gerados a partir de soluções de segurança da Microsoft é configurar o conector de dados da solução para criar incidentes:
Conecte uma fonte de dados de solução de segurança da Microsoft.
Em Criar incidentes – Recomendado, selecione Habilitar para habilitar a regra de análise padrão que cria incidentes automaticamente a partir de alertas gerados no serviço de segurança conectado. É possível editar essa regra em Análise e depois em Regras ativas.
Importante
Se esta seção não é exibida conforme mostrado, provavelmente você habilitou a integração de incidentes no conector do Microsoft Defender XDR ou integrou o Microsoft Sentinel ao portal do Defender.
Em ambos os casos, este artigo não se aplica ao seu ambiente, pois seus incidentes são criados pelo mecanismo de correlação do Microsoft Defender em vez do Microsoft Sentinel.
Criar regras de criação de incidentes a partir de um modelo de Segurança da Microsoft
O Microsoft Sentinel fornece modelos de regra prontos para criar regras de Segurança da Microsoft. Cada solução de origem da Microsoft tem seu próprio modelo. Por exemplo, há um para o Microsoft Defender para Ponto de Extremidade, um para o Microsoft Defender para Nuvem e assim por diante. Crie uma regra de cada modelo que corresponda às soluções em seu ambiente, para as quais você deseja criar incidentes automaticamente. Modifique as regras para definir opções mais específicas para filtrar quais alertas devem resultar em incidentes. Por exemplo, você pode optar por criar incidentes do Microsoft Sentinel automaticamente somente a partir de alertas de alta gravidade do Microsoft Defender para Identidade.
No menu de navegação do Microsoft Sentinel, em Configuração, selecione Análise.
Selecione a guia Modelos de regra para ver todos os modelos de regra de análise. Para encontrar mais modelos de regra, acesse o Hub de conteúdo no Microsoft Sentinel.
Filtre a lista do tipo de regra de segurança da Microsoft para ver os modelos de regra de análise para criar incidentes de alertas da Microsoft.
Selecione o modelo de regra para a fonte de alerta para a qual você deseja criar incidentes. Em seguida, no painel de detalhes, selecione Criar regra.
Modifique os detalhes da regra, filtrando os alertas que criarão incidentes por severidade de alerta ou por texto contido no nome do alerta.
Por exemplo, se você escolher Microsoft Defender para Identidade no campo de serviço de segurança da Microsoft e escolher Alto no campo Filtro por gravidade, somente alertas de segurança de alta severidade criarão incidentes automaticamente no Microsoft Sentinel.
Assim como acontece com outros tipos de regras de análise, selecione a guia Resposta automatizada para definir as regras de automação executadas quando incidentes são criados por essa regra.
Criar regras de criação de incidentes do zero
Você também pode criar uma nova regra de segurança da Microsoft que filtra alertas de diferentes serviços de segurança da Microsoft. Na página Análise, selecione Criar > Regra de criação de incidentes da Microsoft.
É possível criar mais de uma regra de análise de Segurança da Microsoft por tipo de serviço de segurança da Microsoft. Isso não criará incidentes duplicados se você aplicar filtros em cada regra que se exclua.
Próximas etapas
- Para começar a usar o Microsoft Sentinel é necessário ter uma assinatura do Microsoft Azure. Se você não tiver uma assinatura, você pode se inscrever em uma avaliação gratuita.
- Saiba como integrar seus dados ao Microsoft Sentinel e obter visibilidade de seus dados e de possíveis ameaças.