Crie seus próprios incidentes manualmente no Microsoft Sentinel
Importante
A criação manual de incidentes, usando o portal ou Aplicativos Lógicos, está atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
A criação manual de incidentes está geralmente disponível usando a API.
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Com o Microsoft Sentinel como sua solução de gerenciamento de eventos e informações de segurança (SIEM), as atividades de deteção e resposta a ameaças de suas operações de segurança estão centradas em incidentes que você investiga e corrige. Estes incidentes têm duas fontes principais:
Eles são gerados automaticamente quando os mecanismos de deteção operam nos logs e alertas que o Microsoft Sentinel ingere de suas fontes de dados conectadas.
Eles são ingeridos diretamente de outros serviços de segurança conectados da Microsoft (como o Microsoft Defender XDR) que os criaram.
No entanto, os dados de ameaças também podem vir de outras fontes não ingeridas no Microsoft Sentinel, ou eventos não registrados em qualquer log, e ainda podem justificar a abertura de uma investigação. Por exemplo, um funcionário pode notar uma pessoa não reconhecida se envolvendo em atividades suspeitas relacionadas aos ativos de informações da sua organização. Esse funcionário pode ligar ou enviar um e-mail para o centro de operações de segurança (SOC) para relatar a atividade.
O Microsoft Sentinel permite que seus analistas de segurança criem incidentes manualmente para qualquer tipo de evento, independentemente de sua origem ou dados, para que você não perca a oportunidade de investigar esses tipos incomuns de ameaças.
Casos comuns de utilização
Criar um incidente para um evento relatado
Este é o cenário descrito na introdução acima.
Crie incidentes a partir de eventos de sistemas externos
Crie incidentes com base em eventos de sistemas cujos logs não são ingeridos no Microsoft Sentinel. Por exemplo, uma campanha de phishing baseada em SMS pode usar a marca corporativa e os temas da sua organização para segmentar os dispositivos móveis pessoais dos funcionários. Você pode querer investigar esse ataque e criar um incidente no Microsoft Sentinel para ter uma plataforma para gerenciar sua investigação, coletar e registrar evidências e registrar suas ações de resposta e mitigação.
Crie incidentes com base nos resultados da caça
Criar incidentes com base nos resultados observados das atividades de caça. Por exemplo, ao caçar ameaças no contexto de uma investigação específica (ou por conta própria), você pode se deparar com evidências de uma ameaça completamente não relacionada que justifique sua própria investigação separada.
Criar manualmente um incidente
Há três maneiras de criar um incidente manualmente:
- Criar um incidente usando o portal do Azure
- Crie um incidente usando os Aplicativos Lógicos do Azure, usando o gatilho de Incidente do Microsoft Sentinel.
- Crie um incidente usando a API do Microsoft Sentinel, por meio do grupo de operação Incidentes . Ele permite que você obtenha, crie, atualize e exclua incidentes.
Após a integração do Microsoft Sentinel ao portal do Microsoft Defender, os incidentes criados manualmente não são sincronizados com o portal do Defender, embora ainda possam ser visualizados e gerenciados no Microsoft Sentinel no portal do Azure e por meio de Aplicativos Lógicos e da API.
Criar um incidente usando o portal do Azure
Selecione Microsoft Sentinel e escolha seu espaço de trabalho.
No menu de navegação do Microsoft Sentinel, selecione Incidentes.
Na página Incidentes, selecione + Criar incidente (Pré-visualização) na barra de botões.
O painel Criar incidente (Pré-visualização) será aberto no lado direito do ecrã.
Preencha os campos no painel em conformidade.
Título
- Insira um título de sua escolha para o incidente. O incidente aparecerá na fila com este título.
- Obrigatório. Texto livre de comprimento ilimitado. Os espaços serão aparados.
Descrição
- Insira informações descritivas sobre o incidente, incluindo detalhes como a origem do incidente, quaisquer entidades envolvidas, relação com outros eventos, quem foi informado e assim por diante.
- Opcional. Texto livre até 5000 caracteres.
Gravidade
- Escolha uma gravidade na lista suspensa. Todas as gravidades suportadas pelo Microsoft Sentinel estão disponíveis.
- Obrigatório. O padrão é "Médio".
Status
- Escolha um status na lista suspensa. Todos os status suportados pelo Microsoft Sentinel estão disponíveis.
- Obrigatório. O padrão é "Novo".
- Você pode criar um incidente com um status de "fechado" e, em seguida, abri-lo manualmente depois para fazer alterações e escolher um status diferente. Escolher "fechado" na lista suspensa ativará os campos de motivo de classificação para que você escolha um motivo para fechar o incidente e adicione comentários.
Proprietário
- Escolha entre os usuários ou grupos disponíveis em seu locatário. Comece a digitar um nome para pesquisar usuários e grupos. Selecione o campo (clique ou toque) para exibir uma lista de sugestões. Escolha "atribuir a mim" no topo da lista para atribuir o incidente a si mesmo.
- Opcional.
Etiquetas
- Use tags para classificar incidentes e para filtrá-los e localizá-los na fila.
- Crie tags selecionando o ícone de sinal de adição, inserindo texto na caixa de diálogo e selecionando OK. O preenchimento automático sugerirá tags usadas no espaço de trabalho nas duas semanas anteriores.
- Opcional. Texto livre.
Selecione Criar na parte inferior do painel. Após alguns segundos, o incidente será criado e aparecerá na fila de incidentes.
Se você atribuir a um incidente um status de "Fechado", ele não aparecerá na fila até que você altere o filtro de status para mostrar incidentes fechados também. O filtro é definido por padrão para exibir apenas incidentes com um status de "Novo" ou "Ativo".
Selecione o incidente na fila para ver todos os detalhes, adicionar favoritos, alterar o proprietário e o status e muito mais.
Se, por algum motivo, você mudar de ideia após a criação do incidente, poderá excluí-lo da grade da fila ou de dentro do próprio incidente.
Criar um incidente usando os Aplicativos Lógicos do Azure
A criação de um incidente também está disponível como uma ação de Aplicativos Lógicos no conector do Microsoft Sentinel e, portanto, nos playbooks do Microsoft Sentinel.
Você pode encontrar a ação Criar incidente (visualização) no esquema do playbook para o gatilho de incidente.
Você precisa fornecer os parâmetros conforme descrito abaixo:
Selecione seu nome de Assinatura, Grupo de recursos e Espaço de trabalho em seus respetivos menus suspensos.
Para os campos restantes, consulte as explicações acima (em Criar um incidente usando o portal do Azure).
O Microsoft Sentinel fornece alguns modelos de playbook de exemplo que mostram como trabalhar com esse recurso:
- Criar incidente com o Microsoft Form
- Criar incidente a partir da caixa de entrada de e-mail compartilhada
Você pode encontrá-los na galeria de modelos de playbook na página Microsoft Sentinel Automation .
Criar um incidente usando a API do Microsoft Sentinel
O grupo de operação Incidentes permite não apenas criar, mas também atualizar (editar), obter (recuperar), listar e excluir incidentes.
Você cria um incidente usando o seguinte ponto de extremidade. Depois que essa solicitação for feita, o incidente ficará visível na fila de incidentes no portal.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
Veja um exemplo de como um corpo de solicitação pode parecer:
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Notas
Os incidentes criados manualmente não contêm entidades ou alertas. Portanto, a guia Alertas na página de incidente permanecerá vazia até que você relacione os alertas existentes ao seu incidente.
A guia Entidades também permanecerá vazia, pois a adição de entidades diretamente a incidentes criados manualmente não é suportada no momento. (Se você relacionar um alerta a esse incidente, as entidades do alerta aparecerão no incidente.)
Os incidentes criados manualmente também não exibirão nenhum nome de Produto na fila.
A fila de incidentes é filtrada por padrão para exibir apenas incidentes com um status de "Novo" ou "Ativo". Se você criar um incidente com um status de "Fechado", ele não aparecerá na fila até que você altere o filtro de status para mostrar incidentes fechados também.
Próximos passos
Para obter mais informações, consulte: