Tutorial: responder a ameaças usando guias estratégico com as regras de automação no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este tutorial mostra como usar guias estratégicos junto com as regras de automação para automatizar sua resposta a incidentes e corrigir ameaças de segurança detectadas pelo Microsoft Sentinel. Depois de concluir este tutorial, você poderá:

• Criar uma regra de automação
• Criar um Guia estratégico
• Adicionar ações a um guia estratégico
• Anexar um guia estratégico a uma regra de automação ou a uma regra de análise para automatizar a resposta a ameaças

Observação

Este tutorial fornece diretrizes básicas para uma das principais tarefas do cliente: criar uma automação para a triagem de incidentes. Para obter mais informações, confira nossa seção Guia de instruções, como Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel e Usar gatilhos e ações em guias estratégicos do Microsoft Sentinel.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

O que são regras de automação e guias estratégicos?

As regras de automação ajudam você a fazer a triagem de incidentes no Microsoft Sentinel. Você pode usá-las para atribuir incidentes automaticamente aos funcionários corretos, fechar incidentes com ruído ou falsos positivos conhecidos, alterar a severidade deles e adicionar marcas. Eles também são o mecanismo pelo qual você pode executar guias estratégicos em resposta a incidentes ou alertas.

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser definido para ser executado automaticamente quando alertas específicos forem gerados ou quando incidentes forem criados ou atualizados, sendo anexados a uma regra de automação. Ele também pode ser executado manualmente sob demanda em incidentes, alertas ou entidades específicos.

Guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, o que significa que você obtém toda a potência, capacidade de personalização e modelos internos dos Aplicativos Lógicos. Cada guia estratégico é criado para a assinatura específica à qual ele pertence, mas a exibição Guias estratégicos mostra todos os guias estratégicos disponíveis em todas as assinaturas selecionadas.

Observação

Como os guias estratégicos fazem uso de Aplicativos Lógicos do Azure, encargos adicionais podem ser aplicados. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.

Por exemplo, se você quiser impedir que usuários potencialmente comprometidos se movam pela rede e roubem informações, poderá criar uma resposta multifacetada automatizada para incidentes gerados por regras que detectem usuários comprometidos. Comece criando um guia estratégico que executa as seguintes ações:

1. Quando o guia estratégico é chamado por uma regra de automação passando um incidente, o guia estratégico abre um tíquete no ServiceNow ou em qualquer outro sistema de emissão de tíquetes de TI.

2. Ele envia uma mensagem para o canal de operações de segurança no Microsoft Teams ou no Slack para assegurar que os analistas de segurança estão cientes do incidente.

3. Ele também envia as informações sobre o incidente em uma mensagem de email para que o administrador de rede sênior e administrador de segurança. A mensagem de email também incluirá dois botões de opção de usuário, Bloquear e Ignorar.

4. O guia estratégico aguarda até que uma resposta seja recebida dos administradores e, depois, continua com as próximas etapas.

5. Se os administradores escolherem Bloquear, ele enviará um comando ao Microsoft Entra ID para desabilitar o usuário, e um ao firewall para bloquear o endereço IP.

6. Se os administradores escolherem Ignorar, o guia estratégico fechará o incidente no Microsoft Sentinel e o tíquete no ServiceNow.

Para disparar o guia estratégico, você criará uma regra de automação que é executada quando esses incidentes são gerados. Essa regra executará estas etapas:

1. A regra altera o status do incidente para Ativo.

2. Ele atribui o incidente para o analista que tem a tarefa de gerenciar esse tipo de incidente.

3. Ele adiciona a marca "usuário comprometido".

4. Por fim, ele chama o guia estratégico que você acabou de criar. (Permissões especiais são necessárias para esta etapa.)

Os guias estratégicos podem ser executados automaticamente em resposta a incidentes, criando regras de automação que chamam os guias estratégicos como ações, conforme no exemplo acima. Eles também podem ser executados automaticamente em resposta a alertas, informando a regra de análise para executar automaticamente um ou mais guias estratégicos quando o alerta é gerado.

Você também pode optar por executar um guia estratégico manualmente sob demanda, como uma resposta a um alerta selecionado.

Obtenha uma introdução mais completa e detalhada para automatizar a resposta contra ameaças usando regras de automação e guias estratégicos no Microsoft Sentinel.

Criar um Guia estratégico

Siga estas etapas para criar um guia estratégico no Microsoft Sentinel:

Portal do Azure

Portal do Defender

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.

2. No menu superior, selecione Criar.

3. O menu suspenso exibido em Criar oferece quatro opções para criar guias estratégicos:

   1. Se você estiver criando um guia estratégico Standard (o novo tipo – confira Tipos de aplicativos lógicos), selecione Guia estratégico em branco e siga as etapas na guia Standard dos Aplicativos Lógicos abaixo.

   2. Se você estiver criando um guia estratégico de Consumo (o original, do tipo clássico), dependendo do gatilho que você deseja usar, selecione Guia estratégico com gatilho de incidente, Guia estratégico com gatilho de alerta ou Guia estratégico com gatilho de entidade. Em seguida, continue seguindo as etapas na guia Consumo de Aplicativos Lógicos abaixo.

      Para obter mais informações sobre qual gatilho usar, confira Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel.

Consumo de Aplicativos Lógicos

Preparar o guia estratégico e o Aplicativo Lógico

Independentemente de qual gatilho você escolheu para criar seu guia estratégico na etapa anterior, o assistente Criar guia estratégico será exibido.

1. Na guia Básico:

   1. Selecione a Assinatura, o grupo de recursos e a região de sua escolha nas respectivas listas suspensas. A região escolhida é onde as informações do Aplicativo Lógico serão armazenadas.

   2. Insira um nome para seu guia estratégico em Nome do guia estratégico.

   3. Se você quiser monitorar a atividade deste manual para fins de diagnóstico, marque a caixa de seleção Habilitar logs de diagnóstico no Log Analytics e escolha o seu Workspace do Log Analytics na lista suspensa.

   4. Se seus guias estratégicos precisarem de acesso a recursos protegidos que estão dentro ou conectados a uma rede virtual do Azure, talvez seja necessário usar um ISE (ambiente de serviço de integração). Nesse caso, marque a caixa de seleção Associar ao ambiente do serviço de integração e selecione o ISE desejado na lista suspensa.

   5. Selecione Avançar : Conexões >.

2. Clique na guia Conexões:

   O ideal é que você deixe essa seção como está, configurando Aplicativos Lógicos para se conectar ao Microsoft Sentinel com identidade gerenciada. Saiba mais sobre essa e outras alternativas de autenticação.

   Clique em Avançar : Revisar e criar >.

3. Na guia Revisar e criar:

   Examine as opções de configuração feitas e selecione Criar e continuar para o designer.

4. Seu guia estratégico levará alguns minutos para ser criado e implantado, após o que, você verá a mensagem "Sua implantação está concluída" e será levado para o Designer de Aplicativos Lógicos do seu novo guia estratégico. O gatilho escolhido no início será adicionado automaticamente como primeira etapa e você poderá continuar projetando o fluxo de trabalho a partir daí.

   

   Se você escolheu o gatilho da entidade do Microsoft Sentinel (versão prévia), selecione o tipo de entidade que deseja que esse guia estratégico receba como entrada.

   

Aplicativos Lógicos Standard

Preparar o Aplicativo Lógico e o fluxo de trabalho

Há três etapas para começar a criar um guia estratégico padrão de Aplicativos Lógicos:

1. Criar um aplicativo lógico.
2. Crie um fluxo de trabalho (este é o guia estratégico real).
3. Escolha o gatilho.

Criar um aplicativo lógico

Como você selecionou o Guia estratégico em branco, uma nova guia do navegador será aberta e o levará ao assistente para Criar Aplicativo Lógico.

1. Na guia Básico:

   1. Selecione a Assinatura e o Grupo de recursos de sua escolha nas respectivas listas suspensas.

   2. Insira um nome para o seu Aplicativo Lógico. Para Publicar, escolha Fluxo de Trabalho. Selecione a Região onde deseja implantar o aplicativo lógico.

   3. Para o Tipo de plano, escolha Standard.

   4. Selecione Avançar : Hosting>.

2. Na guia Hospedagem:

   1. Para o Tipo de armazenamento, escolha Armazenamento do Azure e escolha ou crie uma Conta de armazenamento.

   2. Escolha um Plano do Windows.

3. Selecione Avançar : Monitoramento >.

4. Selecione a guia Monitoramento:

   1. Se você quiser habilitar o monitoramento de desempenho no Azure Monitor para este aplicativo, deixe a alternância em Yes. Caso contrário, alterne-o para No.

      Observação

      Esse monitoramento não é necessário para o Microsoft Sentinel e custará mais caro.

   2. Se quiser, selecione Avançar : Marcas > para aplicar marcas a esse Aplicativo Lógico para fins de categorização e cobrança de recursos. Caso contrário, selecione Examinar + criar.

5. Na guia Revisar + criar:

   Revise as escolhas de configuração feitas e selecione Criar.

6. Seu guia estratégico levará alguns minutos para ser criado e implantado, durante o que, você verá algumas mensagens de implantação. No final do processo, você será levado para a tela de implantação final, na qual verá a mensagem "Sua implantação está concluída".

   Selecione Ir para o recurso. Você será levado para a página principal do novo aplicativo lógico.

   Ao contrário dos guias estratégicos de consumo clássicos, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Criar um fluxo de trabalho (guia estratégico)

1. Selecione Fluxos de trabalho no menu de navegação da página do aplicativo lógico.

2. Selecione + Adicionar na barra de botões na parte superior (pode levar alguns segundos para o botão ficar ativo).

3. O painel Novo de fluxo de trabalho será exibido. Insira um nome para o fluxo de trabalho.

4. Em Tipo de estado, selecione Com estado.

   Observação

   No momento, o Microsoft Sentinel não dá suporte ao uso de fluxos de trabalho Sem estado como guias estratégicos.

5. Selecione Criar. Seu fluxo de trabalho será salvo e aparecerá na lista de fluxos de trabalho no seu aplicativo lógico. Selecione o fluxo de trabalho para prosseguir.

6. Insira a página do fluxo de trabalho. Aqui você consegue ver todas as informações sobre o seu fluxo de trabalho, incluindo um registro de todas as vezes que ele tiver sido executado. No menu de navegação, selecione Designer.

7. A tela designer será aberta e você será solicitado imediatamente a adicionar um gatilho e continuar projetando o fluxo de trabalho.

   

Escolha o gatilho

1. Selecione a guia Azure e insira "Sentinel" na linha Pesquisa.

2. Na guia Gatilhos abaixo, você verá os três gatilhos oferecidos pelo Microsoft Sentinel:

   • Alerta do Microsoft Sentinel (versão prévia)
   • Entidade do Microsoft Sentinel (versão prévia)
   • Incidente do Microsoft Sentinel (versão prévia)

   Selecione o gatilho que corresponde ao tipo de guia estratégico que você está criando.

   

   Se você escolheu o gatilho da entidade do Microsoft Sentinel (versão prévia), selecione o tipo de entidade que deseja que esse guia estratégico receba como entrada.

   

Observação

Ao escolher um gatilho ou qualquer ação subsequente, você será solicitado a autenticar o provedor de recursos com que estiver interagindo. Nesse caso, o provedor é o Microsoft Sentinel. Há algumas abordagens diferentes que você pode seguir para a autenticação. Para obter detalhes e instruções, confira Autenticar guias estratégicos para o Microsoft Sentinel.

Para obter mais informações sobre qual gatilho usar, confira Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel

Adicionar ações

Agora você pode definir o que acontece ao chamar o guia estratégico. Você pode adicionar ações, condições lógicas, loops ou alternar condições de caso, tudo selecionando Nova etapa. Essa seleção abre um novo quadro no designer, no qual você pode escolher um sistema ou um aplicativo com o qual interagir ou uma condição para definir. Insira o nome do sistema ou aplicativo na barra de pesquisa na parte superior do quadro e escolha um dos resultados disponíveis.

Em cada uma dessas etapas, clicar em qualquer campo exibe um painel com dois menus: Conteúdo dinâmico e Expressão. No menu de Conteúdo dinâmico, você pode adicionar referências aos atributos do alerta ou incidente que foi passado para o guia estratégico, incluindo os valores e atributos de todas as entidades mapeadas e detalhes personalizados contidos no alerta ou incidente. No menu Expressão, você pode escolher entre uma grande biblioteca de funções para adicionar lógica adicional às suas etapas.

Esta captura de tela mostra as ações e condições que você adicionaria ao criar o guia estratégico descrito no exemplo no início deste documento. Saiba mais sobre como adicionar ações aos guias estratégicos.

Confira Usar gatilhos e ações em guias estratégicos do Microsoft Sentinel para obter detalhes sobre as ações que você pode adicionar aos guias estratégicos para diferentes finalidades.

Em particular, observe essas informações importantes sobre guias estratégicos com base no gatilho de entidade em um contexto não relacionado a incidente.

Automatizar as respostas a ameaças

Você criou o guia estratégico e definiu o gatilho, definiu as condições e prescreveu as ações que ele executará e as saídas que ele produzirá. Agora, você precisa determinar os critérios sob os quais ele será executado e configurará o mecanismo de automação que o executará quando esses critérios forem atendidos.

Responder a incidentes e alertas

Para usar um guia estratégico para responder automaticamente a um incidente inteiro ou a um alerta individual, crie uma regra de automação que será executada quando o incidente for criado ou atualizado ou quando o alerta for gerado. Essa regra de automação incluirá uma etapa que chama o guia estratégico que você deseja usar.

Para criar uma regra de automação:

1. Na página Automação no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e, em seguida, a regra de Automação.

   

2. O painel Criar regra de automação é aberto. Digite um nome para a sua regra.

   Suas opções diferem dependendo se o workspace está integrado à plataforma de operações de segurança unificada. Por exemplo:

   Workspaces integrados

   

   Workspaces que não estão integrados

   

3. Gatilho: Selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.

4. Condições:

   1. Se o workspace ainda não estiver integrado à plataforma de operações de segurança unificada, os incidentes poderão ter duas fontes possíveis:

      • Incidentes podem ser criados no Microsoft Sentinel
      • Incidentes podem ser importados e sincronizados com o Microsoft Defender XDR.

      Se você selecionou um dos gatilhos de incidente e deseja que a regra de automação entre em vigor somente em incidentes originados no Microsoft Sentinel ou, como alternativa, no Microsoft Defender XDR, especifique a origem na condição Se o provedor de incidentes for igual a.

      Essa condição será exibida somente se um gatilho de incidente for selecionado e seu workspace não estiver integrado à plataforma de operações de segurança unificada.

   2. Para todos os tipos de gatilho, se você quiser que a regra de automação entre em vigor somente em determinadas regras de análise, especifique quais delas modificando a condição Se o nome da regra de análise contiver.

   3. Adicione outras condições que você deseja para determinar se essa regra de automação será executada. Selecione + Adicionar e escolha condições ou grupos de condições na lista suspensa. A lista de condições é preenchida por detalhes de alerta e campos de identificador de entidade.

5. Ações:

   1. Como você está usando essa regra de automação para executar um guia estratégico, escolha a ação Executar guia estratégico na lista suspensa. Em seguida, você será solicitado a escolher uma opção de uma segunda lista suspensa que mostra os guias estratégicos disponíveis. Uma regra de automação pode executar apenas os guias estratégicos que começam com o mesmo gatilho (incidente ou alerta) que o gatilho definido na regra, portanto, somente esses guias estratégicos aparecerão na lista.

      Importante

      O Microsoft Sentinel precisa receber permissões explícitas para executar guias estratégicos, manualmente ou de regras de automação. Se um guia estratégico aparecer "esmaecido" na lista suspensa, significará que o Sentinel não tem permissão para o grupo de recursos desse guia estratégico. Clique no link Gerenciar permissões do guia estratégico para atribuir permissões.

      No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e clique em Aplicar.

      

      • Você precisa ter permissões de proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e precisa ter a função de Colaborador do Aplicativo Lógico em qualquer grupo de recursos que contenha guias estratégicos que você deseja executar.

      • Em uma implantação multilocatário, se o guia estratégico que desejar executar estiver em um locatário diferente, você deverá conceder permissão ao Microsoft Sentinel para executar o guia estratégico no respectivo locatário.

        1. No menu de navegação do Microsoft Sentinel, no locatário dos guias estratégicos, selecione Configurações.
        2. Na folha Configurações, selecione a guia Configurações e, depois, o expansor Permissões do guia estratégico.
        3. Clique no botão Configurar permissões para abrir o painel Gerenciar permissões mencionado acima e continue conforme descrito lá.

      • Se, em um cenário de MSSP, você quiser executar um guia estratégico em um locatário de cliente de uma regra de automação criada enquanto estiver conectado ao locatário do provedor de serviços, você deverá conceder permissão ao Microsoft Sentinel para executar o guia estratégico em ambos os locatários. No locatário do cliente, siga as instruções de implantação multilocatário no ponto de marcador anterior. No locatário do provedor de serviços, você precisa adicionar o aplicativo Azure Security Insights ao seu modelo de integração do Azure Lighthouse:

        1. No portal do Azure, acesse Microsoft Entra ID.
        2. Clique em Aplicativos Empresariais.
        3. Selecione Tipo de Aplicativo e filtre por Aplicativos da Microsoft.
        4. Na caixa de pesquisa, digite Azure Security Insights.
        5. Copie o campo ID do Objeto. Você precisará adicionar essa autorização adicional à delegação existente do Azure Lighthouse.

        A função de colaborador de automação do Microsoft Sentinel tem um GUID fixo que é f4c81013-99ee-4d62-a7ee-b3f1f648599a. Um exemplo de autorização do Azure Lighthouse teria aparência semelhante a esta no modelo de parâmetros:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Adicione outras ações desejadas para essa regra. Você pode alterar a ordem de execução de ações selecionando as setas para cima ou para baixo à direita de qualquer ação.

6. Defina uma data de vencimento para a sua regra de automação se desejar que ela tenha uma.

7. Insira um número em Ordem para determinar onde na sequência de regras de automação essa regra será executada.

8. Escolha Aplicar. Pronto!

Descubra outras maneiras de criar regras de automação.

Responder a alertas — método herdado

Outra maneira de executar guias estratégicos automaticamente em resposta aos alertas é chamá-los a partir de uma regra de análise. Quando a regra gera um alerta, o guia estratégico é executado.

Esse método será preterido a partir de março de 2026.

A partir de junho de 2023, você não pode mais adicionar guias estratégicos a regras de análise dessa maneira. No entanto, você ainda pode ver os guias estratégicos existentes chamados de regras de análise, que ainda serão executados até março de 2026. Recomendamos fortemente que, em vez disso, você crie regras de automação para chamar esses guias estratégicos antes disso.

Executar um guia estratégico sob demanda

Você também pode executar manualmente um guia estratégico sob demanda, seja em resposta a alertas, incidentes (em versão prévia) ou entidades (também em versão prévia). Isso pode ser útil em situações em que você deseja mais entrada de origem humana e controle sobre processos de orquestração e resposta.

Executar um guia estratégico manualmente em um alerta

Este procedimento não tem suporte na plataforma de operações de segurança unificada.

No portal do Azure, selecione uma das seguintes guias conforme necessário para seu ambiente:

NOVA página de detalhes do incidente

1. Na página Incidentes, selecione um incidente.

   No portal do Azure, selecione Exibir detalhes completos na parte inferior do painel de detalhes do incidente para abrir a página de detalhes do incidente.

2. Na página de detalhes do incidente, no widget Linha do tempo do incidente, escolha o alerta no qual você deseja executar o guia estratégico. Selecione os três pontos no final da linha do alerta e escolha Executar guia estratégico no menu pop-up.

   

3. O painel Guias estratégicos do alerta será aberto. Você verá uma lista de todos os guias estratégicos configurados com o gatilho dos Aplicativos Lógicos Alerta do Microsoft Sentinel aos quais você tem acesso.

4. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

Grafo de investigação

1. Na página Incidentes, selecione um incidente.

   No portal do Azure, selecione Exibir detalhes completos na parte inferior do painel de detalhes do incidente para abrir a página de detalhes do incidente.

2. Na página de detalhes do incidente, selecione a guia Alertas, escolha o alerta no qual você deseja executar o guia estratégico e selecione o link Exibir guias estratégicos no final da linha desse alerta.

3. O painel Guias estratégicos do alerta será aberto. Você verá uma lista de todos os guias estratégicos configurados com o gatilho dos Aplicativos Lógicos Alerta do Microsoft Sentinel aos quais você tem acesso.

4. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

Você pode ver o histórico de execução de guias estratégicos em um alerta selecionando a guia Execuções no painel Guias estratégicos de alerta. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos.

Executar um guia estratégico manualmente em um incidente (versão prévia)

Esse procedimento é diferente, dependendo se você estiver trabalhando no Microsoft Sentinel ou na plataforma de operações de segurança unificada. Selecione a guia relevante para seu ambiente:

Portal do Azure

1. Na página Incidentes, selecione um incidente.

2. No painel de detalhes do incidente que aparece à direita, selecione Ações > Executar guia estratégico (versão prévia).
   (Selecionar os três pontos no final da linha do incidente na grade ou clicar com o botão direito do mouse no incidente exibirá a mesma lista que o botão Ação.)

3. O painel Executar guia estratégico em um incidente é aberto à direita. Você verá uma lista de todos os guias estratégicos configurados com o gatilho dos Aplicativos Lógicos Incidente do Microsoft Sentinel aos quais você tem acesso.

   Se o guia estratégico que você deseja executar não está na lista, isso significa que o Microsoft Sentinel não tem permissões para executar guias estratégicos nesse grupo de recursos (confira a observação acima).

   Para conceder essas permissões, selecione Configurações>Configurações>Permissões do Guia Estratégico>Configurar permissões. No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e selecione Aplicar.

4. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

   Você deve ter a função de operador de guia estratégico do Microsoft Sentinel em qualquer grupo de recursos que contenha guias estratégicos que você deseja executar. Se você não consegue executar o guia estratégico devido a permissões ausentes, é recomendável que entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, consulte Permissões necessárias para trabalhar com guias estratégicos.

Portal do Microsoft Defender

1. Na página Incidentes, selecione um incidente.

2. No painel de detalhes do incidente que aparece à direita, selecione Executar Guia Estratégico.

3. O painel Executar o guia estratégico sobre incidentes é aberto à direita, com todos os guias estratégicos relacionados para o incidente selecionado. Na coluna Ação, selecione Executar guia estratégico para o guia estratégico que você deseja executar imediatamente.

A coluna Ações também pode mostrar um dos seguintes status:

Status	Descrição e ação necessárias
Permissões ausentes	Você deve ter a função de operador de guia estratégico do Microsoft Sentinel em qualquer grupo de recursos que contenha guias estratégicos que você deseja executar. Se você não tiver permissões, recomendamos que entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, consulte Permissões necessárias para trabalhar com guias estratégicos.
Conceder permissão	O Microsoft Sentinel não tem a função Colaborador de Automação do Microsoft Sentinel, que é necessária para executar guias estratégicos em incidentes. Nesses casos, selecione Conceder permissão para abrir o painel Gerenciar permissões. O painel Gerenciar permissões é filtrado por padrão para o grupo de recursos do guia estratégico selecionado. Selecione o grupo de recursos e selecione Aplicar para conceder as permissões necessárias. Você deve ser um Proprietário ou um Administrador de acesso de usuário no grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel. Se faltarem permissões, o grupo de recursos ficará acinzentado e você não poderá selecioná-lo. Nesses casos, recomendamos que você entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, veja a observação acima.

Exiba o histórico de execução de guias estratégicos em um incidente selecionando a guia Execuções no painel Executar o guia estratégico sobre incidentes. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos.

Executar um guia estratégico manualmente em uma entidade (versão prévia)

Este procedimento não tem suporte na plataforma de operações de segurança unificada.

1. Selecione uma entidade de uma das seguintes maneiras, dependendo do contexto de origem:

   Se você estiver na página de detalhes de um incidente (nova versão):

   1. No widget Entidades na guia Visão geral, localize uma entidade na lista (não selecione-a).
   2. Selecione os três pontos à direita da entidade.
   3. Selecione Executar guia estratégico (Versão Prévia) no menu pop-up e continue com a etapa 2 abaixo.
      Se você selecionou a entidade e inseriu a guia Entidades da página de detalhes do incidente, continue com a próxima linha abaixo.
   4. Localize uma entidade na lista (não a selecione).
   5. Selecione os três pontos à direita da entidade.
   6. Selecione Executar guia estratégico (Versão Prévia) no menu pop-up.
      Se você selecionou a entidade e inseriu sua página de entidade, selecione o botão Executar guia estratégico (versão prévia) no painel esquerdo.

   Se você estiver na página de detalhes de um incidente (versão herdada):

   1. Selecione a guia Entidades do incidente.
   2. Localize uma entidade na lista (não a selecione).
   3. Selecione o link Executar guia estratégico (versão prévia) no final de sua linha na lista.
      Se você selecionou a entidade e inseriu sua página de entidade, selecione o botão Executar guia estratégico (versão prévia) no painel esquerdo.

   Se você estiver no grafo investigação:

   1. Selecione uma entidade no grafo.
   2. Selecione o botão Executar guia estratégico (versão prévia) no painel lateral da entidade.
      Para alguns tipos de entidade, talvez seja necessário selecionar o botão Ações de Entidade e, no menu resultante, selecione Executar guia estratégico (versão prévia).

   Se você estiver buscando ameaças proativamente:

   1. Na tela Comportamento da entidade, selecione uma entidade nas listas na página ou pesquise e selecione outra entidade.
   2. Na página de entidade, selecione o botão Executar guia estratégico (versão prévia) no painel esquerdo.

2. Independentemente do contexto de origem, as instruções acima abrirão o painel Executar guia estratégico no <tipo de entidade>. Você verá uma lista de todos os guias estratégicos aos quais você tem acesso que foram configurados com o gatilho de Aplicativos Lógicos da Entidade do Microsoft Sentinel para o tipo de entidade selecionado.

3. Selecione Executar na linha de um guia estratégico específico para executá-lo imediatamente.

Você pode ver o histórico de execução de guias estratégicos em uma determinada entidade selecionando a guia Execuções no painel Executar guia estratégico em um <tipo de entidade>. Pode levar alguns segundos para execuções recém-concluídas apareçam na lista. A seleção de uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos.

Próximas etapas

Neste tutorial, você aprendeu a usar os guias estratégicos e as regras de automação no Microsoft Sentinel para responder às ameaças.

• Saiba mais sobre como autenticar guias estratégicos para Microsoft Sentinel
• Saiba mais sobre como usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel
• Saiba como buscar ameaças proativamente usando o Microsoft Sentinel.