Criar regras de automação

Concluído

As regras de automação são uma maneira de gerenciar centralmente a automação do tratamento de incidentes, permitindo que você execute tarefas de automação simples sem usar playbooks. Por exemplo, as regras de automação permitem atribuir automaticamente incidentes ao pessoal adequado, marcar incidentes para classificá-los e alterar o status de incidentes e fechá-los. As regras de automação também podem automatizar respostas para várias regras de análise ao mesmo tempo, controlar a ordem das ações que são executadas e executar playbooks para os casos em que tarefas de automação mais complexas são necessárias. Em resumo, as regras de automação simplificam o uso da automação no Microsoft Sentinel, permitindo que você simplifique fluxos de trabalho complexos para seus processos de orquestração de incidentes.

Criação e gerenciamento de regras de automação

Você pode criar e gerenciar regras de automação de diferentes pontos na experiência do Microsoft Sentinel, dependendo de sua necessidade específica e caso de uso.

Lâmina de automação

As regras de automação podem ser gerenciadas centralmente na nova folha Automação (que substitui a folha Playbooks), na guia Regras de automação (agora você também pode gerenciar playbooks nesta folha, na guia Playbooks.) A partir daí, você pode criar novas regras de automação e editar as existentes. Você também pode arrastar regras de automação para alterar a ordem de execução e habilitá-las ou desabilitá-las.

Na folha Automação, você vê todas as regras definidas no espaço de trabalho, juntamente com seu status (Habilitado/Desabilitado) e a quais regras de análise elas são aplicadas.

Quando precisar de uma regra de automação que se aplique a muitas regras de análise, crie-a diretamente na folha Automação. No menu superior, selecione Criar e adicionar nova regra, que abre o painel Criar nova regra de automação. A partir daqui, você tem total flexibilidade na configuração da regra: você pode aplicá-la a quaisquer regras de análise (incluindo as futuras) e definir a maior variedade de condições e ações.

Assistente de regras do Google Analytics

Na guia Resposta automatizada do assistente de regra de análise, você pode ver, gerenciar e criar regras de automação que se aplicam à regra de análise específica que está sendo criada ou editada no assistente.

Ao selecionar Criar e um dos tipos de regra (Regra de consulta agendada ou Regra de criação de incidentes da Microsoft) no menu superior da folha Análise, ou se selecionar uma regra de análise existente e selecionar Editar, você abrirá o assistente de regras. Ao selecionar a guia Resposta automatizada, você verá uma seção chamada Automação de incidentes, na qual as regras de automação atualmente aplicáveis a essa regra serão exibidas. Você pode selecionar uma regra de automação existente para editar ou selecionar Adicionar nova para criar uma nova.

Você notará que, ao criar a regra de automação a partir daqui, o painel Criar nova regra de automação mostra a condição da regra de análise como indisponível, porque essa regra já está definida para se aplicar somente à regra de análise que você está editando no assistente. Todas as outras opções de configuração ainda estão disponíveis para você.

Lâmina de incidentes

Você também pode criar uma regra de automação a partir da folha Incidentes para responder a um único incidente recorrente. Isso é útil ao criar uma regra de supressão para fechar automaticamente incidentes "barulhentos". Selecione um incidente na fila e selecione Criar regra de automação no menu superior.

Você notará que o painel Criar nova regra de automação preencheu todos os campos com valores do incidente. Ele nomeia a regra com o mesmo nome do incidente, aplica-a à regra de análise que gerou o incidente e usa todas as entidades disponíveis no incidente como condições da regra. Ele também sugere uma ação de supressão (fechamento) por padrão e sugere uma data de expiração para a regra. Você pode adicionar ou remover condições e ações, e alterar a data de validade, como desejar.

Componentes de uma regra de automação

As regras de automação são compostas por vários componentes:

• Gatilho: As regras de automação são acionadas pela criação de um incidente.

  Para rever – os incidentes são criados a partir de alertas por regras de análise, das quais existem vários tipos, conforme explicado no tutorial Detetar ameaças com regras de análise incorporadas no Microsoft Sentinel.

• Condições: Conjuntos complexos de condições podem ser definidos para governar quando as ações (veja abaixo) devem ser executadas. Essas condições são normalmente baseadas nos estados ou valores de atributos de incidentes e suas entidades, e podem incluir operadores E/OU/NOT/CONTÉM.

• Ações: As ações podem ser definidas para serem executadas quando as condições (ver acima) forem atendidas. Você pode definir muitas ações em uma regra e escolher a ordem em que elas serão executadas (veja abaixo). As seguintes ações podem ser definidas usando regras de automação, sem a necessidade da funcionalidade avançada de um playbook:

  • Alterar o status de um incidente, mantendo seu fluxo de trabalho atualizado.

    Ao mudar para "fechado", especifique o motivo de fechamento e adicione um comentário. Isso ajuda você a acompanhar seu desempenho e eficácia, além de ajustar para reduzir falsos positivos.

  • Alterar a gravidade de um incidente – você pode reavaliar e repriorizar com base na presença, ausência, valores ou atributos das entidades envolvidas no incidente .

  • Atribuir um incidente a um proprietário – ajuda-o a direcionar os tipos de incidentes para o pessoal mais adequado para lidar com eles ou para o pessoal mais disponível.

  • Adicionar uma tag a um incidente – isso é útil para classificar incidentes por assunto, por atacante ou por qualquer outro denominador comum.

  Além disso, você pode definir uma ação para executar um playbook, a fim de tomar ações de resposta mais complexas, incluindo qualquer que envolva sistemas externos. Apenas playbooks ativados pelo gatilho de incidente estão disponíveis para serem usados em regras de automação. Você pode definir uma ação para incluir vários playbooks, ou combinações de playbooks e outras ações, e a ordem em que eles serão executados.

  Playbooks usando qualquer versão de aplicativos lógicos (padrão ou de consumo) estarão disponíveis para execução a partir de regras de automação.

• Data de validade: você pode definir uma data de validade em uma regra de automação. A regra será desativada após essa data. Isso é útil para lidar (ou seja, fechar) incidentes de "ruído" causados por atividades planejadas e limitadas no tempo, como testes de penetração.

• Ordem: Você pode definir a ordem na qual as regras de automação serão executadas. Regras de automação posteriores avaliarão as condições do incidente de acordo com seu estado depois de serem acionadas por regras de automação anteriores.

  Por exemplo, se a "Primeira Regra de Automação" alterar a gravidade de um incidente de Média para Baixa e a "Segunda Regra de Automação" for definida para ser executada apenas em incidentes com gravidade Média ou Superior, ela não será executada nesse incidente.