Partilhar via


Crie e utilize regras de automatização do Microsoft Sentinel para gerir a resposta

Este artigo explica como criar e usar regras de automação no Microsoft Sentinel para gerenciar e orquestrar a resposta a ameaças, a fim de maximizar a eficiência e a eficácia do seu SOC.

Neste artigo, você aprenderá a definir os gatilhos e as condições que determinam quando sua regra de automação é executada, as várias ações que você pode executar a regra e os recursos e funcionalidades restantes.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Projete sua regra de automação

Antes de criar sua regra de automação, recomendamos que você determine seu escopo e design, incluindo o gatilho, as condições e as ações que compõem sua regra.

Determinar o escopo

A primeira etapa para projetar e definir sua regra de automação é descobrir a quais incidentes ou alertas você deseja que ela se aplique. Essa determinação afeta diretamente a forma como você cria a regra.

Você também deseja determinar seu caso de uso. O que você está tentando realizar com essa automação? Considere as seguintes opções:

  • Crie tarefas para seus analistas seguirem na triagem, investigação e correção de incidentes.
  • Reprima incidentes barulhentos. (Como alternativa, use outros métodos para manipular falsos positivos no Microsoft Sentinel.)
  • Faça a triagem de novos incidentes alterando seu status de Novo para Ativo e atribuindo um proprietário.
  • Marque incidentes para classificá-los.
  • Escale um incidente atribuindo um novo proprietário.
  • Feche incidentes resolvidos, especificando um motivo e adicionando comentários.
  • Analise o conteúdo do incidente (alertas, entidades e outras propriedades) e tome outras medidas chamando um manual.
  • Manipule ou responda a um alerta sem um incidente associado.

Determinar o gatilho

Deseja que essa automação seja ativada quando novos incidentes ou alertas forem criados? Ou sempre que um incidente é atualizado?

As regras de automação são acionadas quando um incidente é criado ou atualizado ou quando um alerta é criado. Lembre-se de que os incidentes incluem alertas e que tanto alertas quanto incidentes podem ser criados por regras de análise, das quais existem vários tipos, conforme explicado em Deteção de ameaças no Microsoft Sentinel.

A tabela a seguir mostra os diferentes cenários possíveis que fazem com que uma regra de automação seja executada.

Tipo de acionador Eventos que fazem com que a regra seja executada
Quando o incidente é criado Portal do Microsoft Defender:
  • Um novo incidente é criado no portal do Microsoft Defender.

    Microsoft Sentinel não integrado ao portal Defender:
  • Um novo incidente é criado por uma regra de análise.
  • Um incidente é ingerido do Microsoft Defender XDR.
  • Um novo incidente é criado manualmente.
  • Quando o incidente é atualizado
  • O estado de um incidente é alterado (fechado/reaberto/triado).
  • O proprietário de um incidente é atribuído ou alterado.
  • A gravidade de um incidente é aumentada ou reduzida.
  • Os alertas são adicionados a um incidente.
  • Comentários, tags ou táticas são adicionados a um incidente.
  • Quando o alerta é criado
  • Um alerta é criado por uma regra de análise Microsoft Sentinel Scheduled ou NRT .
  • Crie sua regra de automação

    A maioria das instruções a seguir se aplica a todos e quaisquer casos de uso para os quais você criará regras de automação.

    Se você está procurando suprimir incidentes barulhentos, tente lidar com falsos positivos.

    Se você quiser criar uma regra de automação para aplicar a uma regra de análise específica, consulte Definir respostas automatizadas e criar a regra.

    Para criar sua regra de automação:

    1. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation.

    2. Na página Automação no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e escolha Regra de automação.

    3. O painel Criar nova regra de automação é aberto. No campo Nome da regra de automação, insira um nome para a regra.

    Escolha o seu gatilho

    Na lista suspensa Gatilho, selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.

    Captura de tela mostrando a seleção do gatilho de criação de incidente ou atualização de incidente.

    Definir condições

    Use as opções na área Condições para definir condições para sua regra de automação.

    • As regras criadas para quando um alerta é criado suportam apenas a propriedade If Analytic rule name na sua condição. Selecione se deseja que a regra seja inclusiva (Contém) ou exclusiva (Não contém) e, em seguida, selecione o nome da regra analítica na lista suspensa.

      Os valores de nome de regra analítica incluem apenas regras de análise e não incluem outros tipos de regras, como inteligência de ameaças ou regras de anomalia.

    • As regras criadas para quando um incidente é criado ou atualizado oferecem suporte a uma grande variedade de condições, dependendo do seu ambiente. Estas opções começam com o facto de a sua área de trabalho estar integrada no portal do Defender:

      Se o seu espaço de trabalho estiver integrado ao portal do Defender, comece selecionando um dos seguintes operadores, no portal do Azure ou do Defender:

      • E: condições individuais que são avaliadas como um grupo. A regra é executada se todas as condições desse tipo forem atendidas.

        Para trabalhar com o operador AND , selecione o expansor + Add e escolha Condition (And) na lista suspensa. A lista de condições é preenchida por campos de propriedade incidente e propriedade de entidade.

      • OR (também conhecido como grupos de condições): grupos de condições, cada uma das quais é avaliada independentemente. A regra é executada se um ou mais grupos de condições forem verdadeiros. Para saber como trabalhar com esses tipos complexos de condições, consulte Adicionar condições avançadas às regras de automação.

      Por exemplo:

      Captura de tela das condições da regra de automação quando seu espaço de trabalho está integrado ao portal do Defender.

      Se você selecionou Quando um incidente é atualizado como o gatilho, comece definindo suas condições e, em seguida, adicionando operadores e valores extras conforme necessário.

    Para definir as suas condições:

    1. Selecione uma propriedade na primeira caixa suspensa à esquerda. Você pode começar a digitar qualquer parte do nome de uma propriedade na caixa de pesquisa para filtrar dinamicamente a lista, para que possa encontrar o que está procurando rapidamente.

      Captura de ecrã a mostrar a introdução numa caixa de pesquisa para filtrar a lista de opções.

    2. Selecione um operador na próxima caixa suspensa à direita. Captura de tela mostrando a seleção de um operador de condição para regras de automação.

      A lista de operadores que você pode escolher varia de acordo com o gatilho e a propriedade selecionados.

      Condições disponíveis com o gatilho create

      Property Conjunto de operadores
      - Título
      - Descrição
      - Todas as propriedades da entidade listada
        (consulte Propriedades da entidade suportada)
      - Igual/Não é igual
      - Contém/Não contém
      - Começa com/Não começa com
      - Termina com/Não termina com
      - Tag (Ver individual vs. coleção) Qualquer tag individual:
      - Igual/Não é igual
      - Contém/Não contém
      - Começa com/Não começa com
      - Termina com/Não termina com

      Coleção de todas as tags:
      - Contém/Não contém
      - Gravidade
      - Status
      - Chave de detalhes personalizados
      - Igual/Não é igual
      - Táticas
      - Alertar nomes de produtos
      - Valor de detalhes personalizados
      - Nome da regra analítica
      - Contém/Não contém

      Condições disponíveis com o gatilho de atualização

      Property Conjunto de operadores
      - Título
      - Descrição
      - Todas as propriedades da entidade listada
        (consulte Propriedades da entidade suportada)
      - Igual/Não é igual
      - Contém/Não contém
      - Começa com/Não começa com
      - Termina com/Não termina com
      - Tag (Ver individual vs. coleção) Qualquer tag individual:
      - Igual/Não é igual
      - Contém/Não contém
      - Começa com/Não começa com
      - Termina com/Não termina com

      Coleção de todas as tags:
      - Contém/Não contém
      - Tag (além do acima)
      - Alertas
      - Comentários
      - Adicionado
      - Gravidade
      - Status
      - Igual/Não é igual
      - Alterado
      - Alterado de
      - Alterado para
      - Proprietário - Alterado
      - Atualizado por
      - Chave de detalhes personalizados
      - Igual/Não é igual
      - Táticas - Contém/Não contém
      - Adicionado
      - Alertar nomes de produtos
      - Valor de detalhes personalizados
      - Nome da regra analítica
      - Contém/Não contém

      Condições disponíveis com o gatilho de alerta

      A única condição que pode ser avaliada por regras baseadas no gatilho de criação de alerta é qual regra de análise do Microsoft Sentinel criou o alerta.

      As regras de automação baseadas no gatilho de alerta só são executadas em alertas criados pelo Microsoft Sentinel.

    3. Insira um valor no campo à direita. Dependendo da propriedade escolhida, isso pode ser uma caixa de texto ou uma lista suspensa na qual você seleciona a partir de uma lista fechada de valores. Você também pode adicionar vários valores selecionando o ícone de dados à direita da caixa de texto.

      Captura de tela mostrando a adição de valores à sua condição em regras de automação.

    Novamente, para definir condições Or complexas com campos diferentes, consulte Adicionar condições avançadas a regras de automação.

    Condições baseadas em tags

    Você pode criar dois tipos de condições com base em tags:

    • Condições com Qualquer operador de tag individual avalia o valor especificado em relação a cada tag na coleção. A avaliação é verdadeira quando pelo menos uma tag satisfaz a condição.
    • Os operadores de Condições com Coleta de todas as tags avaliam o valor especificado em relação à coleção de tags como uma única unidade. A avaliação só é verdadeira se a coleção no seu conjunto satisfizer a condição.

    Para adicionar uma dessas condições com base nas tags de um incidente, execute as seguintes etapas:

    1. Crie uma nova regra de automação conforme descrito acima.

    2. Adicione uma condição ou um grupo de condições.

    3. Selecione Tag na lista suspensa de propriedades.

    4. Selecione a lista suspensa de operadores para revelar os operadores disponíveis para escolher.

      Veja como os operadores são divididos em duas categorias, conforme descrito anteriormente. Escolha cuidadosamente o seu operador com base na forma como pretende que as etiquetas sejam avaliadas.

      Para obter mais informações, consulte Propriedade da tag : individual vs. coleção.

    Condições baseadas em detalhes personalizados

    Você pode definir o valor de um detalhe personalizado apresentado em um incidente como uma condição de uma regra de automação. Lembre-se de que os detalhes personalizados são pontos de dados em registros brutos de log de eventos que podem ser exibidos em alertas e nos incidentes gerados a partir deles. Use detalhes personalizados para obter o conteúdo relevante real em seus alertas sem ter que vasculhar os resultados da consulta.

    Para adicionar uma condição com base em um detalhe personalizado:

    1. Crie uma nova regra de automação conforme descrito anteriormente.

    2. Adicione uma condição ou um grupo de condições.

    3. Selecione Chave de detalhes personalizada na lista suspensa de propriedades. Selecione Igual ou Não igual na lista suspensa de operadores.

      Para a condição de detalhes personalizados, os valores na última lista suspensa vêm dos detalhes personalizados que foram exibidos em todas as regras de análise listadas na primeira condição. Selecione o detalhe personalizado que deseja usar como condição.

      Captura de ecrã a mostrar a adição de uma chave de detalhe personalizada como condição.

    4. Você escolheu o campo que deseja avaliar para essa condição. Agora, especifique o valor que aparece nesse campo que faz com que essa condição seja avaliada como verdadeira.
      Selecione + Adicionar condição do item.

      Captura de tela mostrando a seleção de adicionar condição de item para regras de automação.

      A linha de condição de valor aparece abaixo.

      Captura de tela do campo de valor de detalhe personalizado aparecendo.

    5. Selecione Contém ou Não contém na lista suspensa de operadores. Na caixa de texto à direita, insira o valor para o qual você deseja que a condição seja avaliada como true.

      Captura de ecrã do campo de valor de detalhe personalizado preenchido.

    Neste exemplo, se o incidente tiver o detalhe personalizado DestinationEmail e se o valor desse detalhe for pwned@bad-botnet.com, as ações definidas na regra de automação serão executadas.

    Adicionar ações

    Escolha as ações que deseja que esta regra de automação execute. As ações disponíveis incluem Atribuir proprietário, Alterar status, Alterar gravidade, Adicionar tags e Executar playbook. Você pode adicionar quantas ações quiser.

    Nota

    Somente a ação Executar playbook está disponível em regras de automação usando o gatilho de alerta.

    Captura de tela da lista de ações a serem selecionadas na regra de automação.

    Para qualquer ação que você escolher, preencha os campos que aparecem para essa ação de acordo com o que você deseja fazer.

    Se adicionar uma ação Executar playbook , ser-lhe-á pedido para escolher a partir da lista pendente de playbooks disponíveis.

    • Somente playbooks que começam com o gatilho de incidente podem ser executados a partir de regras de automação usando um dos gatilhos de incidente, portanto, apenas eles aparecem na lista. Da mesma forma, apenas playbooks que começam com o gatilho de alerta estão disponíveis em regras de automação usando o gatilho de alerta.

    • O Microsoft Sentinel deve receber permissões explícitas para executar playbooks. Se um playbook aparecer indisponível na lista suspensa, isso significa que o Sentinel não tem permissões para acessar o grupo de recursos desse playbook. Para atribuir permissões, selecione o link Gerenciar permissões do playbook.

      No painel Gerenciar permissões que se abre, marque as caixas de seleção dos grupos de recursos que contêm os playbooks que você deseja executar e selecione Aplicar.

      Gerir permissões

      Você mesmo deve ter permissões de proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e deve ter a função de Colaborador de Automação do Microsoft Sentinel em qualquer grupo de recursos que contenha playbooks que deseja executar.

    • Se você ainda não tem um manual que execute a ação desejada, crie um novo manual. Você precisa sair do processo de criação de regras de automação e reiniciá-lo depois de criar seu playbook.

    Mover ações

    Pode alterar a ordem das ações na sua regra mesmo depois de as ter adicionado. Selecione as setas azuis para cima ou para baixo ao lado de cada ação para movê-la para cima ou para baixo uma etapa.

    Captura de ecrã a mostrar como mover ações para cima ou para baixo.

    Concluir a criação da regra

    1. Em Expiração da regra, se desejar que a regra de automação expire, defina uma data de expiração e, opcionalmente, uma hora. Caso contrário, deixe-o como Indefinido.

    2. O campo Ordem é preenchido previamente com o próximo número disponível para o tipo de gatilho da regra. Esse número determina onde na sequência de regras de automação (do mesmo tipo de gatilho) essa regra é executada. Você pode alterar o número se quiser que essa regra seja executada antes de uma regra existente.

      Para obter mais informações, consulte Notas sobre ordem de execução e prioridade.

    3. Selecione Aplicar. Está feito!

    Captura de tela das etapas finais da criação da regra de automação.

    Atividade de regra de automação de auditoria

    Descubra o que as regras de automação podem ter feito a um determinado incidente. Você tem um registro completo de crônicas de incidentes disponíveis na tabela SecurityIncident na página Logs no portal do Azure ou na página Caça avançada no portal do Defender. Utilize a consulta seguinte para ver toda a atividade da regra de automatização:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Execução de regras de automação

    As regras de automatização são executadas sequencialmente, de acordo com a ordem que determinar. Cada regra de automatização é executada após o fim da execução da anterior. Numa regra de automatização, todas as ações são executadas sequencialmente na ordem em que são definidas. Consulte Notas sobre a ordem de execução e prioridade para obter mais informações.

    As ações do manual de procedimentos numa regra de automatização podem ser tratadas de forma diferente em algumas circunstâncias, de acordo com os seguintes critérios:

    Tempo de execução do manual de procedimentos A regra de automatização avança para a ação seguinte...
    Menos de 1 segundo Imediatamente após a conclusão do manual de procedimentos
    Menos de dois minutos Até dois minutos depois de o playbook ter começado a ser executado,
    mas não mais de 10 segundos após a conclusão do playbook
    Mais de dois minutos Dois minutos depois de a cartilha começar a funcionar,
    independentemente de ter sido ou não concluída

    Próximos passos

    Neste documento, você aprendeu como usar regras de automação para gerenciar centralmente a automação de resposta para incidentes e alertas do Microsoft Sentinel.