O que são os guias estratégicos do Microsoft Sentinel?
Além de avaliar e resolver problemas de configuração de segurança, a Contoso também deve monitorar novos problemas e ameaças e responder adequadamente.
Microsoft Sentinel como uma solução de SIEM e SOAR
O Microsoft Sentinel é uma solução de SIEM (gerenciamento de eventos e informações de segurança) e SOAR (Orquestração de Segurança, Automação e Resposta) projetada para ambientes híbridos.
Observação
As soluções de SIEM oferecem armazenamento e análise de logs, eventos e alertas que outros sistemas geram. Você pode configurar essas soluções para gerar seus próprios alertas. As soluções SOAR dão suporte à correção de vulnerabilidades e à automação geral dos processos de segurança.
O Microsoft Sentinel usa detecções internas e personalizadas para alertar você sobre possíveis ameaças à segurança, como tentativas de acessar recursos da Contoso de fora da sua infraestrutura ou quando parecer que dados da Contoso estão sendo enviados a um endereço IP mal-intencionado conhecido. Você também pode criar incidentes com base nesses alertas.
Guias estratégicos do Microsoft Sentinel
Você pode criar guias estratégicos de segurança no Microsoft Sentinel para responder a alertas. Os guias estratégicos de segurança são coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta. Você pode executar esses guias estratégicos de segurança manualmente em resposta à investigação de um incidente ou pode configurar um alerta para executar um guia estratégico automaticamente.
Com a capacidade de responder a incidentes automaticamente, você pode automatizar algumas das operações de segurança e tornar seu SOC (centro de operações de segurança) mais produtivo.
Por exemplo, para resolver as preocupações da Contoso, você pode desenvolver um fluxo de trabalho com etapas definidas que podem impedir que um nome de usuário suspeito acesse recursos por meio de um endereço IP não seguro. Como alternativa, é possível configurar o guia estratégico a fim de executar uma operação como notificar a equipe de SecOps sobre um alerta de segurança de alto nível.
Aplicativos Lógicos do Azure
Os Aplicativos Lógicos do Azure são um serviço de nuvem que automatiza a operação de seus processos de negócios. Você usa uma ferramenta de design gráfico chamada Designer de Aplicativos Lógicos para organizar os componentes pré-criados para na sequência em que você precisa. Você também pode usar o modo de exibição de código e escrever o processo automatizado em um arquivo JSON.
Conector dos Aplicativos Lógicos
Os aplicativos lógicos usam conectores para se conectar a centenas de serviços. Um conector é um componente que fornece uma interface para um serviço externo.
Observação
Um conector de dados do Microsoft Sentinel e um conector de Aplicativos Lógicos não são a mesma coisa. Um conector de dados do Microsoft Sentinel conecta o Microsoft Sentinel aos produtos de segurança da Microsoft e aos ecossistemas de segurança para soluções que não são da Microsoft. Um conector dos Aplicativos Lógicos é um componente que fornece uma conexão de API para um serviço externo e permite a integração de eventos, dados e ações entre outros aplicativos, serviços, sistemas, protocolos e plataformas.
O que são gatilhos e ações
Os Aplicativos Lógicos do Azure usam gatilhos e ações, que são definidos da seguinte maneira:
Um gatilho é um evento que ocorre quando um conjunto específico de condições for atendido. Gatilhos são ativados automaticamente quando as condições forem atendidas. Por exemplo, um incidente de segurança, que é um gatilho para uma ação automatizada, ocorre no Microsoft Sentinel.
Uma ação é uma operação que executa uma tarefa no fluxo de trabalho dos Aplicativos Lógicos. Ações são executadas quando um gatilho é ativado, quando outra ação é concluída ou quando uma condição é satisfeita.
Conector de Aplicativos Lógicos do Microsoft Sentinel
Um guia estratégico do Microsoft Sentinel usa um conector de Aplicativos Lógicos do Microsoft Sentinel. Ele fornece gatilhos e ações que podem iniciar o guia estratégico e executar as ações definidas.
Atualmente, há dois gatilhos do conector de Aplicativos Lógicos do Microsoft Sentinel:
Quando uma resposta a um alerta do Microsoft Sentinel é disparada
Quando a regra de criação de incidentes do Microsoft Sentinel é disparada
Observação
Como o conector de Aplicativos Lógicos do Microsoft Sentinel está em versão prévia, os recursos descritos neste módulo podem ser alterados no futuro.
A tabela a seguir lista todas as ações atuais do conector do Microsoft Sentinel.
| Name | Descrição |
|---|---|
| Adicionar comentário ao incidente | Adiciona comentários ao incidente selecionado. |
| Adicionar rótulos ao incidente | Adiciona rótulos ao incidente selecionado. |
| Alerta – Obter incidente | Retorna o incidente associado ao alerta selecionado. |
| Alterar descrição do incidente | Altera a descrição do incidente selecionado. |
| Alterar gravidade do incidente | Altera a gravidade do incidente selecionado. |
| Alterar status do incidente | Altera o status do incidente selecionado. |
| Alterar título do incidente (V2) | Altera o título do incidente selecionado. |
| Entidades – Obter contas | Retorna uma lista de contas associadas ao alerta. |
| Entidades – Obter FileHashes | Retorna uma lista de Hashes de Arquivo associados ao alerta. |
| Entidades – Obter hosts | Retorna uma lista de hosts associados ao alerta. |
| Entidades – Obter IPs | Retorna uma lista de IPs associados ao alerta. |
| Entidades – Obter URLs | Retorna uma lista de URLs associadas ao alerta. |
| Remover rótulos do incidente | Remove os rótulos do incidente selecionado. |
Observação
As ações que têm (V2) ou um número maior fornecem uma nova versão da ação e podem diferir da antiga funcionalidade da ação.
Algumas ações exigem integração com ações de outros conectores. Por exemplo, se a Contoso quiser identificar todas as contas suspeitas retornadas no alerta das entidades definidas, você deverá combinar a ação Entidades – Obter contas com a ação For Each. De maneira semelhante, para obter todos os hosts individuais em um incidente que detectam hosts suspeitos, você precisa combinar a ação Entidades – Obter Hosts com a ação For Each.