Executar manuais de procedimentos a pedido

  • 8 minutos

Alguns incidentes na Contoso podem exigir uma investigação adicional antes de executar um manual de procedimentos. O Microsoft Sentinel permite que você execute playbooks sob demanda para facilitar investigações aprofundadas.

Executar um manual de procedimentos a pedido

Pode configurar os manuais de procedimentos para serem executados a pedido com base nos detalhes do incidente, para acionarem passos específicos como parte da investigação ou para realizarem alguma ação de remediação.

Considere o cenário em que os utilizadores suspeitos são impedidos de aceder a recursos empresariais. Como administrador de segurança da Contoso, encontra um incidente falso positivo. Alguns utilizadores na Contoso estavam a aceder a recursos através de uma ligação de rede privada virtual de computadores remotos ao mesmo tempo que estavam ligados aos computadores do escritório. O Microsoft Cloud Security recebeu sinais e, com base na vulnerabilidade que deteta uma potencial ameaça de locais de viagem atípicos, marcou os utilizadores como risco médio.

Você pode usar um manual que pode descartar automaticamente essa propriedade de usuário arriscada no Microsoft Entra ID.

Repositório Microsoft Sentinel no GitHub

O repositório Microsoft Sentinel no GitHub contém manuais prontos para uso para ajudá-lo a automatizar respostas sobre incidentes. Esses playbooks são definidos com o Azure Resource Manager (modelo ARM) que usa gatilhos do Microsoft Sentinel do Aplicativo Lógico.

Para o cenário descrito anteriormente, você pode usar o manual Dismiss-AADRiskyUser , que está localizado no repositório do Microsoft Sentinel no GitHub, e implantá-lo diretamente em sua assinatura do Azure.

Para cada implementação do GitHub, primeiro tem de autorizar cada ligação no manual de procedimentos antes de as editar no Estruturador de Aplicações Lógicas. A autorização vai criar uma ligação de API ao conector adequado e armazenar o token e as variáveis. Pode localizar a ligação de API no grupo de recursos em que criou a aplicação lógica.

O nome de cada ligação de API é anexado com o prefixo azuresentinel. Também pode editar a ligação no Estruturador de Aplicações Lógicas ao editar a aplicação lógica.

Captura de ecrã a mostrar a autorização da ligação de API.

Anexar um manual de procedimentos a um incidente existente

Depois que o playbook estiver pronto, você poderá abrir a página Incidente no Microsoft Sentinel e selecionar o incidente existente. No painel de detalhes, pode selecionar Ver detalhes completos para explorar as propriedades do incidente. No painel Alertas, pode selecionar Ver manuais de procedimentos e, em seguida, pode executar um dos manuais de procedimentos existentes.

A seguinte captura de ecrã mostra o exemplo de atividade de utilizador suspeito para a qual pode anexar o manual de procedimentos Dismiss-AADRiskyUser.

Captura de ecrã a mostrar a página Incidente.

Depois de investigar o incidente, você pode optar por executar o manual manualmente para responder a uma ameaça à segurança.

Verifique o seu conhecimento

1.

Um administrador quer anexar um manual de procedimentos a um incidente existente e começar a investigar o incidente. Que opção deve ser selecionada pelo administrador para anexar o manual de procedimentos?

2.

Quer procurar uma consulta de deteção de ameaças adequada ou um livro que possa ser utilizado de acordo com as suas necessidades. Onde pode procurar tais itens?