Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica o que são os guias estratégicos do Microsoft Sentinel e como usá-los para implementar as operações de Orquestração, Automação e Resposta de Segurança (SOAR), obtendo resultados melhores enquanto economiza tempo e recursos.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

O que é um guia estratégico?

Analistas de SOC (centro de operações de segurança) normalmente são inundados com alertas de segurança e incidentes, em volumes tão grandes que a equipe disponível fica sobrecarregada. Muitas vezes isso gera situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.

Muitos, se não a maioria, desses alertas e incidentes se enquadram nos padrões recorrentes que podem ser resolvidos por conjuntos específicos e definidos de ações de correção. Os analistas também são encarregados da correção básica e da investigação dos incidentes que eles gerenciam para resolver. Na medida em que essas atividades podem ser automatizadas, um SOC pode ser muito mais produtivo e eficiente, permitindo que os analistas dediquem mais tempo e energia à atividade investigativa.

Um guia estratégico é uma coleção dessas ações de correção que você executa a partir do Microsoft Sentinel como uma rotina, para ajudar a automatizar e orquestrar sua resposta às ameaças. Pode ser executado de duas maneiras:

  • Manualmente sob demanda, em uma entidade ou alerta específico
  • Automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra de automação .

Por exemplo, se uma conta e um computador estiverem comprometidos, um guia estratégico poderá isolar a máquina da rede e bloquear a conta no momento em que a equipe do SOC for notificada sobre o incidente.

Embora a guia Guias estratégicos ativos na página Automação exiba todos os guias estratégicos ativos disponíveis em qualquer assinatura selecionada, por padrão um guia estratégico só pode ser usado na assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.

Após a integração à plataforma de operações de segurança unificada, a guia Guias estratégicos ativos mostra um filtro predefinido com a assinatura do workspace integrado. No portal do Azure, adicione dados para outras assinaturas usando o filtro de assinatura do Azure.

Modelos de guias estratégicos

Um modelo de guia estratégico é um fluxo de trabalho predefinido, testado e pronto para uso que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para práticas recomendadas ao desenvolver os guias estratégicos do zero ou como inspiração para novos cenários de automação.

Os modelos de Guia estratégico não podem ser usados como guias estratégicos propriamente ditos. Você cria um guia estratégico (uma cópia editável do modelo) a partir deles.

Você pode obter modelos de guia estratégico das seguintes fontes:

  • Na página Automação, a guia Modelos de guias estratégicos lista os modelos de guia estratégico instalados. Vários guias estratégicos explicativos ativos podem ser criados com o mesmo modelo.

    Quando uma nova versão do modelo é publicada, os guias estratégicos ativos criados a partir desse modelo aparecem na guia Guias estratégicos ativos exibindo um rótulo indicando que uma atualização está disponível.

  • Os modelos de guias estratégicos estão disponíveis como parte de soluções de produtos ou conteúdos autônomos que você instala a partir da página Hub de conteúdo no Microsoft Sentinel. Para obter mais informações, confira Conteúdo e soluções do Microsoft Sentinel e Descubra e gerencie o conteúdo pronto para uso do Microsoft Sentinel.

  • O repositório do GitHub do Microsoft Sentinel contém muitos modelos de guia estratégico. Eles podem ser implantados em uma assinatura do Azure selecionando o botão Implantar no Azure.

Tecnicamente, um modelo de guia estratégico no modelo do ARM que consiste em vários recursos: um fluxo de trabalho Aplicativos Lógicos do Azure e conexões de API para cada conexão envolvida.

Importante

Os Modelos de guias estratégicos estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Conceitos básicos do Aplicativos Lógicos do Azure

Os guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço em nuvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa. Isso significa que os guias estratégicos podem aproveitar toda a capacidade e a personalização dos modelos internos dos Aplicativos Lógicos do Azure.

Observação

Os Aplicativos Lógicos do Azure criam recursos separados, portanto, cobranças adicionais podem ser aplicadas. Para obter mais informações, visite a página de preços dos Aplicativos Lógicos do Azure.

Os Aplicativos Lógicos do Azure se comunica com outros sistemas e serviços usando conectores. Veja a seguir, uma breve explicação dos conectores e de alguns dos seus atributos importantes:

  • Conector Gerenciado: conjunto de ações e gatilhos que encapsulam chamadas à API para um determinado produto ou serviço. Os Aplicativos Lógicos do Azure oferece centenas de conectores para se comunicar com serviços da Microsoft e não Microsoft. Para obter mais informações, confira Conectores dos Aplicativos Lógicos do Azure e sua documentação

  • Conectores personalizados: permitem que você se comunique com serviços que não estão disponíveis como conectores pré-criados. Os conectores personalizados abrangem esse cenário permitindo a criação (e até mesmo o compartilhamento) de um conector e define seus próprios gatilhos e ações. Para obter mais informações, confira Criar seus próprios conectores personalizados dos Aplicativos Lógicos do Azure.

  • Conector do Microsoft Sentinel: para criar guias estratégicos que interagem com o Microsoft Sentinel, use o conector do Microsoft Sentinel. Para obter mais informações, confira a Documentação de conector do Microsoft Sentinel.

  • Gatilho: um componente do conector que inicia um fluxo de trabalho, nesse caso, um guia estratégico. O gatilho do Microsoft Sentinel define o esquema que o guia estratégico espera receber quando é disparado. Atualmente, o conector do Microsoft Sentinel tem três gatilhos:

  • Ações: são todas as etapas que ocorrem após o gatilho. Elas podem ser organizadas em sequência, em paralelo ou em uma matriz de condições complexas.

  • Campos dinâmicos: campos temporários, determinados pelo esquema de saída de gatilhos e ações, preenchidos por sua saída real, que podem ser usados nas ações a seguir.

Tipos de aplicativo lógico

O Microsoft Sentinel agora dá suporte aos seguintes tipos de recursos de aplicativo lógico:

  • Consumo, que é executado em Aplicativos Lógicos do Azure multilocatários e usa o mecanismo clássico e original dos Aplicativos Lógicos do Azure.
  • Padrão, que é executado em Aplicativos Lógicos do Azure de locatário único e usa um mecanismo de Aplicativos Lógicos do Azure redesenhado.

O tipo de aplicativo lógico Padrão oferece maior desempenho, preço fixo, capacidade de fluxo de trabalho múltiplo, gerenciamento de conexões de API mais fácil, recursos de rede nativos, como suporte para redes virtuais e pontos de extremidade privados (confira a nota abaixo), recursos integrados de CI/CD, melhor integração do Visual Studio Code, um designer de fluxo de trabalho atualizado e muito mais.

Para usar essa versão do aplicativo lógico, crie novos guias estratégicos Padrão no Microsoft Sentinel (confira a observação abaixo). Você pode usar esses guias estratégicos da mesma maneira que usa guias estratégicos Consumo:

  • Anexe-os às regras de automação e/ou de análise.
  • Execute-os sob demanda, de incidentes e alertas.
  • Gerencie-os na guia Guias estratégicos ativos.

Observação

  • Os fluxos de trabalho Padrão atualmente não oferecem suporte a modelos de Guia Estratégico, o que significa que você não pode criar um guia estratégico baseado em fluxo de trabalho padrão diretamente no Microsoft Sentinel. Em vez disso, você deve criar o fluxo de trabalho nos Aplicativos Lógicos do Azure. Depois de criar o fluxo de trabalho, ele será exibido como um guia estratégico no Microsoft Sentinel.

  • Os fluxos de trabalho Standard dos aplicativos lógicos dão suporte a pontos de extremidade privados, como mencionado acima, mas o Microsoft Sentinel exige a definição de uma política de restrição de acesso em aplicativos lógicos para dar suporte ao uso de pontos de extremidade privados em guias estratégicos com base em fluxos de trabalho Standard.

    Se uma política de restrição de acesso não for definida, os fluxos de trabalho com pontos de extremidade privados ainda poderão estar visíveis e selecionáveis durante a escolha de um guia estratégico em uma lista no Microsoft Sentinel (seja para execução manual, adição a uma regra de automação ou na galeria de guias estratégicos) e você poderá selecioná-los, mas a execução falhará.

  • Um indicador identifica fluxos de trabalho Padrão como com estado ou sem estado. O Microsoft Sentinel não dá suporte a fluxos de trabalho sem estado no momento. Saiba mais sobre as diferenças entre os fluxos de trabalho com e sem estado.

Há muitas diferenças entre esses dois tipos de recursos, alguns dos quais afetam algumas das formas como eles podem ser usados em guias estratégicos no Microsoft Sentinel. Nesses casos, a documentação apontará o que você precisa saber. Para obter mais informações, confira as diferenças de ambiente de host e tipo de recurso na documentação dos Aplicativos Lógicos do Azure.

Permissões necessárias

Para dar à sua equipe do SecOps a capacidade de usar aplicativos lógicos para criar e executar guias estratégicos no Microsoft Sentinel, atribua funções do Azure à sua equipe de operações de segurança ou a usuários específicos da equipe. A seguir, a descrição das diferentes funções disponíveis e as tarefas para as quais elas devem ser atribuídas:

Funções do Azure para Aplicativos Lógicos do Azure

  • O Colaborador de Aplicativo Lógico permite gerenciar aplicativos lógicos e executar guias estratégicos, mas não permite alterar o acesso deles (para isso é necessária a função Proprietário).
  • O Operador de Aplicativo Lógico permite ler, habilitar e desabilitar aplicativos lógicos, mas não permite editá-los ou atualizá-los.

Funções do Azure para Microsoft Sentinel

  • A função Colaborador do Microsoft Sentinel permite anexar um guia estratégico a uma regra de análise ou automação.

  • A função Respondente do Microsoft Sentinel permite que você acesse um incidente para executar um guia estratégico manualmente. Mas para executar o guia estratégico, você também precisa...

    • A função Operador do guia estratégico do Microsoft Sentinel permite executar um guia estratégico manualmente.
    • O Colaborador de Automação do Microsoft Sentinel permite que as regras de automação executem guias estratégicos. Ele não pode ser usado para nenhuma outra finalidade.

Saiba mais

Etapas para a criação de um guia estratégico

Casos de uso para guias estratégicos

A plataforma de Aplicativos Lógicos do Azure oferece centenas de ações e gatilhos, ou seja, a maioria dos cenários de automação pode ser criado. O Microsoft Sentinel recomenda começar com os seguintes cenários de SOC, para os quais os modelos de guia estratégico prontos estão disponíveis imediatamente:

Enriquecimento

Colete dados e os anexe ao incidente para tomar decisões mais inteligentes.

Por exemplo:

Um incidente do Microsoft Sentinel é criado a partir de um alerta de uma regra de análise que gera entidades de endereço IP.

O incidente dispara uma regra de automação que executa um guia estratégico com as seguintes etapas:

  • Inicia quando um novo incidente do Microsoft Sentinel é criado. As entidades representadas no incidente são armazenadas nos campos dinâmicos do gatilho de incidente.

  • Para cada endereço IP, consulta um provedor de Inteligência contra Ameaças externas, como Total de Vírus, para recuperar mais dados.

  • Adiciona os dados e as informações retornados como comentários do incidente.

Sincronização Bidirecional

Os guias estratégicos podem ser usados para sincronizar os incidentes do Microsoft Sentinel com outros sistemas de registro de incidentes.

Por exemplo:

Cria uma regra de automação para toda a criação de incidentes e anexe um guia estratégico que abre um incidente no ServiceNow:

Orquestração

Use a plataforma de chat do SOC para controlar melhor a fila de incidentes.

Por exemplo:

Um incidente do Microsoft Sentinel é criado a partir de um alerta de uma regra de análise que gera entidades de nome de usuário e endereço IP.

O incidente dispara uma regra de automação que executa um guia estratégico com as seguintes etapas:

  • Inicia quando um novo incidente do Microsoft Sentinel é criado.

  • Envia uma mensagem para o canal de operações de segurança no Microsoft Teams ou Slack para assegurar que os analistas de segurança estão cientes do incidente.

  • Ele também envia por email, todas as informações sobre o alerta para o administrador de rede sênior e o administrador de segurança. A mensagem de email também inclui os dois botões de opção de usuário Bloquear e Ignorar.

  • Aguarda até que uma resposta é recebida dos administradores, e depois continua a execução.

  • Se os administradores escolhem Bloquear, ele envia um comando para o firewall para bloquear o endereço IP no alerta e outro para o Microsoft Entra ID para desabilitar o usuário.

Resposta

Responde imediatamente a ameaças, com dependência mínima de humanos.

Dois exemplos:

Exemplo 1: responder a uma regra de análise que indica um usuário vulnerável, conforme descoberto pelo Microsoft Entra ID Protection:

  • Inicia quando um novo incidente do Microsoft Sentinel é criado.

  • Para cada entidade de usuário no incidente suspeito de ter se tornado vulnerável:

    • Envia uma mensagem do Teams para o usuário, solicitando confirmação de que o usuário realizou a ação suspeita.

    • Verifica com o Microsoft Entra ID Protection para confirmar o status do usuário como vulnerável. O Microsoft Entra ID Protection rotula o usuário como em riscoe aplica a política já configurada. Por exemplo, para exigir que o usuário use o MFA na próxima vez que entrar.

      Observação

      Esta ação específica do Microsoft Entra não inicia nenhuma atividade corretiva no usuário, nem configura políticas de aplicação de medidas corretivas. Ele apenas informa ao Microsoft Entra ID Protection para aplicar as políticas já definidas, conforme apropriado. Qualquer aplicação de medidas depende totalmente das políticas apropriadas que estão sendo definidas no Microsoft Entra ID Protection.

Exemplo 2: responder a uma regra de análise que indica um computador vulnerável, conforme descoberto pelo Microsoft Defender para Ponto de Extremidade:

Resposta manual durante a investigação ou durante a busca

Responda a ameaças no curso da atividade investigativa ativa sem sair do contexto.

Graças ao novo gatilho de entidade (agora em versão prévia), você pode tomar medidas imediatas sobre atores de ameaças individuais descobertos durante uma investigação, uma de cada vez, diretamente de dentro da investigação. Essa opção também está disponível no contexto de busca de ameaças, não relacionada a qualquer incidente específico. Você pode selecionar uma entidade no contexto e executar ações nela ali mesmo, economizando tempo e reduzindo a complexidade.

As ações que você pode executar em entidades usando esse tipo de guia estratégico incluem:

  • Bloquear um usuário comprometido.
  • Bloquear o tráfego de um endereço IP mal-intencionado no firewall.
  • Isolar um host comprometido em sua rede.
  • Adicionar um endereço IP a uma watchlist de endereço seguro/não seguro ou ao seu CMDB externo.
  • Obter um relatório de hash de arquivo de uma fonte de inteligência contra ameaças externas e adicioná-lo a um incidente como comentário.

Como executar um guia estratégico

Os guias estratégicos podem ser executados manualmente ou automaticamente.

Eles foram projetados para serem executados automaticamente e, idealmente, é assim que devem ser executados no curso normal das operações. Você executa um guia estratégico automaticamente definindo-o como uma resposta automatizada em uma regra de análise (para alertas) ou como uma ação em uma regra de automação (para incidentes).

Há circunstâncias, porém, que exigem a execução manual de guias estratégicos. Por exemplo:

  • Ao criar um novo guia estratégico, convém testá-lo antes de colocá-lo em produção.

  • Pode haver situações em que você desejará ter mais controle e colaboração humana sobre quando e se um determinado guia estratégico é executado.

    Você executa um guia estratégico manualmente abrindo um incidente, alerta ou entidade e selecionando e executando o guia estratégico associado exibido ali. Atualmente, esse recurso está em disponibilidade geral para alertas e em versão prévia para incidentes e entidades.

Definir uma resposta automatizada

As equipes de operações de segurança podem reduzir significativamente a carga de trabalho automatizando totalmente as respostas de rotina a tipos recorrentes de incidentes e alertas, permitindo que se concentrem mais em incidentes e alertas exclusivos, analisando padrões, buscando ameaças e muito mais.

A definição de respostas automatizadas significa que sempre que uma regra de análise for disparada, além de criar um alerta, a regra executa um guia estratégico que recebe como entrada o alerta criado pela regra.

Se o alerta criar um incidente, o incidente irá disparar uma regra de automação que pode, por sua vez, executar um guia estratégico que recebe como entrada o incidente criado pelo alerta.

Resposta automatizada de criação de alerta

Para guias estratégicos que são disparados pela criação de alerta e recebem alertas como suas entradas (a primeira etapa é “alerta do Microsoft Sentinel"), anexe o guia estratégico a uma regra de análise:

  1. Edite a regra de análise que gera o alerta para o qual você deseja definir uma resposta automática.

  2. Em Automação de alerta na guia Resposta automática, selecione o guia estratégico ou os guias estratégicos que esta regra de análise dispara quando um alerta é criado.

Resposta automatizada de criação de incidente

Para guias estratégicos que são disparados pela criação de incidentes e recebem incidentes como suas entradas (a primeira etapa é “incidente do Microsoft Sentinel"), crie uma regra de automação e defina uma ação de Executar guia estratégico nela. Isso pode ser feito de 2 maneiras:

  • Edite a regra de análise que gera o incidente para o qual você deseja definir uma resposta automática. Em Automação de incidentes, na guia Resposta automática, crie uma regra de automação. Isso cria uma resposta automática somente para esta regra de análise.

  • Na guia Regras de automação, na página Automação, crie uma nova regra de automação e especifique as condições apropriadas e as ações desejadas. Esta regra de automação será aplicada a qualquer regra de análise que atenda às condições especificadas.

    Observação

    O Microsoft Sentinel exige permissões para executar guias estratégicos de gatilho de incidentes.

    Para executar um guia estratégico com base no gatilho de incidente, seja manualmente ou por meio de uma regra de automação, o Microsoft Sentinel usa uma conta de serviço especificamente autorizada para fazer isso. O uso dessa conta (em oposição à sua conta de usuário) aumenta o nível de segurança do serviço e permite que a API de regras de automação suporte casos de uso de CI/CD.

    Essa conta deve receber permissões explícitas (assumindo a forma da função Colaborador de Automação do Microsoft Sentinel) no grupo de recursos onde o guia estratégico está localizado. Neste ponto, você poderá executar qualquer guia estratégico no grupo de recursos, manualmente ou por meio de qualquer regra de automação.

    Quando você adiciona a ação executar guia estratégico a uma regra de automação, uma lista suspensa de guias estratégicos é exibida para sua seleção. Os guias estratégicos para os quais o Microsoft Sentinel não tem permissões são mostrados como indisponíveis ("esmaecidos"). Você pode conceder permissão para o Microsoft Sentinel no local, selecionando o link Gerenciar permissões de guias estratégicos.

    Em um cenário com vários locatários (Lighthouse), você deve definir as permissões no locatário em que o guia estratégico está, mesmo que a regra de automação que chama o guia estratégico esteja em um locatário diferente. Para fazer isso, você deve ter permissões de Proprietário no grupo de recursos do guia estratégico.

    Há um cenário exclusivo que enfrenta um MSSP (Provedor de Serviços de Segurança Gerenciada) , no qual um provedor de serviços, ao entrar em seu próprio locatário, cria uma regra de automação no espaço de trabalho de um cliente usando o Azure Lighthouse. Em seguida, essa regra de automação chama um guia estratégico que pertence ao locatário do cliente. Nesse caso, o Microsoft Sentinel deve ter permissões em ambos os locatários. No locatário do cliente, conceda-os no painel Gerenciar permissões de guia estratégico, assim como no cenário multilocatário normal. Para conceder as permissões relevantes no locatário do provedor de serviços, você precisa adicionar uma delegação do Azure Lighthouse adicional que concede direitos de acesso ao aplicativo do Azure Security Insights, com a função Colaborador de Automação do Microsoft Sentinel, no grupo de recursos onde o guia estratégico está localizado. Saiba como adicionar essa delegação.

Consulte as instruções completas para a criação de regras de automação.

Executar um guia estratégico manualmente

A automação completa é a melhor solução para tantas tarefas de tratamento de incidentes, investigação e mitigação, o quanto você sentir confiança para automatizar. Dito isso, pode haver bons motivos para uma espécie de automação híbrida: usar guias estratégicos para consolidar uma cadeia de atividades em uma variedade de sistemas em um único comando, mas executando os guias estratégicos somente quando e onde você decidir. Por exemplo:

  • Talvez você prefira que seus analistas do SOC tenham mais colaboração humana e controle sobre algumas situações.

  • Você também pode querer que eles sejam capazes de tomar medidas contra atores de ameaças específicos (entidades) sob demanda, no curso de uma investigação ou uma busca de ameaças, de forma contextualizada, sem precisar mudar para outra tela. (Essa capacidade agora está em versão prévia.)

  • Talvez você queira que seus engenheiros do SOC escrevam guias estratégicos que atuem em entidades específicas (agora em versão prévia) e que só possam ser executados manualmente.

  • Além disso, talvez você queira que os engenheiros do SOC possam testar os guias estratégicos que eles escreveram antes de implantá-los totalmente em regras de automação.

Por esses e outros motivos, o Microsoft Sentinel permite que você execute guias estratégicos manualmente sob demanda para entidades e incidentes (ambos já em versão prévia), além de alertas.

  • Para executar um guia estratégico em um incidente específico, selecione o incidente na grade na página Incidentes. No portal do Azure, selecione Ações no painel de detalhes do incidente e escolha Executar guia estratégico (versão prévia) no menu de contexto. No portal do Defender, selecione Executar guia estratégico (versão prévia) diretamente na página de detalhes do incidente.

    Isso abrirá o painel Executar guia estratégico no incidente.

  • Para executar um guia estratégico em um alerta, selecione um incidente, insira os detalhes dele e, na guia Alertas, escolha um alerta e selecione Exibir guias estratégicos.

    Isso abrirá o painel Guias estratégicos de alertas.

  • Para executar um guia estratégico em uma entidade, selecione uma entidade de qualquer uma das seguintes maneiras:

    • Na guia Entidades de um incidente, escolha a entidade na lista e selecione o link Executar guia estratégico (versão prévia) no final de sua linha na lista.
    • No grafo Investigação, selecione uma entidade e selecione o botão Executar guia estratégico (versão prévia) no painel do lado da entidade.
    • Em Comportamento da entidade, selecione uma entidade e, na página da entidade, selecione o botão Executar guia estratégico (versão prévia) no painel esquerdo.

    Todos eles abrirão o painel Executar guia estratégico no <tipo de entidade>.

Em um desses painéis, você verá duas guias: Guias estratégicos e Execuções.

  • Na guia Guias estratégicos, você verá uma lista de todos os guias estratégicos aos quais você tem acesso e que usam o gatilho apropriado, seja ele Incidente do Microsoft Sentinel, Alerta do Microsoft Sentinel ou Entidade do Microsoft Sentinel Entity. Cada guia estratégico na lista tem um botão Executar que você seleciona para executar o guia estratégico imediatamente.
    Se você quiser executar um guia estratégico de gatilho de incidente que não é exibido na lista, confira a observação sobre as permissões do Microsoft Sentinel acima.

  • Na guia Execuções, você verá uma lista de todas as vezes que qualquer guia estratégico tiver sido executado no incidente ou no alerta selecionado. Pode levar alguns segundos para que as execução que acabaram de ser concluídas apareçam na lista. A seleção de uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos do Azure.

Gerenciar seus guias estratégicos

Na guia Guias estratégicos ativos, aparece uma lista de todos os guias estratégicos aos quais você tem acesso, filtrados pelas assinaturas que são atualmente exibidas no Azure. O filtro de assinaturas está disponível no menu Diretório + assinatura, no cabeçalho da página global.

Ao clicar em um nome de guia estratégico, você é direcionado para a página principal do guia estratégico nos Aplicativos Lógicos do Azure. A coluna Status indica se o guia está habilitado ou desabilitado.

A coluna Plano indica se o guia estratégico usa o tipo de recurso Standard ou Consumption nos Aplicativos Lógicos do Azure. Você pode filtrar a lista por tipo de plano para ver apenas um tipo de guia estratégico. Você observará que os guias estratégicos do tipo Standard usam a convenção de nomenclatura LogicApp/Workflow. Essa convenção reflete o fato de que um guia estratégico Standard representa um fluxo de trabalho que existe ao lado de outros fluxos de trabalho em um único Aplicativo Lógico.

O Tipo de gatilho representa o gatilho de Aplicativos Lógicos do Azure que inicia este guia estratégico.

Tipo de gatilho Indica os tipos de componentes no guia estratégico
Incidente/Alerta/Entidade do Microsoft Sentinel O guia estratégico é iniciado com um dos gatilhos do Sentinel (alerta, incidente, entidade)
Usando a ação do Microsoft Sentinel O guia estratégico é iniciado com um gatilho não Sentinel, mas usa uma ação do Microsoft Sentinel
Outras O guia estratégico não inclui nenhum componente do Sentinel
Não inicializado O guia estratégico foi criado, mas não contém componentes (gatilhos ou ações).

Na página dos Aplicativos Lógicos do Azure do guia estratégico, você pode consultar mais informações sobre o guia estratégico, incluindo um log de todas as vezes que foi executado e o seu resultado (sucesso ou falha e outros detalhes). Você também pode abrir o designer de fluxo de trabalho nos Aplicativos Lógicos do Azure e editar o manual diretamente, se tiver as permissões apropriadas.

Conexões de API

As conexões de API são usadas para conectar os Aplicativos Lógicos do Azure a outros serviços. Todas as vezes que uma nova autenticação é feita para um conector nos Aplicativos Lógicos do Azure, um novo recurso do tipo conexão de API é criado e contém as informações fornecidas ao configurar o acesso ao serviço.

Para ver todas as conexões de API, insira conexões de API na caixa de pesquisa, no cabeçalho do portal do Azure. Observe as colunas de seu interesse:

  • Nome de exibição - nome "amigável" que você fornece à conexão toda vez que cria uma.
  • Status - indica o status da conexão: erro, conectado.
  • Grupo de recursos - as conexões de API são criadas no grupo de recursos dos recursos de guias estratégicos (Aplicativos Lógicos do Azure).

Outra maneira de exibir as conexões de API é ir até a página Todos os recursos e filtrar pelo tipo de conexão de API. Essa forma permite a seleção, a marcação e a exclusão de várias conexões de uma só vez.

Para alterar a autorização de uma conexão existente, insira o recurso de conexão e selecione Editar conexão de API.

Os seguintes guias estratégicos recomendados e outros semelhantes estão disponíveis para você no Hub de conteúdos ou no repositório GitHub do Microsoft Sentinel:

Próximas etapas