Autenticar guias estratégicos para o Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa.

Os Aplicativos Lógicos do Azure devem se conectar separadamente e autenticar-se independentemente a cada recurso, de cada tipo, com o qual interagem, incluindo o próprio Microsoft Sentinel. Os Aplicativos Lógicos usam conectores especializados para essa finalidade, com cada tipo de recurso com seu próprio conector.

Este artigo descreve os tipos de conexões e de autenticação compatíveis com o conector do Microsoft Sentinel dos Aplicativos Lógicos. Os guias estratégicos podem usar métodos de autenticação com suporte para interagir com o Microsoft Sentinel e acessar seus dados do Microsoft Sentinel.

Pré-requisitos

Recomendamos que você leia os seguintes artigos antes deste:

• Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
• Criar e gerenciar guias estratégicos do Microsoft Sentinel
• Aplicativos Lógicos do Azure para os guias estratégicos do Microsoft Sentinel
• Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel

Para conceder à identidade gerenciada acesso a outros recursos (como seu workspace do Microsoft Sentinel), o usuário conectado deve ter uma função com permissões para gravar atribuições de função, como Proprietário ou Administrador de Acesso do Usuário do workspace do Microsoft Sentinel.

Autenticação

O conector do Microsoft Sentinel nos Aplicativos Lógicos e seus gatilhos e ações de componente podem operar em nome de qualquer identidade que tenha as permissões necessárias (leitura e/ou gravação) no workspace relevante. O conector dá suporte a vários tipos de identidade:

• Identidade gerenciada (Versão prévia). Por exemplo, use esse método para reduzir o número de identidades que você precisa gerenciar.
• Entidade de serviço (aplicativo do Microsoft Entra). Os aplicativos registrados proporcionam uma capacidade aprimorada de controlar permissões, gerenciar credenciais e habilitar determinadas limitações no uso do conector.
• Usuário do Microsoft Entra

Permissões exigidas

Independentemente do método de autenticação, as permissões a seguir são necessárias para que identidade autenticada possa usar vários componentes do conector do Microsoft Sentinel. As ações de "Gravação" incluem ações como atualizar incidentes ou adicionar um comentário.

Funções	Usar gatilhos	Usar ações de "Leitura"	Usar ações de "Gravação"
Leitor do Microsoft Sentinel	✓	✓	-
Respondente/do Microsoft Sentinel Colaborador	✓	✓	✓

Para obter mais informações, consulte Funções e permissões no guia estratégico do Microsoft Sentinel e Pré-requisitos dos guias estratégicos do Microsoft Sentinel.

Autenticar com uma identidade gerenciada

A autenticação como uma identidade gerenciada permite que você conceda permissões diretamente ao guia estratégico, que é um recurso de fluxo de trabalho do Aplicativo Lógico. As ações do conector do Microsoft Sentinel executadas pelo guia estratégico operam em nome do guia estratégico, como se fosse um objeto independente com suas próprias permissões no Microsoft Sentinel.

Para autenticar com uma identidade gerenciada:

1. Habilite a identidade gerenciada no recurso de fluxo de trabalho dos Aplicativos Lógicos. Para obter mais informações, consulte Habilitar a identidade atribuída pelo sistema no portal do Azure.

   Seu aplicativo lógico agora pode usar a identidade atribuída pelo sistema, que é registrada com a ID do Microsoft Entra e é representada por uma ID de objeto.

2. Use as seguintes etapas para conceder a essa identidade acesso ao seu workspace do Microsoft Sentinel:

   1. No menu do Microsoft Sentinel, selecioneConfigurações.

   2. Selecione a guia Configurações do workspace. No menu do workspace, selecione Controle de acesso (IAM) .

   3. Na barra de botões na parte superior, selecione Adicionar e escolha Adicionar atribuição de função. Se a opção Adicionar atribuição de função estiver desativada, você não terá permissões para atribuir funções.

   4. No novo painel que aparecer, atribua a função apropriada:

      • Respondente do Microsoft Sentinel: o guia estratégico tem etapas que atualizam incidentes ou watchlists
      • Leitor do Microsoft Sentinel: o guia estratégico recebe apenas incidentes

   5. Em Atribuir acesso a, selecione Aplicativo Lógico.

   6. Escolha a assinatura à qual o guia estratégico pertence e selecione o nome do guia estratégico.

   7. Selecione Salvar.

   Para obter mais informações, consulte Conceder à identidade acesso aos recursos.

3. Habilite o método de autenticação de identidade gerenciada no conector dos Aplicativos Lógicos do Microsoft Sentinel:

   1. No designer dos Aplicativos Lógicos, adicione uma etapa de conector dos Aplicativos Lógicos do Microsoft Sentinel. Se o conector já estiver habilitado para uma conexão existente, selecione o link Alterar conexão. Por exemplo:

      

   2. Na lista de conexões resultante, selecione Adicionar nova.

   3. Crie uma conexão selecionando Conexão com identidade gerenciada (versão prévia) . Por exemplo:

      

   4. Insira um nome para essa conexão, selecione Identidade gerenciada atribuída pelo sistema e selecione Criar.

      

   5. Selecione Criar para concluir a criação de sua conexão.

Autenticar como uma entidade de serviço (aplicativo Microsoft Entra)

Crie uma entidade de serviço registrando um aplicativo do Microsoft Entra. Recomendamos que você use um aplicativo registrado como a identidade do conector em vez de uma conta de usuário.

Para usar seu próprio aplicativo com o conector do Microsoft Sentinel:

1. Registre o aplicativo com a ID do Microsoft Entra e crie uma entidade de serviço. Para obter mais informações, consulte Criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos.

2. Obtenha credenciais para autenticação futura. Na página do aplicativo registrado, obtenha as credenciais do aplicativo para se conectar:

   • ID do cliente: em Visão geral
   • Segredo do cliente: em Certificados e segredos

3. Conceda ao aplicativo permissões para trabalhar com o workspace do Microsoft Sentinel:

   1. No workspace do Microsoft Sentinel, acesse Configurações>Configurações do Workspace>Controle de acesso (IAM)

   2. Selecione Adicionar atribuição de função e selecione a função que você deseja atribuir ao aplicativo.

      Por exemplo, para permitir que o aplicativo execute ações que farão alterações no workspace do Sentinel, como atualizar um incidente, selecione a função Colaborador do Microsoft Sentinel. Para ações que só leem dados, a função Leitor do Microsoft Sentinel é suficiente.

   3. Localize o aplicativo necessário e salve as alterações.

      Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para localizar seu aplicativo, pesquise o nome e selecione-o.

4. Use as credenciais do aplicativo para autenticar o conector do Microsoft Sentinel nos Aplicativos Lógicos.

   1. No designer dos Aplicativos Lógicos, adicione uma etapa de conector dos Aplicativos Lógicos do Microsoft Sentinel.

   2. Se o conector já estiver habilitado para uma conexão existente, selecione o link Alterar conexão. Por exemplo:

      

   3. Na lista resultante de conexões, selecione Adicionar nova e, em seguida, selecione Conectar com a Entidade de Serviço. Por exemplo:

      

   4. Insira os valores de parâmetro necessários, que estão disponíveis na página de detalhes do aplicativo registrado:

      • Locatário: em Visão geral
      • ID do cliente: em Visão geral
      • Segredo do Cliente: em Certificados e segredos

      Por exemplo:

      

   5. Selecione Criar para concluir a criação de sua conexão.

Autenticar como um usuário do Microsoft Entra

Para fazer uma conexão como um usuário do Microsoft Entra:

1. No designer dos Aplicativos Lógicos, adicione uma etapa de conector dos Aplicativos Lógicos do Microsoft Sentinel. Se o conector já estiver habilitado para uma conexão existente, selecione o link Alterar conexão. Por exemplo:

   

2. Na lista resultante de conexões, selecione Adicionar nova e, em seguida, selecioneEntrar.

   

3. Insira suas credenciais quando solicitado e siga as instruções restantes na tela para criar uma conexão.

Exibir e editar conexões de API do guia estratégico

Conexões de API são usadas para conectar os Aplicativos Lógicos do Azure a outros serviços, incluindo o Microsoft Sentinel. Sempre que uma nova autenticação é feita para um conector nos Aplicativos Lógicos do Azure, um novo recurso de conexão de API é criado, contendo os detalhes fornecidos ao configurar o acesso ao serviço. A mesma conexão de API pode ser usada em todas as ações e gatilhos do Microsoft Sentinel no mesmo grupo de recursos.

Para exibir as conexões de API, siga um destes procedimentos:

• No portal do Azure, pesquise conexões de API. Localize a conexão de API para seu guia estratégico usando os seguintes dados:

  • Nome de exibição o nome "amigável" que você fornece à conexão toda vez que cria uma.
  • Status: o status da conexão de API.
  • Grupo de recursos: as conexões de API para guias estratégicos da Microsoft são criadas no grupo de recursos do recurso de guia estratégico (Aplicativos Lógicos do Azure).

• No portal do Azure, exiba todos os recursos e filtre a exibição pelo Tipo = conector de API. Esse método permite que você selecione, marque e exclua várias conexões ao mesmo tempo.

Para alterar a autorização de uma conexão existente, insira o recurso de conexão e selecione Editar conexão de API.

Conteúdo relacionado

Para saber mais, veja:

• Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
• Criar e gerenciar guias estratégicos do Microsoft Sentinel
• Automatizar e executar guias estratégicos do Microsoft Sentinel