Responda a agentes de ameaças enquanto investiga ou caça ameaças no Microsoft Sentinel
Este artigo mostra como tomar medidas de resposta contra agentes de ameaças no local, durante o curso de uma investigação de incidente ou caça a ameaças, sem pivotar ou mudar de contexto da investigação ou caça. Você faz isso usando playbooks baseados no novo gatilho de entidade.
Atualmente, o gatilho de entidade suporta os seguintes tipos de entidade:
Importante
O gatilho da entidade está atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Executar playbooks com o gatilho de entidade
Quando você está investigando um incidente e determina que uma determinada entidade - uma conta de usuário, um host, um endereço IP, um arquivo e assim por diante - representa uma ameaça, você pode tomar ações de correção imediatas sobre essa ameaça executando um playbook sob demanda. Você pode fazer o mesmo se encontrar entidades suspeitas enquanto procura proativamente ameaças fora do contexto de incidentes.
Selecione a entidade em qualquer contexto que você encontrar e escolha os meios apropriados para executar um playbook, da seguinte maneira:
No widget Entidades na guia Visão geral de um incidente na página de detalhes do novo incidente (agora em Visualização) ou na guia Entidades, escolha uma entidade na lista, selecione os três pontos ao lado da entidade e selecione Executar playbook (Visualização) no menu pop-up.
Na guia Entidades de um incidente, escolha a entidade na lista e selecione o link Executar playbook (Visualização) no final de sua linha na lista.
No gráfico Investigação, selecione uma entidade e selecione o botão Executar playbook (Visualização) no painel lateral da entidade.
Na página Comportamento da entidade, selecione uma entidade. Na página da entidade resultante, selecione o botão Executar playbook (Pré-visualização) no painel esquerdo.
Todos eles abrirão o painel Executar playbook no <tipo de> entidade.
Em qualquer um desses painéis, você verá duas guias: Playbooks e Runs.
Na guia Playbooks, você verá uma lista de todos os playbooks aos quais você tem acesso e que usam o gatilho de Entidade Microsoft Sentinel para esse tipo de entidade (neste caso, contas de usuário). Selecione o botão Executar para o playbook que você deseja executá-lo imediatamente.
Se você não vir o playbook que deseja executar na lista, isso significa que o Microsoft Sentinel não tem permissões para executar playbooks nesse grupo de recursos.
Para conceder essas permissões, selecione Configurações > Configurações > Playbooks permissões > Configurar permissões. No painel Gerenciar permissões, marque as caixas de seleção dos grupos de recursos que contêm os playbooks que você deseja executar e selecione Aplicar.
Para obter mais informações, consulte Permissões extras necessárias para o Microsoft Sentinel executar playbooks.
Você pode auditar a atividade de seus playbooks de gatilho de entidade na guia Execuções . Você verá uma lista de todas as vezes que qualquer playbook foi executado na entidade selecionada. Pode levar alguns segundos para que qualquer execução recém-concluída apareça nesta lista. Selecionar uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos do Azure.
Próximos passos
Neste artigo, você aprendeu como executar manuais manualmente para remediar ameaças de entidades enquanto investiga um incidente ou caça a ameaças.
- Saiba mais sobre como investigar incidentes no Microsoft Sentinel.
- Saiba como procurar ameaças de forma proativa usando o Microsoft Sentinel.
- Saiba mais sobre entidades no Microsoft Sentinel.
- Saiba mais sobre playbooks no Microsoft Sentinel.