Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel
Este documento explica os tipos de gatilhos e ações no Conector de Aplicativos Lógicos do Microsoft Sentinel que os guias estratégicos podem usar para interagir com o Microsoft Sentinel e com as informações nas tabelas do seu espaço de trabalho. Ele mostra ainda como obter tipos específicos de informações do Microsoft Sentinel de que você provavelmente vai precisar.
Este documento, juntamente com o nosso guia de Autenticação de guias estratégicos no Microsoft Sentinel, é um complemento ao restante da nossa documentação sobre guias estratégicos - Tutorial: usar guias estratégicos com regras de automação no Microsoft Sentinel. Esses três documentos contêm várias referências entre si.
Para obter uma introdução aos guias estratégicos, confira Automatizar a resposta contra ameaças com guias estratégicos no Microsoft Sentinel.
Para obter a especificação completa do conector do Microsoft Sentinel, confira a Documentação do conector de Aplicativos Lógicos.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Permissões necessárias
| Componentes das Funções\Conector | Gatilhos | Ações "Get" | Atualizar incidente, adicionar um comentário |
|---|---|---|---|
| Leitor do Microsoft Sentinel | ✓ | ✓ | ✗ |
| Respondente/do Microsoft Sentinel Colaborador | ✓ | ✓ | ✓ |
Saiba mais sobre permissões no Microsoft Sentinel.
Resumo de gatilhos do Microsoft Sentinel
Embora o conector do Microsoft Sentinel possa ser usado de várias maneiras, os componentes do conector podem ser divididos em três fluxos, cada um disparado por uma ocorrência diferente do Microsoft Sentinel:
| Gatilho (nome completo no Designer de Aplicativos Lógicos) | Quando usar isso | Limitações conhecidas |
|---|---|---|
| Incidente do Microsoft Sentinel (versão prévia) | Recomendado para a maioria dos cenários de automação de incidentes. O guia estratégico recebe objetos de incidente, incluindo entidades e alertas. O uso desse gatilho permite que o guia estratégico seja anexado a uma regra de Automação do Azure para que assim ele possa ser disparado quando um incidente for criado (e agora atualizado também) no Microsoft Sentinel e todos os benefícios das regras de automação possam ser aplicados ao incidente. |
Os guias estratégicos com esse gatilho não oferecem suporte ao agrupamento de alertas, o que significa que eles receberão apenas o primeiro alerta enviado com cada incidente. ATUALIZAÇÃO: a partir de fevereiro de 2023, o agrupamento de alertas é compatível com esse gatilho. |
| Alerta do Microsoft Sentinel (versão prévia) | Recomendável para guias estratégicos que precisam ser executados manualmente em alertas do portal do Microsoft Sentinel, ou para regras de análise agendadas que não geram incidentes para seus alertas. | Esse gatilho não pode ser usado para automatizar as respostas para alertas gerados pelas regras de análise de segurança da Microsoft. Os guias estratégicos que usam esse gatilho não podem ser chamados por regras de automação. |
| Entidade do Microsoft Sentinel (versão prévia) | Para ser usado para guias estratégicos que precisam ser executados manualmente em entidades específicas de um contexto de investigação ou busca de ameaças. | Os guias estratégicos que usam esse gatilho não podem ser chamados por regras de automação. |
Os esquemas usados por esses fluxos não são idênticos. A prática recomendada é usar o fluxo de gatilho de incidente do Microsoft Sentinel, aplicável à maioria dos cenários.
Campos dinâmicos de incidente
O objeto de Incidente recebido do incidente do Microsoft Sentinel inclui os seguintes campos dinâmicos:
Propriedades do incidente (mostradas como "Incidente: nome do campo")
Alertas (matriz)
Propriedades do alerta (mostradas como "Alerta: nome do campo")
Ao selecionar uma propriedade de alerta como Alerta: <nome da propriedade>, um loop for each é gerado automaticamente, visto que um incidente pode incluir vários alertas.
Entidades (matriz de todas as entidades de um alerta)
Campos de informações do espaço de trabalho (aplica-se ao espaço de trabalho do Sentinel no qual o incidente foi criado)
- ID da assinatura
- Nome do workspace
- ID do workspace
- Nome do grupo de recursos
Resumo de ações do Microsoft Sentinel
| Componente | Quando usar isso |
|---|---|
| Alerta - Obter incidente | Nos guias estratégicos que começam com o gatilho de alerta. Útil para obter as propriedades do incidente ou recuperar a ID do ARM do incidente para usar com o incidente de atualização ou com ações de Adicionar comentário ao incidente. |
| Obter Incidente | Ao disparar um guia estratégico de uma fonte externa ou com um gatilho que não seja do Sentinel. Identificar com uma ID de ARM de incidente. Recupera as propriedades e os comentários do incidente. |
| Atualizar Incidente | Para alterar o status de um incidente (por exemplo, ao fechar o incidente), atribua um proprietário, adicione ou remova uma marca ou altere sua severidade, títuloou Descrição. |
| Adicionar comentários ao incidente | Para enriquecer o incidente com informações coletadas de fontes externas; para auditar as ações executadas pelo guia estratégico nas entidades; para fornecer informações adicionais importantes para a investigação de incidentes. |
| Entidades – obter <tipo de entidade> | Nos guias estratégicos que funcionam em um tipo específico de entidade (IP, conta, host, URL ou FileHash), que é conhecida no momento da criação do guia estratégico e que você precisa ser capaz de analisar para trabalhar em seus campos exclusivos. |
Trabalhar com incidentes – exemplos de uso
Dica
As ações Atualizar incidente e Adicionar um comentário a um incidente exigem a ID do ARM do incidente.
Use primeiro a ação Alerta - obter incidente para obter a ID do ARM do incidente.
Atualizar um incidente
O guia estratégico é disparado pelo incidente do Microsoft Sentinel
O guia estratégico é disparado pelo alerta do Microsoft Sentinel
Usar informações do incidente
Manual básico para enviar detalhes de incidentes por email:
O guia estratégico é disparado pelo incidente do Microsoft Sentinel
O guia estratégico é disparado pelo alerta do Microsoft Sentinel
Adicionar um comentário ao incidente
O guia estratégico é disparado pelo incidente do Microsoft Sentinel
O guia estratégico é disparado pelo alerta do Microsoft Sentinel
Desabilitar um usuário
O guia estratégico é disparado pela entidade do Microsoft Sentinel
Guias estratégicos de entidade sem ID de incidente
Os guias estratégicos criados com o gatilho de entidade geralmente usam o campo ID do ARM de incidente (por exemplo, para atualizar um incidente depois de executar uma ação na entidade).
Se esse guia estratégico for disparado em um contexto não conectado a um incidente (por exemplo, quando em busca de ameaças), não haverá nenhum incidente cuja ID possa preencher esse campo. Nesse caso, o campo será preenchido com um valor nulo.
Como resultado, o guia estratégico pode não ser executado até a conclusão. Para evitar essa falha, é recomendável criar uma condição que verifique um valor no campo ID do incidente antes de executar qualquer ação nele e prescrever um conjunto diferente de ações se o campo tiver um valor nulo, ou seja, se o guia estratégico não estiver sendo executado a partir de um incidente.
Antes da primeira ação que se refere ao campo ID do ARM de Incidente, adicione uma etapa do tipo Condição.
Selecione o campo Escolher um valor e insira a caixa de diálogo Adicionar conteúdo dinâmico.
Selecione a guia Expressão e a função length(collection).
Selecione a guia Conteúdo dinâmico e o campo ID do ARM de Incidente.
Verifique se a expressão resultante é
length(triggerBody()?['IncidentArmID'])e selecione OK.
Defina o operador e o valor na condição como "é maior que" e "0".
No quadro True, adicione as ações a serem executadas se o guia estratégico for executado em um contexto de incidente.
No quadro False, adicione as ações a serem executadas se o guia estratégico for executado em um contexto não relacionado a incidente.
Trabalhar com tipos de entidade específicos
O campo dinâmico de entidades é uma matriz de objetos JSON, cada um representando uma entidade. Cada tipo de entidade tem seu próprio esquema, que depende de suas propriedades exclusivas.
A ação "Entidades – obter <tipo de entidade>" permite que você faça o seguinte:
- Filtrar a matriz de entidades pelo tipo solicitado.
- Analisar os campos específicos desse tipo, para que eles possam ser usados como campos dinâmicos em outras ações.
A entrada é o campo dinâmico de Entidades .
A resposta é uma matriz de entidades, em que as propriedades especiais são analisadas e podem ser usadas diretamente em um loop Para cada item.
Os tipos de entidade atualmente com suporte são:
Para outros tipos de entidade, uma funcionalidade semelhante pode ser obtida usando as ações internas dos Aplicativos Lógicos:
Filtre a matriz de entidades pelo tipo solicitado usando Filtrar matriz.
Usando Analisar JSON, analise os campos específicos desse tipo para que eles possam ser usados como campos dinâmicos em outras ações.
Trabalhar com detalhes personalizados
O campo dinâmico Detalhes personalizados do alerta, disponível no gatilho de incidente, é uma matriz de objetos JSON, cada um representando um detalhe personalizado de um alerta. Você deve se lembrar de que Detalhes personalizados são pares chave-valor que permitem exibir as informações dos eventos no alerta para que eles possam ser representados, rastreados e analisados como parte do incidente.
Como esse campo do alerta é personalizável, o esquema depende do tipo de evento que está sendo exibido. Você terá que fornecer dados de uma instância desse evento para gerar o esquema que determinará como o campo de detalhes personalizado será analisado.
Consulte o seguinte exemplo:
Nesses pares chave-valor, a chave (coluna à esquerda) representa os campos personalizados que você criou, e o valor (coluna à direita) representa os campos dos dados de evento que populam os campos personalizados.
Você pode fornecer o código JSON a seguir para gerar o esquema. O código mostra os nomes de chave como matrizes, e os valores (mostrados como os valores reais, e não a coluna que contém os valores) como itens nas matrizes.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Adicione uma nova etapa usando a ação interna Analisar JSON. Você pode inserir 'analisar json' no campo Pesquisar para encontrá-lo.
Encontre e selecione Detalhes personalizados do alerta na lista de Conteúdo dinâmico no gatilho de incidente.
Isso criará um loop Para cada item, pois um incidente contém vários alertas.
Selecione o link Usar conteúdo de amostra para gerar o esquema.
Forneça um conteúdo de exemplo. Encontre um conteúdo de amostra pesquisando no Log Analytics de outra instância deste alerta e copiando os detalhes personalizados do objeto (em Propriedades Estendidas). Acesse os dados do Log Analytics na página Logs no portal do Azure ou na página de Busca avançada no portal do Defender. Na captura de tela abaixo, utilizamos o código JSON mostrado acima.
Os campos personalizados são campos dinâmicos do tipo Matriz prontos para uso. Aqui é possível ver a matriz e seus itens, tanto no esquema quanto na lista que aparece em Conteúdo dinâmico, que descrevemos acima.
Próximas etapas
Neste artigo, você aprendeu mais sobre como usar gatilhos e ações em guias estratégicos do Microsoft Sentinel para responder a ameaças.
- Saiba como buscar ameaças proativamente usando o Microsoft Sentinel.