Partilhar via


Criar tarefas de incidentes no Microsoft Sentinel usando regras de automação

Este artigo explica como usar regras de automação para criar listas de tarefas de incidentes, a fim de padronizar os processos de fluxo de trabalho do analista no Microsoft Sentinel.

As tarefas de incidentes podem ser criadas automaticamente não apenas por regras de automação, mas também por playbooks, e também manualmente, ad-hoc, a partir de um incidente.

Casos de uso para diferentes funções

Este artigo aborda os seguintes cenários que se aplicam a gerentes SOC, analistas seniores e engenheiros de automação:

Outro cenário semelhante é abordado no seguinte artigo complementar:

Outro artigo, nos links a seguir, aborda cenários que se aplicam mais aos analistas SOC:

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para criar regras de automação e para exibir e editar incidentes, ambos necessários para adicionar, exibir e editar tarefas.

Exibir regras de automação com ações de tarefas incidentes

Na página Automação, você pode filtrar a exibição de regras de automação para ver apenas aquelas que têm ações Adicionar tarefa definidas.

Captura de tela mostrando como filtrar a grade de regras de automação.

  1. Selecione o filtro Ações .

  2. Desmarque a caixa de seleção Selecionar tudo .

  3. Role para baixo e marque a caixa de seleção Adicionar tarefa .

  4. Selecione OK e veja os resultados.

    Captura de tela mostrando os resultados do filtro na grade de regras de automação.

    Estas são as regras de automação que adicionam tarefas a incidentes. A coluna Nomes de regras do Google Analytics informa a quais regras de análise essas regras de automação estão condicionadas, para que você tenha uma ideia geral de quais incidentes são afetados.

    Nota

    Para ter conhecimento exato se uma regra de automação se aplicará a um incidente específico, você deve abrir a regra para ver se alguma condição adicional está definida, além da condição da regra de análise. Se forem definidas outras condições, o âmbito dos incidentes afetados será reduzido em conformidade.

Adicionar tarefas a incidentes com regras de automação

  1. Na página Automação, selecione + Criar e selecione Regra de automação.

  2. O painel Criar nova regra de automação será aberto no lado direito.
    Dê à sua regra de automação um nome que descreva o que ela faz.

  3. Selecione Quando o incidente é criado como o gatilho (você também pode usar Quando o incidente é atualizado).

  4. Adicione Condições para determinar a quais incidentes novas tarefas serão adicionadas.

    Por exemplo, filtre por nome da regra do Google Analytics:

    • Talvez você queira adicionar tarefas a incidentes com base nos tipos de ameaças detetadas por uma regra de análise ou um grupo de regras de análise que precisam ser tratadas de acordo com um determinado fluxo de trabalho. Pesquise e selecione as regras de análise relevantes na lista suspensa.

    • Ou, talvez você queira adicionar tarefas que sejam relevantes para incidentes em todos os tipos de ameaças (neste caso, deixe a seleção padrão de Todos como está).

    Em ambos os casos, você pode adicionar mais condições para restringir o escopo de incidentes aos quais sua regra de automação será aplicada. Saiba mais sobre como adicionar condições avançadas às regras de automação.

    Uma coisa que você precisa considerar é que a ordem em que as tarefas aparecem em seu incidente é determinada pelo tempo de criação das tarefas. Você pode definir a ordem das regras de automação para que as regras que adicionam tarefas necessárias para todos os incidentes sejam executadas primeiro e, só depois, todas as regras que adicionam tarefas necessárias para incidentes gerados por regras de análise específicas.

    Captura de tela da primeira parte do assistente de regras de automação.

  5. Em Ações, selecione Adicionar tarefa.

    Captura de tela mostrando a escolha da ação Adicionar tarefa em uma regra de automação.

  6. Para cada tarefa, insira um título no campo Título da tarefa e (opcionalmente) selecione + Adicionar descrição para abrir um campo de descrição.
    Apenas os títulos das tarefas aparecem por padrão no painel de lista de tarefas do incidente. A descrição de uma tarefa aparece somente quando o item de tarefa é expandido.

    Captura de ecrã a mostrar como adicionar um título e uma descrição a uma tarefa.

  7. No campo de descrição, você pode adicionar uma descrição de forma livre para a tarefa, incluindo imagens, links e formatação rich-text (consulte os hiperlinks, listas numeradas e texto formatado em bloco de código nos exemplos abaixo).

    Captura de ecrã a mostrar como adicionar uma descrição a uma tarefa.

  8. Adicione mais tarefas ao mesmo grupo de incidentes selecionando + Adicionar ação e repetindo as três últimas etapas.

    As tarefas serão criadas e adicionadas ao incidente de acordo com a ordem das ações Adicionar tarefa na sua regra de automação.

    Captura de tela mostrando como adicionar mais tarefas a uma regra de automação.

  9. Conclua a criação da regra de automação concluindo as etapas restantes, Expiração da regra e Ordem, e selecionando Aplicar no final. Consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar a resposta para obter detalhes completos.

    Em relação à configuração Ordem : A ordem em que as tarefas aparecem em seus incidentes depende de duas coisas:

    1. A ordem de execução das regras de automação, conforme determinado pelo número na configuração Ordem , e...
    2. A ordem das ações Adicionar tarefa definidas em cada regra de automação.

Próximos passos