Criar e gerenciar guias estratégicos do Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser anexado a uma regra de automação para ser executado automaticamente quando alertas específicos são gerados ou quando incidentes são criados ou atualizados. Os guias estratégicos também podem ser executados manualmente sob demanda em incidentes, alertas ou entidades específicos.

Este artigo descreve como criar e gerenciar guias estratégicos do Microsoft Sentinel. Posteriormente, você pode anexar esses guias estratégicos a regras de análise ou regras de automação ou executá-los manualmente em incidentes, alertas ou entidades específicos.

Observação

Guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, o que significa que você obtém toda a potência, capacidade de personalização e modelos internos dos Aplicativos Lógicos. Encargos adicionais podem ser aplicados. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para criar e gerenciar guias estratégicos, você precisa ter acesso ao Microsoft Sentinel com uma das seguintes funções do Azure:

• Colaborador do Aplicativo Lógico, para editar e gerenciar aplicativos lógicos
• Operador do Aplicativo Lógico, para ler, habilitar e desabilitar aplicativos lógicos

Para obter mais informações, confira Pré-requisitos do guia estratégico do Microsoft Sentinel.

Recomendamos que você leia os guias estratégicos dos Aplicativos Lógicos do Azure para Microsoft Sentinel antes de criar o seu guia estratégico.

Criar um Guia estratégico

Siga estas etapas para criar um guia estratégico no Microsoft Sentinel:

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.

   Portal do Azure

   

   Portal do Defender

   

2. No menu superior, selecione Criar e selecione uma das seguintes opções:

   1. Se você estiver criando um guia estratégico Standard, selecione o Guia estratégico em branco e siga as etapas para o tipo de aplicativo lógico Standard.

   2. Se você estiver criando um guia estratégico de Consumo, selecione uma das seguintes opções, dependendo do gatilho que você deseja usar, e siga as etapas na guia Consumo de Aplicativos Lógicos abaixo:

      • Guia estratégico com gatilho de incidente
      • Guia estratégico com gatilho de alerta
      • Guia estratégico com gatilho de entidade

   Para obter mais informações, confira Tipos de aplicativo lógico com suporte e Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Preparar o aplicativo lógico do guia estratégico

Selecione uma das guias a seguir para obter detalhes sobre como criar um aplicativo lógico para o seu guia estratégico, dependendo se você está usando um fluxo de trabalho de Consumo ou Standard. Para obter mais informações, confira Tipos de aplicativo lógico com suporte.

Consumo

O assistente Criar guia estratégico é exibido depois de selecionar o gatilho que você deseja usar, incluindo um incidente, um alerta ou um gatilho de entidade. Por exemplo:

Faça o seguinte para criar o seu guia estratégico:

1. Na guia Básico:

   1. Selecione a Assinatura, o grupo de recursos e a região de sua escolha nas respectivas listas suspensas. A região selecionada é onde as informações do Aplicativo Lógico são armazenadas.

   2. Insira um nome para seu guia estratégico em Nome do guia estratégico.

   3. Se você quiser monitorar a atividade deste guia estratégico para fins de diagnóstico, selecione a caixa de seleção Habilitar logs de diagnóstico no Log Analytics e selecione o seu Workspace do Log Analytics na lista suspensa.

   4. Se seus guias estratégicos precisarem de acesso a recursos protegidos que estão dentro ou conectados a uma rede virtual do Azure, talvez seja necessário usar um ISE (ambiente de serviço de integração). Neste caso, marque a caixa de seleção Associar ao ambiente do serviço de integração e selecione o ISE relevante na lista suspensa.

   5. Selecione Avançar : Conexões >.

2. Na guia Conexões, recomendamos deixar os valores padrão, configurando os Aplicativos Lógicos para se conectar ao Microsoft Sentinel com identidade gerenciada. Para obter mais informações, confira Autenticar guias estratégicos no Microsoft Sentinel.

   Selecione Avançar: revisar e criar > para continuar.

3. Na guia Revisar e criar, examine as opções de configuração feitas e selecione Criar e continuar para o designer.

   Seu guia estratégico levará alguns minutos para ser criado e implantado, após os quais você verá a mensagem "Sua implantação está concluída" e será levado para o Designer do Aplicativo Lógico do seu novo guia estratégico. O gatilho que você escolheu no início é adicionado automaticamente como a primeira etapa e você pode continuar projetando o fluxo de trabalho a partir daí.

   

4. Se você escolheu o gatilho entidade do Microsoft Sentinel, selecione o tipo de entidade que deseja que esse playbook receba como entrada.

   

Standard

Como os guias estratégicos baseados no fluxo de trabalho Standard não dão suporte a modelos de guia estratégico, primeiro você precisa criar o seu aplicativo lógico, depois criar o seu guia estratégico e, por fim, escolher o gatilho para o seu guia estratégico.

Depois de selecionar a opção Guia estratégico em branco, uma nova guia do navegador será aberta com o assistente Criar Aplicativo Lógico. Por exemplo:

Criar um aplicativo lógico

1. Na guia Noções básicas, insira os seguintes detalhes:

   1. Selecione a Assinatura e o Grupo de recursos de sua escolha nas respectivas listas suspensas.
   2. Insira um nome para o seu Aplicativo Lógico. Em Publicar, selecione Fluxo de trabalho. Selecione a Região onde deseja implantar o aplicativo lógico.
   3. Para o Tipo de plano, selecione Standard.
   4. Selecione Avançar : Hosting>.

2. Na guia Hospedagem:

   1. Para o Tipo de armazenamento, selecione o Armazenamento do Azure e selecione ou crie uma Conta de armazenamento.
   2. Selecione um Plano do Windows.

3. Selecione a guia Monitoramento:

   1. Se você quiser habilitar o monitoramento de desempenho no Azure Monitor para este aplicativo, deixe a opção como Sim. Caso contrário, alterne-a para Não.

      Observação

      Esse monitoramento não é necessário para o Microsoft Sentinel e custará mais caro.

   2. Opcionalmente, selecione Avançar: marcas > para aplicar marcas a este Aplicativo Lógico para fins de categorização e cobrança de recursos. Caso contrário, selecione Examinar + criar.

4. Na guia Revisar + criar, examine as opções de configuração feitas e selecione Criar.

   Seu guia estratégico leva alguns minutos para ser criado e implantado, durante os quais você vê algumas mensagens de implantação. No final do processo, você é levado para a tela de implantação final, onde é exibida a mensagem: "Sua implantação está concluída".

5. Selecione Ir para o recurso. Você é levado para a página principal do novo aplicativo lógico.

   Ao contrário dos guias estratégicos de consumo clássicos, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Criar um fluxo de trabalho para o seu guia estratégico

1. Na página de detalhes do aplicativo lógico, selecione Fluxos de trabalho > + Adicionar. Pode levar alguns instantes para que o botão + Adicionar se torne ativo.

2. No painel Novo fluxo de trabalho que aparece:

   1. Insira um nome significativo para o fluxo de trabalho.
   2. Em Tipo de estado, selecione Com estado. O Microsoft Sentinel não dá suporte ao uso de fluxos de trabalho sem estado como guias estratégicos.
   3. Selecione Criar.

   Seu fluxo de trabalho é salvo e aparece na lista de fluxos de trabalho em seu Aplicativo Lógico.

3. Selecione o novo fluxo de trabalho para continuar e acessar a página de detalhes do fluxo de trabalho. Aqui você pode ver todas as informações sobre o seu fluxo de trabalho, incluindo um registro de todas as vezes em que ele foi executado.

4. Na página de detalhes do fluxo de trabalho, selecione Designer.

5. A página Designer é aberta e você será solicitado a adicionar um gatilho e continuar projetando o fluxo de trabalho. Por exemplo:

   

Adicionar o gatilho

1. Na página Designer, selecione a guia do Azure e insira Sentinel na caixa Pesquisar. A guia Gatilhos mostra os gatilhos compatíveis com o Microsoft Sentinel, incluindo:

   • Alerta do Microsoft Sentinel
   • Entidade do Microsoft Sentinel
   • Incidente do Microsoft Sentinel

   Por exemplo:

   

2. Se você escolher o gatilho de entidade do Microsoft Sentinel, selecione o tipo de entidade que deseja que este guia estratégico receba como entrada. Por exemplo:

   

Para obter mais informações, confira Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Adicionar ações ao seu guia estratégico

Agora que você tem um aplicativo lógico, defina o que acontece quando você chama o guia estratégico. Adicione ações, condições lógicas, loops ou condições de caso de alternância, tudo selecionando Nova etapa. Essa seleção abre um novo quadro no designer, no qual você pode escolher um sistema ou um aplicativo com o qual interagir ou uma condição para definir. Insira o nome do sistema ou aplicativo na barra de pesquisa na parte superior do quadro e escolha um dos resultados disponíveis.

Em cada uma dessas etapas, clicar em qualquer campo exibe um painel com os seguintes menus:

• Conteúdo dinâmico: adicione referências aos atributos do alerta ou incidente que foi passado para o guia estratégico, incluindo os valores e atributos de todas as entidades mapeadas e detalhes personalizados contidos no alerta ou incidente. Para obter exemplos de uso de conteúdo dinâmico, confira:

  • Usar guias estratégicos de entidade sem ID de incidente
  • Trabalhar com detalhes personalizados

• Expressão: escolha de uma biblioteca grande de funções para adicionar mais lógica às suas etapas.

Para obter mais informações, confira Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel.

Prompts de autenticação

Quando você escolhe um gatilho ou qualquer ação subsequente, é solicitado que você se autentique em qualquer provedor de recursos com o qual esteja interagindo. Nesse caso, o provedor é o Microsoft Sentinel e há algumas opções de autenticação. Para saber mais, veja:

• Autenticar guias estratégicos para o Microsoft Sentinel
• Gatilhos e ações com suporte nos guias estratégicos do Microsoft Sentinel

Conteúdo dinâmico: usar guias estratégicos de entidade sem ID de incidente

Guias estratégicos criados com o gatilho de entidade geralmente usam o campo ID do ARM do Incidente, como por exemplo para atualizar um incidente depois de tomar medidas na entidade.

Se esse guia estratégico for disparado em um contexto não conectado a um incidente, como quando a busca de ameaças, não haverá nenhum incidente cuja ID possa preencher esse campo. Neste caso, o campo é preenchido com um valor nulo.

Como resultado, o guia estratégico pode falhar ao ser executado até a conclusão. Para evitar essa falha, recomendamos que você crie uma condição que verifique um valor no campo de ID do incidente antes de executar qualquer ação nele e prescreva um conjunto diferente de ações se o campo tiver um valor nulo, ou seja, se o guia estratégico não estiver sendo executado a partir de um incidente.

Execute as seguintes etapas:

1. Antes da primeira ação que se refere ao campo ID do ARM do Incidente, adicione uma etapa Condição.

2. Ao lado, selecione o campo Escolher um valor e insira a caixa de diálogo Adicionar conteúdo dinâmico.

3. Selecione a ID de Incidente do ARM (Opcional)e o operador não é igual a.

4. Selecione Escolher um valor novamente para inserir a caixa de diálogo Adicionar conteúdo dinâmico.

5. Selecione a guia Expressão e a função null.

Por exemplo:

Conteúdo dinâmico: trabalhar com detalhes personalizados

O campo dinâmico Detalhes personalizados do alerta, disponível no gatilho de incidente, é uma matriz de objetos JSON, cada um representando um detalhe personalizado de um alerta. Os detalhes personalizados são pares chave-valor que permitem que você visualize informações de eventos no alerta para que eles possam ser representados, rastreados e analisados como parte do incidente.

Como esse campo do alerta é personalizável, o esquema depende do tipo de evento que está sendo exibido. Forneça dados de uma instância deste evento para gerar o esquema que determina como o campo de detalhes personalizado é analisado.

Por exemplo:

Nestes pares chave-valor:

• A chave, na coluna esquerda, representa os campos personalizados criados por você.
• O valor, na coluna à direita, representa os campos dos dados de evento que preenchem os campos personalizados.

Forneça o código JSON a seguir para gerar o esquema. O código mostra os nomes de chave como matrizes e os valores como itens nas matrizes. Os valores são mostrados como os valores reais, não a coluna que contém os valores.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Para usar campos personalizados para gatilhos de incidentes:

1. Adicione uma nova etapa usando a ação interna Analisar JSON. Insira "analisar JSON" no campo Pesquisar para encontrá-lo, se necessário.

2. Encontre e selecione Detalhes personalizados do alerta na lista de Conteúdo dinâmico no gatilho de incidente. Por exemplo:

   

   Isso cria um loop For each, uma vez que um incidente contém uma matriz de alertas.

3. Selecione o link Usar conteúdo de exemplo para gerar o esquema. Por exemplo:

   

4. Forneça um conteúdo de exemplo. Por exemplo, você pode encontrar um conteúdo de exemplo examinando o Log Analytics para outra instância desse alerta e copiando o objeto de detalhes personalizado, encontrado em Propriedades estendidas. Acesse os dados do Log Analytics na página Logs no portal do Azure ou na página de Busca avançada no portal do Defender. Na captura de tela abaixo, utilizamos o código JSON mostrado acima.

   

Os campos personalizados estão prontos para serem usados como campos dinâmicos do tipo Matriz. Por exemplo, a captura de tela a seguir mostra uma matriz e seus itens, tanto no esquema quanto na lista que aparece em Conteúdo dinâmico, que descrevemos nesta seção:

Gerenciar seus guias estratégicos

Selecione a guia Automação > Guias estratégicos ativos para exibir todos os guias estratégicos aos quais você tem acesso, filtrados pelo modo de exibição de assinatura.

Após a integração à plataforma de operações de segurança unificada, por padrão, a guia Guias estratégicos ativos mostra um filtro predefinido com a assinatura do workspace integrado. No portal do Azure, edite as assinaturas que você está mostrando no menu Diretório + assinatura no cabeçalho de página global do Azure.

Embora a guia Guias estratégicos ativos exiba todos os guias estratégicos ativos disponíveis em todas as assinaturas selecionadas, por padrão, um guia estratégico só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.

A guia Guias estratégicos ativos mostra os seus guias estratégicos com os seguintes detalhes:

Nome da coluna	Descrição
Status	Indica se o guia estratégico está habilitado ou desabilitado.
Plano	Indica se o guia estratégico usa o tipo de recurso Aplicativos Lógicos do Azure Standard ou de Consumo. Os guias estratégicos do tipo Standard usam a convenção de nomenclatura LogicApp/Workflow, que reflete como um guia estratégico Standard representa um fluxo de trabalho que existe junto com outros fluxos de trabalho em um único Aplicativo Lógico. Para obter mais informações, confira Guias estratégicos dos Aplicativos Lógicos do Azure para Microsoft Sentinel.
Tipo de gatilho	Indica o gatilho dos Aplicativos Lógicos do Azure que inicia este guia estratégico: - Incidente/Alerta/Entidade do Microsoft Sentinel: o guia estratégico é iniciado com um dos gatilhos do Sentinel, incluindo incidente, alerta ou entidade - Usando uma ação do Microsoft Sentinel: o guia estratégico é iniciado com um gatilho que não é do Microsoft Sentinel, mas usa uma ação do Microsoft Sentinel - Outro: o guia estratégico não inclui nenhum componente do Microsoft Sentinel - Não inicializado: o guia estratégico foi criado, mas não contém componentes, nem dispara nenhuma ação.

Selecione um guia estratégico para abrir sua página dos Aplicativos Lógicos do Azure, que mostra mais detalhes sobre o guia estratégico. Na página dos Aplicativos Lógicos do Azure:

• Exibir um log de todas as vezes em que o guia estratégico foi executado
• Exibir resultados da execução, incluindo êxitos, falhas e outros detalhes
• Se você tiver as permissões relevantes, abra o designer de fluxo de trabalho nos Aplicativos Lógicos do Azure para editar o guia estratégico diretamente

Conteúdo relacionado

Depois de criar o seu guia estratégico, anexe-o a regras a serem disparadas por eventos em seu ambiente ou execute seus guias estratégicos manualmente em incidentes, alertas ou entidades específicos.

Para saber mais, veja:

• Automatizar e executar guias estratégicos do Microsoft Sentinel
• Autenticar guias estratégicos para o Microsoft Sentinel
• Usar um guia estratégico do Microsoft Sentinel para deter usuários potencialmente comprometidos