Partilhar via


Crie e personalize playbooks do Microsoft Sentinel a partir de modelos

Um modelo de playbook é um fluxo de trabalho de automação pré-criado, testado e pronto para uso para o Microsoft Sentinel que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para as melhores práticas ao desenvolver playbooks do zero ou como inspiração para novos cenários de automação.

Os modelos de playbook não são playbooks ativos em si, e você deve criar uma cópia editável para suas necessidades.

Muitos modelos de playbook são desenvolvidos pela comunidade Microsoft Sentinel, fornecedores independentes de software (ISVs) e especialistas da própria Microsoft, com base em cenários de automação populares usados por centros de operações de segurança em todo o mundo.

Importante

Os modelos de Playbook estão atualmente em PRÉ-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para criar e gerenciar playbooks, você precisa acessar o Microsoft Sentinel com uma das seguintes funções do Azure:

  • Colaborador do Aplicativo Lógico, para editar e gerenciar aplicativos lógicos
  • Operador do Aplicativo Lógico, para ler, habilitar e desabilitar aplicativos lógicos

Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.

Recomendamos que você leia os playbooks do Azure Logic Apps for Microsoft Sentinel antes de criar seu playbook.

Aceder a modelos de playbook

Aceda a modelos de playbooks a partir das seguintes fontes:

Location Description
Página de automação do Microsoft Sentinel A guia Modelos de Playbook lista todos os playbooks instalados. Crie um ou mais playbooks ativos usando o mesmo modelo.

Quando publicamos uma nova versão de um modelo, todos os playbooks ativos criados a partir desse modelo têm um rótulo extra adicionado na guia Playbooks ativos para indicar que uma atualização está disponível.
Página do hub de conteúdo do Microsoft Sentinel Os modelos de Playbook estão disponíveis como parte de soluções de produtos ou conteúdo autônomo instalado a partir do hub de conteúdo.

Para mais informações, consulte:
Sobre o conteúdo e as soluções do Microsoft Sentinel
Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel
GitHub O repositório GitHub do Microsoft Sentinel contém muitos outros modelos de playbook. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure.

Tecnicamente, um modelo de playbook é um modelo do Azure Resource Manager (ARM), que consiste em vários recursos: um fluxo de trabalho de Aplicativos Lógicos do Azure e conexões de API para cada conexão envolvida.

Este artigo se concentra na implantação de um modelo de playbook na guia Modelos de playbook em Automação.

Explore modelos de playbook

Para o Microsoft Sentinel no portal do Azure, selecione a página Hub de conteúdo de gerenciamento de>conteúdo. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

Na página Hub de conteúdo, selecione Tipo de conteúdo para filtrar o Playbook. Esta vista filtrada lista todas as soluções e conteúdo autónomo que incluem um ou mais modelos de playbook. Instale a solução ou o conteúdo independente para obter o modelo.

Em seguida, selecione a guia Modelos do Playbook de Automação de Configuração>>para exibir os modelos instalados. Por exemplo:

Captura de ecrã da galeria de modelos de playbook.

Para encontrar um modelo de playbook que atenda às suas necessidades, filtre a lista pelos seguintes critérios:

Filtro Description
Acionador Filtre pela forma como o manual é acionado, incluindo incidentes, alertas ou entidades. Para obter mais informações, consulte Gatilhos do Microsoft Sentinel suportados.
Conectores de aplicativos lógicos Filtre pelos serviços externos com os quais os playbooks interagem. Durante o processo de implantação, cada conector precisa assumir uma identidade para se autenticar no serviço externo.
Entidades Filtre pelos tipos de entidade que o manual espera encontrar no incidente.

Por exemplo, um manual que diz a um firewall para bloquear um endereço IP espera encontrar endereços IP no incidente. Tais incidentes podem ser criados por uma regra de análise de ataque de Força Bruta.
Etiquetas Filtre pelos rótulos aplicados ao playbook, relacionando o playbook a um cenário específico ou indicando uma característica especial. Por exemplo:

- Enriquecimento - Playbooks que buscam informações de outro serviço para adicionar contexto a um incidente. Essas informações geralmente são adicionadas como um comentário ao incidente ou enviadas ao SOC.
- Remediação - Playbooks que tomam uma ação sobre as entidades afetadas para eliminar uma ameaça potencial.
- Sincronização - Playbook que ajuda a manter um serviço externo, como um serviço de gerenciamento de incidentes, atualizado com as propriedades do incidente.
- Notificação - Playbooks que enviam um e-mail ou mensagem.
- Resposta do Teams - Playbooks que permitem aos analistas executar uma ação manual do Teams usando cartões interativos.

Por exemplo:

Captura de tela de como filtrar a lista de modelos de playbook.

Personalizar um manual a partir de um modelo

Este procedimento descreve como implantar modelos de playbook e pode ser repetido para criar vários playbooks a partir do mesmo modelo.

Embora a maioria dos modelos de playbook possa ser usada como estão, recomendamos que você os ajuste conforme necessário para ajustar seu playbook às suas necessidades de SOC.

  1. Na guia Modelos de Playbook, selecione um playbook para começar.

  2. Se o manual tiver algum pré-requisito, certifique-se de seguir as instruções. Por exemplo:

    • Alguns playbooks chamam outros playbooks de ações. Este segundo manual é referido como um manual aninhado. Nesse caso, um dos pré-requisitos é primeiro implantar o manual aninhado.

    • Alguns playbooks exigem a implantação de um conector de Aplicativos Lógicos personalizado ou de uma Função do Azure. Nesses casos, há um link Implantar no Azure que leva você ao processo geral de implantação do modelo ARM.

  3. Selecione Criar playbook para abrir o assistente de criação de playbook com base no modelo selecionado. O assistente tem quatro guias:

    • Noções básicas: localize seu novo playbook, que é um recurso do Logic Apps, e dê um nome a ele. Você pode usar o padrão. Por exemplo:

      Captura de ecrã do assistente de criação de Playbook, separador Noções básicas.

    • Parâmetros: insira valores específicos do cliente que o manual usa. Por exemplo, se o manual enviar um e-mail para o SOC, defina o endereço do destinatário. Se o playbook tiver um conector personalizado em uso, ele deverá ser implantado no mesmo grupo de recursos e você será solicitado a inserir seu nome na guia Parâmetros .

      A guia Parâmetros mostra somente se o playbook tiver parâmetros. Por exemplo:

      Captura de ecrã do assistente de criação do Playbook, separador parâmetros.

    • Conexões: expanda cada ação para ver as conexões existentes que você criou para playbooks anteriores. Você pode optar por usar conexões existentes ou criar uma nova. Por exemplo:

      Captura de ecrã do assistente de criação de Playbook, separador ligações.

      • Para criar uma nova conexão, selecione Criar nova conexão após a implantação. Essa opção leva você ao designer de Aplicativos Lógicos após a conclusão do processo de implantação.

      • Os conectores personalizados são listados pelo nome do conector personalizado inserido na guia Parâmetros .

      • Para conectores que oferecem suporte à conexão com identidade gerenciada, como o Microsoft Sentinel, a identidade gerenciada é o método de conexão padrão.

      Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.

    • Rever e Criar: Veja um resumo do processo e aguarde a validação da sua entrada antes de criar o playbook.

  4. Depois de seguir as etapas no assistente de criação de playbook até o final, você será direcionado para o design de fluxo de trabalho do novo playbook no designer de Aplicativos Lógicos. Por exemplo:

    Captura de ecrã do manual no designer de Aplicações Lógicas.

  5. Para cada conector escolhido, crie uma nova conexão para após a implantação:

    1. No menu de navegação, selecione Conexões de API e, em seguida, selecione o nome da conexão. Por exemplo:

      Captura de ecrã a mostrar como visualizar ligações A P I.

    2. Selecione Editar conexão de API no menu de navegação.

    3. Preencha os parâmetros necessários e selecione Salvar. Por exemplo:

      Captura de tela mostrando como editar conexões A P I.

    Como alternativa, crie uma nova conexão a partir das etapas relevantes no designer de Aplicativos Lógicos:

    1. Para cada etapa que aparece com um sinal de erro, selecione-a para expandir e, em seguida, selecione Adicionar nova.

    2. Autenticar de acordo com as instruções relevantes. Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.

    3. Se houver outras etapas usando esse mesmo conector, expanda suas caixas. Na lista de conexões exibida, selecione a conexão que você acabou de criar.

  6. Se você optou por usar uma conexão de identidade gerenciada para o Microsoft Sentinel ou para outras conexões com suporte, certifique-se de conceder permissões para o novo manual no espaço de trabalho do Microsoft Sentinel ou nos recursos de destino relevantes para outros conectores.

  7. Salve a cartilha. O playbook aparece na guia Playbooks Ativos.

Para executar o seu playbook, defina uma resposta automatizada ou execute-a manualmente. Para obter mais informações, consulte Responder a ameaças com os playbooks do Microsoft Sentinel.

Comunicar um problema num modelo de playbook

Para relatar um bug ou solicitar uma melhoria para um playbook, selecione o link Suportado por no painel de detalhes do playbook. Se este for um manual suportado pela comunidade, o link levará você a abrir um problema do GitHub. Caso contrário, você será direcionado para a página do apoiador, com informações sobre como enviar seu feedback.