Compartilhar via


Casos de uso, modelos e exemplos recomendados do playbook

Este artigo lista exemplos de casos de uso para guias estratégicos do Microsoft Sentinel, bem como guias estratégicos de exemplo e modelos de guia estratégico recomendados.

É recomendável começar com os guias estratégicos do Microsoft Sentinel para os seguintes cenários de SOC, para os quais fornecemos modelos de guia estratégico prontos para uso.

Enriquecimento: colete e anexe dados a um incidente para tomar decisões mais inteligentes

Se o incidente do Microsoft Sentinel for criado a partir de uma regra de alerta e análise que gera entidades de endereço IP, configure o incidente para disparar uma regra de automação para executar um guia estratégico e coletar mais informações.

Configure seu guia estratégico com as seguintes etapas:

  1. Inicie o guia estratégico quando o incidente for criado. As entidades representadas no incidente são armazenadas nos campos dinâmicos do gatilho de incidente.

  2. Para cada endereço IP, configure o guia estratégico para consultar um provedor externo de Inteligência contra Ameaças, como o Virus Total, para recuperar mais dados.

  3. Adicione os dados e insights retornados como comentários do incidente para enriquecer sua investigação.

Sincronização bidirecional para incidentes do Microsoft Sentinel com outros sistemas de tíquetes

Para sincronizar seus dados de incidentes do Microsoft Sentinel com um sistema de tíquetes, como o ServiceNow:

  1. Crie uma regra de automação para toda a criação de incidentes.

  2. Anexe um guia estratégico que é disparado quando um novo incidente é criado.

  3. Configure o guia estratégico para criar um novo tíquete no ServiceNow usando o conector do ServiceNow.

    Certifique-se de que suas equipes possam pular facilmente do tíquete do ServiceNow de volta para o incidente do Microsoft Sentinel configurando o guia estratégico para incluir o nome do incidente, campos importantes e uma URL para o incidente do Microsoft Sentinel no tíquete do ServiceNow.

Orquestração: controle a fila de incidentes da sua plataforma de bate-papo SOC

Se o incidente do Microsoft Sentinel for criado a partir de uma regra de alerta e análise que gera entidades de nome de usuário e endereço IP, configure o incidente para disparar uma regra de automação para executar um guia estratégico e entrar em contato com sua equipe por meio de seus canais de comunicação padrão.

Configure seu guia estratégico com as seguintes etapas:

  1. Inicie o guia estratégico quando o incidente for criado. As entidades representadas no incidente são armazenadas nos campos dinâmicos do gatilho de incidente.

  2. Configure o guia estratégico para enviar uma mensagem para seu canal de comunicação de operações de segurança, como no Microsoft Teams ou Slack, para garantir que seus analistas de segurança estejam cientes do incidente.

  3. Configure o guia estratégico para enviar todas as informações do alerta por email para o administrador de rede sênior e o administrador de segurança. A mensagem de email inclui os botões de opção Bloquear e Ignorar usuário.

  4. Configure o guia estratégico para aguardar até que uma resposta seja recebida dos administradores e continue a executar.

  5. Se os administradores selecionarem Bloquear, configure o guia estratégico para enviar um comando ao firewall para bloquear o endereço IP no alerta e outro para a ID do Microsoft Entra para desabilitar o usuário.

Resposta imediata a ameaças com dependências humanas mínimas

Esta seção fornece dois exemplos, respondendo a ameaças de um usuário comprometido e de uma máquina comprometida.

No caso de um usuário comprometido, como descoberto pela Proteção de ID do Microsoft Entra:

  1. Inicie seu guia estratégico quando um novo incidente do Microsoft Sentinel for criado.

  2. Para cada entidade de usuário no incidente suspeita de comprometimento, configure o guia estratégico para:

    1. Envia uma mensagem do Teams para o usuário, solicitando confirmação de que o usuário realizou a ação suspeita.

    2. Verifica com o Microsoft Entra ID Protection para confirmar o status do usuário como vulnerável. A Proteção de ID do Microsoft Entra rotula o usuário como arriscado e aplica qualquer política de imposição já configurada – por exemplo, para exigir que o usuário use a MFA na próxima entrada.

    Observação

    Esta ação específica do Microsoft Entra não inicia nenhuma atividade corretiva no usuário, nem configura políticas de aplicação de medidas corretivas. Ele apenas informa ao Microsoft Entra ID Protection para aplicar as políticas já definidas, conforme apropriado. Qualquer aplicação de medidas depende totalmente das políticas apropriadas que estão sendo definidas no Microsoft Entra ID Protection.

No caso de um computador comprometido, como descoberto pelo Microsoft Defender para Ponto de Extremidade:

  1. Inicie seu guia estratégico quando um novo incidente do Microsoft Sentinel for criado.

  2. Configure seu guia estratégico com a ação Entidades - Obter Hosts para analisar as máquinas suspeitas incluídas nas entidades de incidente.

  3. Configure seu guia estratégico para emitir um comando para Microsoft Defender para Ponto de Extremidade para isolar os computadores no alerta.

Responda manualmente durante uma investigação ou durante a busca sem sair do contexto

Use o gatilho de entidade para tomar medidas imediatas em agentes de ameaças individuais que você descobrir durante uma investigação, um de cada vez, diretamente de dentro de sua investigação. Essa opção também está disponível no contexto de busca de ameaças, não relacionada a qualquer incidente específico.

Selecione uma entidade no contexto e execute ações nela ali mesmo, economizando tempo e reduzindo a complexidade.

Os guias estratégicos com gatilhos de entidade dão suporte a ações como:

  • Bloquear um usuário comprometido.
  • Bloquear o tráfego de um endereço IP mal-intencionado no firewall.
  • Isolar um host comprometido em sua rede.
  • Adicionar um endereço IP a uma lista de controle de endereços seguros/não seguros ou ao seu banco de dados de gerenciamento de configuração externo (CMDB).
  • Obter um relatório de hash de arquivo de uma fonte de inteligência contra ameaças externas e adicioná-lo a um incidente como comentário.

Esta seção lista os guias estratégicos recomendados e outros guias estratégicos semelhantes estão disponíveis para você no hub de conteúdo ou no repositório GitHub do Microsoft Sentinel.

Modelos de guia estratégico de notificação

Os Guias estratégicos de notificação são disparados quando um alerta ou incidente é criado e enviam uma notificação ao destino configurado:

Manual A pasta se encontra em
Repositório GitHub
Solução no Hub de conteúdo/
Azure Marketplace
Postar uma mensagem em um canal do Microsoft Teams Post-Message-Teams Solução Sentinel SOAR Essentials
Enviar uma notificação de email do Outlook Send-basic-email Solução Sentinel SOAR Essentials
Postar uma mensagem em um canal do Slack Post-Message-Slack Solução Sentinel SOAR Essentials
Enviar cartão adaptáveis do Microsoft Teams na criação do incidente Send-Teams-adaptive-card-on-incident-creation Solução Sentinel SOAR Essentials

Bloqueando modelos de guia estratégico

Os guias estratégicos de bloqueio são disparados quando um alerta ou incidente é criado, coletam informações de entidade, como conta, endereço IP e host, e as bloqueiam de outras ações:

Manual A pasta se encontra em
Repositório GitHub
Solução no Hub de conteúdo/
Azure Marketplace
Bloquear um endereço IP no Firewall do Azure AzureFirewall-BlockIP-addNewRule Solução de Firewall do Azure para Sentinel
Bloquear um usuário do Microsoft Entra Block-AADUser Solução do Microsoft Entra
Redefinir uma senha de usuário do Microsoft Entra Reset-AADUserPassword Solução do Microsoft Entra
Isolar ou cancelar o isolamento de um dispositivo usando
Microsoft Defender para ponto de extremidade
Isolate-MDEMachine
Unisolate-MDEMachine
Solução do Microsoft Defender para Ponto de Extremidade

Criar, atualizar ou fechar modelos de guia estratégico

Criar, atualizar ou fechar guias estratégicos pode criar, atualizar ou fechar incidentes no Microsoft Sentinel, nos serviços de segurança do Microsoft 365 ou em outros sistemas de tíquetes:

Manual A pasta se encontra em
Repositório GitHub
Solução no Hub de conteúdo/
Azure Marketplace
Criar um incidente usando o Microsoft Forms CreateIncident-MicrosoftForms Solução do Sentinel SOAR Essentials
Relacionar alertas a incidentes relateAlertsToIncident-basedOnIP Solução do Sentinel SOAR Essentials
Criar um incidente de serviço agora Criar registro SNOW Solução ServiceNow

Configurações de guia estratégico comumente usadas

Esta seção fornece capturas de tela de exemplo para configurações de guia estratégico comumente usadas, incluindo atualização de um incidente, uso de detalhes do incidente, adição de comentários a um incidente ou desativação de um usuário.

Atualizar um incidente

Esta seção fornece capturas de tela de exemplo de como você pode usar um guia estratégico para atualizar um incidente com base em um novo incidente ou alerta.

Atualize um incidente com base em um novo incidente (gatilho de incidente):

Captura de tela de um gatilho de incidente, exemplo de fluxo de atualização simples.

Atualizar um incidente com base em um novo alerta (gatilho de alerta):

Captura de tela de um gatilho de alerta exemplo de fluxo de incidente de atualização simples.

Usar detalhes do incidente em seu fluxo

Esta seção fornece capturas de tela de exemplo de como você pode usar seu guia estratégico para usar detalhes de incidentes em outro lugar em seu fluxo:

Envie detalhes do incidente por e-mail, usando um guia estratégico acionado por um novo incidente:

Captura de tela de um gatilho de incidente exemplo simples de fluxo de obtenção.

Envie detalhes do incidente por e-mail, usando um guia estratégico disparado por um novo alerta:

Captura de tela de um gatilho de alerta exemplo simples de fluxo de incidente.

Adicionar um comentário a um incidente

Esta seção fornece capturas de tela de exemplo de como você pode usar seu guia estratégico para adicionar comentários a um incidente:

Adicione um comentário a um incidente, usando um guia estratégico disparado por um novo incidente:

Captura de tela de um gatilho de incidente exemplo simples de adicionar comentário.

Adicione um comentário a um incidente, usando um guia estratégico disparado por um novo alerta:

Captura de tela de um gatilho de alerta simples adicionar exemplo de comentário.

Desabilitar um usuário

A captura de tela a seguir mostra um exemplo de como você pode usar seu guia estratégico para desabilitar uma conta de usuário, com base em um gatilho de entidade do Microsoft Sentinel:

Captura de tela mostrando ações a serem executadas em um guia estratégico de gatilho de entidade para desabilitar um usuário.