Migrar seus guias estratégicos de gatilho de alerta do Microsoft Sentinel para regras de automação
Recomendamos que você migre guias estratégicos existentes baseados em gatilhos de alerta e migre-os de serem invocados por regras de análise para serem invocados por regras de automação. Este artigo explica por que recomendamos esta ação e como migrar os seus guias estratégicos.
Se você estiver migrando um guia estratégico usado por apenas uma regra de análise, siga as instruções em Criar uma regra de automação a partir de uma regra de análise.
Se você estiver migrando um guia estratégico usado por várias regras de análise, siga as instruções em Criar uma nova regra de automação na página Automação.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Por que migrar
Os guias estratégicos invocados por regras de automação em vez de regras de análise têm as seguintes vantagens:
Gerenciamento de automação em uma exibição unificada, independentemente do tipo ("painel unificado").
Use uma única regra de automação disparando guias estratégicos para várias regras de análise, em vez de configurar cada regra de análise separadamente.
Defina a ordem na qual os guias estratégicos de alerta devem ser executados.
Suporte para cenários que definem uma data de validade para executar um guia estratégico.
A migração do gatilho do guia estratégico não altera o guia estratégico e apenas altera o mecanismo que invoca o guia estratégico para executar alterações.
A capacidade de invocar guias estratégicos de regras de análise será preterida a partir de março de 2026. Até lá, os guias estratégicos já definidos como de regras de análise continuarão a ser executados, mas a partir de junho de 2023 você não poderá mais adicionar guias estratégicos à lista daqueles invocados das regras de análise. A única opção restante será invocá-los a partir das regras de automação.
Pré-requisitos
Você precisará do seguinte:
Função Colaborador dos Aplicativos Lógicos para criar e editar guias estratégicos
Função Colaborador do Microsoft Sentinel para anexar um guia estratégico a uma regra de automação
Para obter mais informações, confira Pré-requisitos do guia estratégico do Microsoft Sentinel.
Criar uma regra de automação a partir de uma regra de análise
Use este procedimento se você estiver migrando um guia estratégico usado por apenas uma regra de análise. Caso contrário, use Criar uma nova regra de automação na página Automação.
Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.
De acordo com as Regras ativas, localize uma regra de análise já configurada para executar um guia estratégico e selecione Editar.
Selecione a guia Resposta Automatizada. Guias estratégicos configurados diretamente para execução a partir dessa regra de análise podem ser encontrados na Automação de alertas (clássica). Preste atenção ao aviso sobre a preterição.
Na metade superior da tela, selecione + Adicionar novo nas Regras de automação para criar uma nova regra de automação.
No painel Criar nova regra de automação, em Gatilho, selecione Quando o alerta é criado (versão prévia).
Em Ações, consulte se a ação Executar guia estratégico, sendo o único tipo de ação disponível, é automaticamente selecionada e esmaecida. Selecione seu guia estratégico daqueles disponíveis na lista suspensa na linha abaixo.
Escolha Aplicar. A nova regra é mostrada na grade de regras de automação.
Remova o guia estratégico da seção de Automação de alertas (clássica).
Examine e atualize a regra de análise para salvar suas alterações.
Criar uma nova regra de automação na página Automação
Use este procedimento se você estiver migrando um guia estratégico usado por várias regras de análise. Caso contrário, use Criar uma regra de automação a partir de uma regra de análise
Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.
Na barra de menus superior, selecione Criar –> Regra de Automação.
No painel Criar nova regra de automação, no menu suspenso do Gatilho, selecione Quando o alerta é criado (versão prévia).
Em Condições, selecione as regras de análise em que você deseja executar um guia estratégico específico ou um conjunto de guias estratégicos.
Em Ações, para cada guia estratégico que você deseja que essa regra invoque, selecione + Adicionar ação. A ação Executar guia estratégico é selecionada automaticamente e esmaecida.
Selecione na lista suspensa de guias estratégicos disponíveis na linha abaixo. Ordene as ações de acordo com a ordem na qual você deseja que os guias estratégicos sejam executados selecionando as setas para cima/para baixo ao lado de cada ação.
Selecione Aplicar para salvar a regra de automação.
Edite a regra ou as regras de análise que invocaram esses guias estratégicos (as regras especificadas em Condições), removendo o guia estratégico da seção automação de alertas (clássica) da guia resposta Automatizada.
Conteúdo relacionado
Para saber mais, veja: