Configurar a automação no Microsoft Sentinel

  • 7 minutos

O que são regras de automação e guias estratégicos?

As regras de automação ajudam você a fazer a triagem de incidentes no Microsoft Sentinel. Você pode usá-las para atribuir incidentes automaticamente aos funcionários corretos, fechar incidentes com ruído ou falsos positivos conhecidos, alterar a severidade deles e adicionar marcas. Eles também são o mecanismo pelo qual você pode executar guias estratégicos em resposta a incidentes ou alertas.

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser definido para ser executado automaticamente quando alertas específicos forem gerados ou quando incidentes forem criados ou atualizados, sendo anexados a uma regra de automação. Ele também pode ser executado manualmente sob demanda em incidentes, alertas ou entidades específicos.

Guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, o que significa que você obtém toda a potência, capacidade de personalização e modelos internos dos Aplicativos Lógicos. Cada guia estratégico é criado para a assinatura específica à qual pertence, mas a exibição de Guias Estratégicos mostra todos os guia estratégicos disponíveis em qualquer assinatura selecionada.

Por exemplo, se você quiser impedir que usuários potencialmente comprometidos se movam pela rede e roubem informações, poderá criar uma resposta multifacetada automatizada para incidentes gerados por regras que detectem usuários comprometidos. Comece criando um guia estratégico que executa as seguintes ações:

  1. Quando o guia estratégico é chamado por uma regra de automação passando um incidente, o guia estratégico abre um tíquete no ServiceNow ou em qualquer outro sistema de emissão de tíquetes de TI.

  2. Ele envia uma mensagem para o canal de operações de segurança no Microsoft Teams ou no Slack para assegurar que os analistas de segurança estão cientes do incidente.

  3. Ele também envia as informações sobre o incidente em uma mensagem de email para que o administrador de rede sênior e administrador de segurança. A mensagem de email também incluirá dois botões de opção de usuário, Bloquear e Ignorar.

  4. O guia estratégico aguarda até que uma resposta seja recebida dos administradores e, depois, continua com as próximas etapas.

  5. Se os administradores escolherem Bloquear, ele enviará um comando ao Microsoft Entra ID para desabilitar o usuário, e um ao firewall para bloquear o endereço IP.

  6. Se os administradores escolherem Ignorar, o guia estratégico fechará o incidente no Microsoft Sentinel e o tíquete no ServiceNow.

Para disparar o guia estratégico, você criará uma regra de automação que é executada quando esses incidentes são gerados. Essa regra executará estas etapas:

  1. A regra altera o status do incidente para Ativo.

  2. Ele atribui o incidente para o analista que tem a tarefa de gerenciar esse tipo de incidente.

  3. Ele adiciona a marca "usuário comprometido".

  4. Por fim, ele chama o guia estratégico que você acabou de criar. (Permissões especiais são necessárias para esta etapa.)

Os guias estratégicos podem ser executados automaticamente em resposta a incidentes, criando regras de automação que chamam os guias estratégicos como ações, conforme no exemplo acima. Eles também podem ser executados automaticamente em resposta a alertas, informando a regra de análise para executar automaticamente um ou mais guias estratégicos quando o alerta é gerado.

Você também pode optar por executar um guia estratégico manualmente sob demanda, como uma resposta a um alerta selecionado.

Obtenha uma introdução mais completa e detalhada para automatizar a resposta contra ameaças usando regras de automação e guias estratégicos no Microsoft Sentinel.

Criar um Guia estratégico

Siga estas etapas para criar um guia estratégico no Microsoft Sentinel:

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.
  2. No menu superior, selecione Criar.
  3. O menu suspenso exibido em Criar oferece quatro opções para criar guias estratégicos:
    • Se você estiver criando um guia estratégico Standard (o novo tipo – confira Tipos de aplicativos lógicos), selecione Guia estratégico em branco e siga as etapas na guia Standard dos Aplicativos Lógicos abaixo.

    • Se estiver criando um guia estratégico Consumo (o tipo original e clássico), dependendo do gatilho que deseja usar, selecione guia estratégico com gatilho de incidentes, guia estratégico com gatilho de alertas ou guia estratégico com gatilho de entidades. Em seguida, continue seguindo as etapas na guia Consumo de Aplicativos Lógicos abaixo.

Para obter mais informações sobre qual gatilho usar, confira Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel. Para obter mais informações sobre qual gatilho usar, confira Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel.

Na guia Básico:

  1. Selecione a Assinatura, o grupo de recursos e a região de sua escolha nas respectivas listas suspensas. A região escolhida é onde as informações do Aplicativo Lógico serão armazenadas.

  2. Insira um nome para seu guia estratégico em Nome do guia estratégico.

  3. Se você quiser monitorar a atividade deste manual para fins de diagnóstico, marque a caixa de seleção Habilitar logs de diagnóstico no Log Analytics e escolha o seu Workspace do Log Analytics na lista suspensa.

  4. Se seus guias estratégicos precisarem de acesso a recursos protegidos que estão dentro ou conectados a uma rede virtual do Azure, talvez seja necessário usar um ISE (ambiente de serviço de integração). Nesse caso, marque a caixa de seleção Associar ao ambiente do serviço de integração e selecione o ISE desejado na lista suspensa.

  5. Selecione Avançar: Conexões>.

Clique na guia Conexões:

O ideal é que você deixe essa seção como está, configurando Aplicativos Lógicos para se conectar ao Microsoft Sentinel com identidade gerenciada. Saiba mais sobre essa e outras alternativas de autenticação.

Escolha Próximo: Revisar e criar>.

Na guia Revisar e criar:

Examine as opções de configuração feitas e selecione Criar e continuar para o designer.

Seu guia estratégico levará alguns minutos para ser criado e implantado, após o que, você verá a mensagem "Sua implantação está concluída" e será levado para o Designer de Aplicativos Lógicos do seu novo guia estratégico. O gatilho escolhido no início será adicionado automaticamente como primeira etapa e você poderá continuar projetando o fluxo de trabalho a partir daí.

Se você escolheu o gatilho da entidade do Microsoft Sentinel (versão prévia), selecione o tipo de entidade que deseja que esse guia estratégico receba como entrada.

Captura de tela mostrando um exemplo de como selecionar o tipo de entidade que você deseja que um guia estratégico receba como entrada.

Adicionar ações

Agora você pode definir o que acontece ao chamar o guia estratégico. Você pode adicionar ações, condições lógicas, loops ou alternar condições de caso, tudo selecionando Nova etapa. Essa seleção abre um novo quadro no designer, no qual você pode escolher um sistema ou um aplicativo com o qual interagir ou uma condição para definir. Insira o nome do sistema ou aplicativo na barra de pesquisa na parte superior do quadro e escolha um dos resultados disponíveis.

Em cada uma dessas etapas, clicar em qualquer campo exibe um painel com dois menus: Conteúdo dinâmico e Expressão. No menu Conteúdo dinâmico, você pode adicionar referências aos atributos do alerta ou incidente que foi passado para o guia estratégico, incluindo os valores e atributos de todas as entidades mapeadas e dos detalhes personalizados contidos no alerta ou incidente. No menu Expressão, você pode escolher entre uma grande biblioteca de funções para adicionar lógica adicional às suas etapas.

Esta captura de tela mostra as ações e condições que você adicionaria ao criar o guia estratégico descrito no exemplo no início deste documento. Saiba mais sobre como adicionar ações aos guias estratégicos.

Captura de tela mostrando as ações e condições que você adicionaria ao criar um guia estratégico.

Confira Usar gatilhos e ações em guias estratégicos do Microsoft Sentinel para obter detalhes sobre as ações que você pode adicionar aos guias estratégicos para diferentes finalidades.

Em particular, observe essas informações importantes sobre guias estratégicos com base no gatilho de entidade em um contexto não relacionado a incidente.

Automatizar as respostas a ameaças

Você criou o guia estratégico e definiu o gatilho, definiu as condições e prescreveu as ações que ele executará e as saídas que ele produzirá. Agora, você precisa determinar os critérios sob os quais ele será executado e configurará o mecanismo de automação que o executará quando esses critérios forem atendidos.

Responder a incidentes e alertas

Para usar um guia estratégico para responder automaticamente a um incidente inteiro ou a um alerta individual, crie uma regra de automação que será executada quando o incidente for criado ou atualizado ou quando o alerta for gerado. Essa regra de automação incluirá uma etapa que chama o guia estratégico que você deseja usar.

Para criar uma regra de automação:

  1. Na página Automação no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e, em seguida, a regra de Automação.
  2. O painel Criar regra de automação é aberto. Digite um nome para a sua regra. Suas opções diferem dependendo se o workspace está integrado à plataforma de operações de segurança unificada. Por exemplo:
  3. Gatilho: Selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.
  4. Condições:
    • Se o workspace ainda não estiver integrado à plataforma de operações de segurança unificada, os incidentes poderão ter duas fontes possíveis:
    • Se você selecionou um dos gatilhos de incidente e deseja que a regra de automação entre em vigor somente em incidentes originados no Microsoft Sentinel ou, como alternativa, no Microsoft Defender XDR, especifique a origem na condição Se o provedor de incidentes for igual a.
    • Essa condição será exibida somente se um gatilho de incidente for selecionado e seu workspace não estiver integrado à plataforma de operações de segurança unificada.
    • Para todos os tipos de gatilho, se você quiser que a regra de automação entre em vigor somente em determinadas regras de análise, especifique quais delas modificando a condição Se o nome da regra de análise contiver.
    • Adicione outras condições que você deseja para determinar se essa regra de automação será executada. Selecione + Adicionar e escolha condições ou grupos de condições na lista suspensa. A lista de condições é preenchida por detalhes de alerta e campos de identificador de entidade.
  5. Ações:
    • Como você está usando essa regra de automação para executar um guia estratégico, escolha a ação Executar guia estratégico na lista suspensa. Em seguida, você será solicitado a escolher uma opção de uma segunda lista suspensa que mostra os guias estratégicos disponíveis. Uma regra de automação pode executar apenas os guias estratégicos que começam com o mesmo gatilho (incidente ou alerta) que o gatilho definido na regra, portanto, somente esses guias estratégicos aparecerão na lista.

Importante

O Microsoft Sentinel precisa receber permissões explícitas para executar guias estratégicos, manualmente ou de regras de automação. Se um guia estratégico aparecer "esmaecido" na lista suspensa, significará que o Sentinel não tem permissão para o grupo de recursos desse guia estratégico. Clique no link Gerenciar permissões do guia estratégico para atribuir permissões.

No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e clique em Aplicar.

  • Você deve ter permissões de proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e deve ter a função Colaborador do Aplicativo Lógico em qualquer grupo de recursos que contenha os guias estratégicos que você deseja executar.
  • Em uma implantação multilocatário, se o guia estratégico que você deseja executar estiver em um locatário diferente, você deverá conceder permissão ao Microsoft Sentinel para executar o guia estratégico no locatário do guia estratégico.
  • No menu de navegação do Microsoft Sentinel, no locatário dos guias estratégicos, selecione Configurações.
  • Na folha Configurações, selecione a guia Configurações e, depois, o expansor Permissões do guia estratégico.
  • Clique no botão Configurar permissões para abrir o painel Gerenciar permissões mencionado acima e continue conforme descrito lá.

Em um cenário de MSSP, se você quiser executar um guia estratégico em um locatário do cliente a partir de uma regra de automação criada enquanto estiver conectado ao locatário do provedor de serviços, deverá conceder permissão ao Microsoft Sentinel para executar o guia estratégico em ambos os locatários. No locatário do cliente, siga as instruções para a implantação multilocatário no ponto de marcador anterior. No locatário do provedor de serviços, você precisa adicionar o aplicativo Azure Security Insights ao seu modelo de integração do Azure Lighthouse:

  1. No portal do Microsoft Azure, acesse o Microsoft Entra ID.

  2. Clique em Aplicativos Empresariais.

  3. Selecione Tipo de Aplicativo e filtre por Aplicativos da Microsoft.

  4. Na caixa de pesquisa, digite Azure Security Insights.

  5. Copie o campo ID do Objeto. Você precisará adicionar essa autorização adicional à delegação existente do Azure Lighthouse.

A função de colaborador de automação do Microsoft Sentinel tem um GUID fixo que é f4c81013-99ee-4d62-a7ee-b3f1f648599a.

  1. Adicione outras ações desejadas para essa regra. Você pode alterar a ordem de execução de ações selecionando as setas para cima ou para baixo à direita de qualquer ação.

  2. Defina uma data de vencimento para a sua regra de automação se desejar que ela tenha uma.

  3. Insira um número em Ordem para determinar onde na sequência de regras de automação essa regra será executada.

  4. Escolha Aplicar. Pronto!

Responder a alertas — método herdado

Outra maneira de executar guias estratégicos automaticamente em resposta aos alertas é chamá-los a partir de uma regra de análise. Quando a regra gera um alerta, o guia estratégico é executado.

Esse método será preterido a partir de março de 2026.

A partir de junho de 2023, você não pode mais adicionar guias estratégicos a regras de análise dessa maneira. No entanto, você ainda pode ver os guias estratégicos existentes chamados de regras de análise, que ainda serão executados até março de 2026. Recomendamos fortemente que, em vez disso, você crie regras de automação para chamar esses guias estratégicos antes disso.

Executar um guia estratégico sob demanda

Você também pode executar manualmente um guia estratégico sob demanda, seja em resposta a alertas, incidentes (em versão prévia) ou entidades (também em versão prévia). Isso pode ser útil em situações em que você deseja mais entrada de origem humana e controle sobre processos de orquestração e resposta.

Executar um guia estratégico manualmente em um alerta

Observação

Este procedimento não tem suporte na plataforma de operações de segurança unificada.

No portal do Microsoft Azure, selecione uma das guias a seguir, conforme necessário para seu ambiente:

  1. Na página Incidentes, selecione um incidente. No portal do Azure, selecione Exibir detalhes completos na parte inferior do painel de detalhes do incidente para abrir a página de detalhes do incidente.

  2. Na página de detalhes do incidente, no widget Linha do tempo do incidente, escolha o alerta no qual você deseja executar o guia estratégico. Selecione os três pontos no final da linha do alerta e escolha Executar guia estratégico no menu pop-up.

Captura de tela mostrando um exemplo da página de detalhes da linha do tempo do incidente no Microsoft Sentinel.

  1. O painel Guias estratégicos do alerta será aberto. Você verá uma lista de todos os guias estratégicos configurados com o gatilho dos Aplicativos Lógicos Alerta do Microsoft Sentinel aos quais você tem acesso.

  2. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

Você pode ver o histórico de execução de guias estratégicos em um alerta selecionando a guia Execuções no painel Guias estratégicos de alerta. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos.