Criar tarefas de incidente no Microsoft Sentinel usando regras de automação

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como usar regras de automação para criar listas de tarefas de incidentes, a fim de padronizar os processos de fluxo de trabalho de analista no Microsoft Sentinel.

As tarefas de incidente podem ser criadas automaticamente por regras de automação e por guias estratégicos, além de manualmente, de maneira ad-hoc, em um incidente.

Casos de uso para funções diferentes

Este artigo aborda os seguintes cenários que se aplicam a gerentes de SOC, analistas seniores e engenheiros de automação:

• Exibir regras de automação com ações de tarefa de incidente
• Adicionar tarefas a incidentes com regras de automação

Outro cenário desse tipo é abordado no seguinte artigo complementar:

• Adicionar tarefas a incidentes com guias estratégicos

Nos seguintes links, há outro artigo que aborda cenários que se aplicam mais especificamente a analistas de SOC:

• Exibir e seguir tarefas de incidente
• Adicionar manualmente uma tarefa ad hoc a um incidente

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

A função de Respondente do Microsoft Sentinel é necessária para criar regras de automação e exibir e editar incidentes, que são necessários para adicionar, exibir e editar tarefas.

Exibir regras de automação com ações de tarefas de incidente

Na página Automação, é possível filtrar a exibição das regras de automação para ver somente aquelas que têm ações Adicionar tarefa definidas.

1. Selecione o filtro Ações.

2. Desmarque a caixa de seleção Selecionar tudo.

3. Role para baixo e marque a caixa de seleção Adicionar tarefa.

4. Selecione OK e veja os resultados.

   

   Estas são as regras de automação que adicionam tarefas aos incidentes. A coluna de Nomes de regras de análise informa a quais regras de análise essas regras de automação estão condicionadas a fim de fornecer uma ideia geral de quais incidentes foram afetados.

   Observação

   Para saber exatamente se uma regra de automação se aplica a um determinado incidente, abra-a para analisar se há condições adicionais definidas, além da condição da regra de análise. Se outras condições forem definidas, o escopo dos incidentes afetados será reduzido de acordo.

Adicionar tarefas a incidentes com regras de automação

1. Na página Automação, selecione + Criar e clique em Regra de automação.

2. O painel Criar regra de automação será aberto no lado direito.
   Dê à regra de automação um nome que descreva o que ela faz.

3. Selecione Quando o incidente for criado como o gatilho (ou Quando o incidente for atualizado).

4. Adicione Condições para determinar a quais incidentes as novas tarefas serão adicionadas.

   Por exemplo, filtre por Nome da regra de análise:

   • Também é possível adicionar tarefas a incidentes com base nos tipos de ameaças detectadas por uma regra de análise ou um grupo de regras de análise, que precisam ser tratadas de acordo com um determinado fluxo de trabalho. Pesquise e selecione as regras de análise relevantes na lista suspensa.

   • Também é possível adicionar tarefas relevantes para incidentes em todos os tipos de ameaças (neste caso, não altere a seleção padrão Todos).

   Em ambos os casos, é possível adicionar mais condições para restringir o escopo dos incidentes aos quais sua regra de automação será aplicada. Saiba como adicionar condições avançadas a regras de automação.

   Lembre-se de que a ordem em que as tarefas aparecem no incidente é determinada pelo tempo de criação delas. É possível definir a ordem das regras de automação para executar primeiro aquelas que adicionam tarefas necessárias para todos os incidentes e, somente depois, aquelas que adicionam tarefas necessárias para incidentes gerados por regras de análise específicas.

   

5. Em Ações, selecione Adicionar tarefa.

   

6. Para cada tarefa, insira um título no campo Título da tarefa e (opcionalmente) selecione + Adicionar descrição para abrir um campo de descrição.
   Somente os títulos de tarefas aparecem por padrão no painel da lista de tarefas do incidente. A descrição de uma tarefa aparece somente quando o item da tarefa é expandido.

   

7. No campo de descrição, é possível adicionar uma descrição de formato livre para a tarefa, incluindo imagens, links e formatação rich text (confira os hiperlinks, as listas numeradas e os textos formatados em bloco de código nos exemplos abaixo).

   

8. Adicione mais tarefas ao mesmo grupo de incidentes selecionando + Adicionar ação e repetindo as últimas três etapas.

   As tarefas serão criadas e adicionadas ao incidente de acordo com a ordem das ações Adicionar tarefa na regra de automação.

   

9. Conclua a criação da regra de automação finalizando as etapas restantes, Expiração da regra e Ordem, e selecionando Aplicar ao final. Confira Criar e usar as regras de automação do Microsoft Sentinel para gerenciar respostas para saber mais.

   Em relação à configuração de Ordem, a ordem em que as tarefas aparecem nos incidentes depende de duas coisas:

   1. A ordem de execução das regras de automação, conforme determinado pelo número na configuração Ordem e...
   2. A ordem das ações Adicionar tarefa definidas em cada regra de automação.

Próximas etapas

• Saiba mais sobre as tarefas de incidente.
• Saiba como investigar incidentes.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente usando os guias estratégicos.
• Saiba como usar tarefas para lidar com fluxos de trabalho de incidentes no Microsoft Sentinel.
• Saiba mais sobre as regras de automação e como criá-las.