Migrar seus guias estratégicos de gatilho de alerta do Microsoft Sentinel para regras de automação

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como (e por que) pegar seus guias estratégicos existentes criados no gatilho de alerta e migrá-los da opção de serem invocados a partir das regras de análise para a de serem invocados a partir das regras de automação.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Por que migrar

Se você já criou e compilou guias estratégicos para responder a alertas (em vez de incidentes) e os anexou a regras de análise, recomendamos que você mova esses guias estratégicos para as regras de automação. Fazer isso lhe dará as seguintes vantagens:

• Gerenciar todas as automações de uma única exibição, independentemente do tipo
  (“painel de controle único”).

• Defina uma única regra de automação que pode disparar guias estratégicos para várias regras de análise, em vez de configurar cada regra de análise de forma independente.

• Defina a ordem na qual os guias estratégicos de alerta serão executados.

• Cenários de suporte que definem uma data de expiração para executar um guia estratégico.

É importante entender que o guia estratégico em si não mudará nada. Somente o mecanismo que o invoca para executar será alterado.

Para terminar, a capacidade de invocar guias estratégicos a partir das regras de análise será preterida a partir de março de 2026. Até lá, os guias estratégicos já definidos para serem invocados a partir das regras de análise continuarão a ser executados, mas a partir de junho de 2023 você não poderá mais adicionar guias estratégicos à lista dos invocados a partir das regras de análise. A única opção restante será invocá-los a partir das regras de automação.

Como migrar

• Se você estiver migrando um guia estratégico usado por apenas uma regra de análise, siga as instruções em Criar uma regra de automação de uma regra de análise.

• Se você estiver migrando um guia estratégico usado por mais de uma regra de análise, siga as instruções em Criar uma nova regra de automação no portal de Automação.

Criar uma regra de automação a partir de uma regra de análise

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.

2. De acordo com as regras ativas, localize uma regra de análise já configurada para executar um guia estratégico.

3. Selecione Editar.

   

4. Selecione a guia Resposta Automatizada.

5. Guias estratégicos configurados diretamente para execução a partir dessa regra de análise podem ser encontrados na Automação de alertas (clássica). Preste atenção ao aviso sobre a preterição.

   

6. Selecione + Adicionar novo nas regras de Automação (versão prévia) (na metade superior da tela) para criar uma nova regra de automação.

7. No painel Criar nova regra de automação, em Gatilho, selecione Quando o alerta é criado (versão prévia).

   

8. Em Ações, consulte se a ação Executar guia estratégico, sendo o único tipo de ação disponível, é automaticamente selecionada e esmaecida. Selecione seu guia estratégico daqueles disponíveis na lista suspensa na linha abaixo.

   

9. Escolha Aplicar. Agora você verá a nova regra na grade de regras de automação.

10. Remova o guia estratégico da seção de Automação de alertas (clássica).

11. Examine e atualize a regra de análise para salvar suas alterações.

Criar uma nova regra de automação no portal de Automação

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.

2. Na barra de menus superior, selecione Criar –> Regra de Automação.

3. No painel Criar nova regra de automação, no menu suspenso do Gatilho, selecione Quando o alerta é criado (versão prévia).

4. Em Condições, selecione as regras de análise em que você deseja executar um guia estratégico específico ou um conjunto de guias estratégicos.

5. Em Ações, para cada guia estratégico que você deseja que essa regra invoque, selecione + Adicionar ação. A ação Executar guia estratégico será selecionada automaticamente e esmaecida. Selecione na lista de guias estratégicos disponíveis na lista suspensa na linha abaixo. Ordene as ações de acordo com a ordem na qual você deseja que os guias estratégicos executem. Você pode alterar a ordem das ações selecionando as setas para cima/para baixo ao lado de cada ação.

6. Selecione Aplicar para salvar a regra de automação.

7. Edite a regra ou as regras de análise que invocaram esses guias estratégicos (as regras especificadas em Condições), removendo o guia estratégico da seção automação de alertas (clássica) da guia resposta Automatizada.

Próximas etapas

Neste documento, você aprendeu a migrar guias estratégicos com base no gatilho de alerta das regras de análise para as regras de automação.

• Para saber mais sobre regras de automação, veja Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação
• Para criar regras de automação, consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar a resposta
• Para saber mais sobre opções de automação avançadas, veja Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
• Para obter ajuda com a implementação de regras de automação e guias estratégicos, veja Tutorial: Usar guias estratégicos para automatizar respostas a ameaças no Microsoft Sentinel.