Compartilhar via


Crie incidentes automaticamente com base em alertas de segurança da Microsoft

Os alertas disparados nas soluções de segurança da Microsoft que estão conectadas ao Microsoft Sentinel, como o Microsoft Defender for Cloud Apps e o Microsoft Defender para Identidade, não criam incidentes automaticamente no Microsoft Sentinel. Por padrão, quando você conecta uma solução da Microsoft ao Microsoft Sentinel, qualquer alerta gerado nesse serviço será ingerido e armazenado na tabela SecurityAlert no espaço de trabalho do Microsoft Sentinel. É possível usar esses dados como todos os outros dados brutos que você ingere no Microsoft Sentinel.

É possível configurar facilmente o Microsoft Sentinel para criar incidentes automaticamente toda vez que um alerta é disparado em uma solução de segurança da Microsoft conectada, seguindo as instruções neste artigo.

Importante

Este artigo não se aplica se você:

Nesses cenários, o Microsoft Defender XDR cria incidentes a partir de alertas gerados nos serviços da Microsoft.

Caso use as regras de criação de incidentes para outras soluções de segurança da Microsoft ou outros produtos não integrados ao Defender XDR, como o Gerenciamento de Risco Interno do Microsoft Purview, e pretender integrá-las à plataforma de operações de segurança unificada no portal do Defender, substitua as regras de criação de incidentes por regras de análise agendadas.

Pré-requisitos

Conecte sua solução de segurança instalando a solução apropriada do Hub de Conteúdo no Microsoft Sentinel e configurando o conector de dados. Para obter mais informações, confira Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel e conectores de dados do Microsoft Sentinel.

Habilitar a geração automática de incidentes no conector de dados

A maneira mais direta de criar incidentes automaticamente a partir de alertas gerados a partir de soluções de segurança da Microsoft é configurar o conector de dados da solução para criar incidentes:

  1. Conecte uma fonte de dados de solução de segurança da Microsoft.

    Captura de tela da tela de configuração do conector de dados.

  2. Em Criar incidentes – Recomendado, selecione Habilitar para habilitar a regra de análise padrão que cria incidentes automaticamente a partir de alertas gerados no serviço de segurança conectado. É possível editar essa regra em Análise e depois em Regras ativas.

    Importante

    Se você não vir esta seção como mostrado, provavelmente habilitou a integração de incidentes no conector do Microsoft Defender XDR ou integrou o Microsoft Sentinel à plataforma de operações de segurança unificada no portal do Microsoft Defender.

    Em ambos os casos, este artigo não se aplica ao seu ambiente, pois seus incidentes são criados pelo mecanismo de correlação do Microsoft Defender em vez do Microsoft Sentinel.

Criar regras de criação de incidentes a partir de um modelo de Segurança da Microsoft

O Microsoft Sentinel fornece modelos de regra prontos para criar regras de Segurança da Microsoft. Cada solução de origem da Microsoft tem seu próprio modelo. Por exemplo, há um para o Microsoft Defender para Ponto de Extremidade, um para o Microsoft Defender para Nuvem e assim por diante. Crie uma regra de cada modelo que corresponda às soluções em seu ambiente, para as quais você deseja criar incidentes automaticamente. Modifique as regras para definir opções mais específicas para filtrar quais alertas devem resultar em incidentes. Por exemplo, você pode optar por criar incidentes do Microsoft Sentinel automaticamente somente a partir de alertas de alta gravidade do Microsoft Defender para Identidade.

  1. No menu de navegação do Microsoft Sentinel, em Configuração, selecione Análise.

  2. Selecione a guia Modelos de regra para ver todos os modelos de regra de análise. Para encontrar mais modelos de regra, acesse o Hub de conteúdo no Microsoft Sentinel.

    Captura de tela da lista de modelos de regra na página Análise.

  3. Filtre a lista do tipo de regra de segurança da Microsoft para ver os modelos de regra de análise para criar incidentes de alertas da Microsoft.

    Captura de tela da lista de modelos de regras de segurança da Microsoft.

  4. Selecione o modelo de regra para a fonte de alerta para a qual você deseja criar incidentes. Em seguida, no painel de detalhes, selecione Criar regra.

    Captura de tela do painel de detalhes do modelo de regra.

  5. Modifique os detalhes da regra, filtrando os alertas que criarão incidentes por severidade de alerta ou por texto contido no nome do alerta.

    Por exemplo, se você escolher Microsoft Defender para Identidade no campo de serviço de segurança da Microsoft e escolher Alto no campo Filtro por gravidade, somente alertas de segurança de alta severidade criarão incidentes automaticamente no Microsoft Sentinel.

    Captura de tela do assistente de criação de regras.

  6. Assim como acontece com outros tipos de regras de análise, selecione a guia Resposta automatizada para definir as regras de automação executadas quando incidentes são criados por essa regra.

Criar regras de criação de incidentes do zero

Você também pode criar uma nova regra de segurança da Microsoft que filtra alertas de diferentes serviços de segurança da Microsoft. Na página Análise, selecione Criar > Regra de criação de incidentes da Microsoft.

Captura de tela da criação de uma regra de Segurança da Microsoft na página Análise.

É possível criar mais de uma regra de análise de Segurança da Microsoft por tipo de serviço de segurança da Microsoft. Isso não criará incidentes duplicados se você aplicar filtros em cada regra que se exclua.

Próximas etapas