Casos de uso, modelos e exemplos recomendados do playbook
Este artigo lista exemplos de casos de uso para guias estratégicos do Microsoft Sentinel, bem como guias estratégicos de exemplo e modelos de guia estratégico recomendados.
Casos de uso recomendados do playbook
É recomendável começar com os guias estratégicos do Microsoft Sentinel para os seguintes cenários de SOC, para os quais fornecemos modelos de guia estratégico prontos para uso.
Enriquecimento: colete e anexe dados a um incidente para tomar decisões mais inteligentes
Se o incidente do Microsoft Sentinel for criado a partir de uma regra de alerta e análise que gera entidades de endereço IP, configure o incidente para disparar uma regra de automação para executar um guia estratégico e coletar mais informações.
Configure seu guia estratégico com as seguintes etapas:
Inicie o guia estratégico quando o incidente for criado. As entidades representadas no incidente são armazenadas nos campos dinâmicos do gatilho de incidente.
Para cada endereço IP, configure o guia estratégico para consultar um provedor externo de Inteligência contra Ameaças, como o Virus Total, para recuperar mais dados.
Adicione os dados e insights retornados como comentários do incidente para enriquecer sua investigação.
Sincronização bidirecional para incidentes do Microsoft Sentinel com outros sistemas de tíquetes
Para sincronizar seus dados de incidentes do Microsoft Sentinel com um sistema de tíquetes, como o ServiceNow:
Crie uma regra de automação para toda a criação de incidentes.
Anexe um guia estratégico que é disparado quando um novo incidente é criado.
Configure o guia estratégico para criar um novo tíquete no ServiceNow usando o conector do ServiceNow.
Certifique-se de que suas equipes possam pular facilmente do tíquete do ServiceNow de volta para o incidente do Microsoft Sentinel configurando o guia estratégico para incluir o nome do incidente, campos importantes e uma URL para o incidente do Microsoft Sentinel no tíquete do ServiceNow.
Orquestração: controle a fila de incidentes da sua plataforma de bate-papo SOC
Se o incidente do Microsoft Sentinel for criado a partir de uma regra de alerta e análise que gera entidades de nome de usuário e endereço IP, configure o incidente para disparar uma regra de automação para executar um guia estratégico e entrar em contato com sua equipe por meio de seus canais de comunicação padrão.
Configure seu guia estratégico com as seguintes etapas:
Inicie o guia estratégico quando o incidente for criado. As entidades representadas no incidente são armazenadas nos campos dinâmicos do gatilho de incidente.
Configure o guia estratégico para enviar uma mensagem para seu canal de comunicação de operações de segurança, como no Microsoft Teams ou Slack, para garantir que seus analistas de segurança estejam cientes do incidente.
Configure o guia estratégico para enviar todas as informações do alerta por email para o administrador de rede sênior e o administrador de segurança. A mensagem de email inclui os botões de opção Bloquear e Ignorar usuário.
Configure o guia estratégico para aguardar até que uma resposta seja recebida dos administradores e continue a executar.
Se os administradores selecionarem Bloquear, configure o guia estratégico para enviar um comando ao firewall para bloquear o endereço IP no alerta e outro para a ID do Microsoft Entra para desabilitar o usuário.
Resposta imediata a ameaças com dependências humanas mínimas
Esta seção fornece dois exemplos, respondendo a ameaças de um usuário comprometido e de uma máquina comprometida.
No caso de um usuário comprometido, como descoberto pela Proteção de ID do Microsoft Entra:
Inicie seu guia estratégico quando um novo incidente do Microsoft Sentinel for criado.
Para cada entidade de usuário no incidente suspeita de comprometimento, configure o guia estratégico para:
Envia uma mensagem do Teams para o usuário, solicitando confirmação de que o usuário realizou a ação suspeita.
Verifica com o Microsoft Entra ID Protection para confirmar o status do usuário como vulnerável. A Proteção de ID do Microsoft Entra rotula o usuário como arriscado e aplica qualquer política de imposição já configurada – por exemplo, para exigir que o usuário use a MFA na próxima entrada.
Observação
Esta ação específica do Microsoft Entra não inicia nenhuma atividade corretiva no usuário, nem configura políticas de aplicação de medidas corretivas. Ele apenas informa ao Microsoft Entra ID Protection para aplicar as políticas já definidas, conforme apropriado. Qualquer aplicação de medidas depende totalmente das políticas apropriadas que estão sendo definidas no Microsoft Entra ID Protection.
No caso de um computador comprometido, como descoberto pelo Microsoft Defender para Ponto de Extremidade:
Inicie seu guia estratégico quando um novo incidente do Microsoft Sentinel for criado.
Configure seu guia estratégico com a ação Entidades - Obter Hosts para analisar as máquinas suspeitas incluídas nas entidades de incidente.
Configure seu guia estratégico para emitir um comando para Microsoft Defender para Ponto de Extremidade para isolar os computadores no alerta.
Responda manualmente durante uma investigação ou durante a busca sem sair do contexto
Use o gatilho de entidade para tomar medidas imediatas em agentes de ameaças individuais que você descobrir durante uma investigação, um de cada vez, diretamente de dentro de sua investigação. Essa opção também está disponível no contexto de busca de ameaças, não relacionada a qualquer incidente específico.
Selecione uma entidade no contexto e execute ações nela ali mesmo, economizando tempo e reduzindo a complexidade.
Os guias estratégicos com gatilhos de entidade dão suporte a ações como:
- Bloquear um usuário comprometido.
- Bloquear o tráfego de um endereço IP mal-intencionado no firewall.
- Isolar um host comprometido em sua rede.
- Adicionar um endereço IP a uma lista de controle de endereços seguros/não seguros ou ao seu banco de dados de gerenciamento de configuração externo (CMDB).
- Obter um relatório de hash de arquivo de uma fonte de inteligência contra ameaças externas e adicioná-lo a um incidente como comentário.
Modelos de guia estratégico recomendados
Esta seção lista os guias estratégicos recomendados e outros guias estratégicos semelhantes estão disponíveis para você no hub de conteúdo ou no repositório GitHub do Microsoft Sentinel.
Modelos de guia estratégico de notificação
Os Guias estratégicos de notificação são disparados quando um alerta ou incidente é criado e enviam uma notificação ao destino configurado:
| Manual | A pasta se encontra em Repositório GitHub |
Solução no Hub de conteúdo/ Azure Marketplace |
|---|---|---|
| Postar uma mensagem em um canal do Microsoft Teams | Post-Message-Teams | Solução Sentinel SOAR Essentials |
| Enviar uma notificação de email do Outlook | Send-basic-email | Solução Sentinel SOAR Essentials |
| Postar uma mensagem em um canal do Slack | Post-Message-Slack | Solução Sentinel SOAR Essentials |
| Enviar cartão adaptáveis do Microsoft Teams na criação do incidente | Send-Teams-adaptive-card-on-incident-creation | Solução Sentinel SOAR Essentials |
Bloqueando modelos de guia estratégico
Os guias estratégicos de bloqueio são disparados quando um alerta ou incidente é criado, coletam informações de entidade, como conta, endereço IP e host, e as bloqueiam de outras ações:
| Manual | A pasta se encontra em Repositório GitHub |
Solução no Hub de conteúdo/ Azure Marketplace |
|---|---|---|
| Bloquear um endereço IP no Firewall do Azure | AzureFirewall-BlockIP-addNewRule | Solução de Firewall do Azure para Sentinel |
| Bloquear um usuário do Microsoft Entra | Block-AADUser | Solução do Microsoft Entra |
| Redefinir uma senha de usuário do Microsoft Entra | Reset-AADUserPassword | Solução do Microsoft Entra |
| Isolar ou cancelar o isolamento de um dispositivo usando Microsoft Defender para ponto de extremidade |
Isolate-MDEMachine Unisolate-MDEMachine |
Solução do Microsoft Defender para Ponto de Extremidade |
Criar, atualizar ou fechar modelos de guia estratégico
Criar, atualizar ou fechar guias estratégicos pode criar, atualizar ou fechar incidentes no Microsoft Sentinel, nos serviços de segurança do Microsoft 365 ou em outros sistemas de tíquetes:
| Manual | A pasta se encontra em Repositório GitHub |
Solução no Hub de conteúdo/ Azure Marketplace |
|---|---|---|
| Criar um incidente usando o Microsoft Forms | CreateIncident-MicrosoftForms | Solução do Sentinel SOAR Essentials |
| Relacionar alertas a incidentes | relateAlertsToIncident-basedOnIP | Solução do Sentinel SOAR Essentials |
| Criar um incidente de serviço agora | Criar registro SNOW | Solução ServiceNow |
Configurações de guia estratégico comumente usadas
Esta seção fornece capturas de tela de exemplo para configurações de guia estratégico comumente usadas, incluindo atualização de um incidente, uso de detalhes do incidente, adição de comentários a um incidente ou desativação de um usuário.
Atualizar um incidente
Esta seção fornece capturas de tela de exemplo de como você pode usar um guia estratégico para atualizar um incidente com base em um novo incidente ou alerta.
Atualize um incidente com base em um novo incidente (gatilho de incidente):
Atualizar um incidente com base em um novo alerta (gatilho de alerta):
Usar detalhes do incidente em seu fluxo
Esta seção fornece capturas de tela de exemplo de como você pode usar seu guia estratégico para usar detalhes de incidentes em outro lugar em seu fluxo:
Envie detalhes do incidente por e-mail, usando um guia estratégico acionado por um novo incidente:
Envie detalhes do incidente por e-mail, usando um guia estratégico disparado por um novo alerta:
Adicionar um comentário a um incidente
Esta seção fornece capturas de tela de exemplo de como você pode usar seu guia estratégico para adicionar comentários a um incidente:
Adicione um comentário a um incidente, usando um guia estratégico disparado por um novo incidente:
Adicione um comentário a um incidente, usando um guia estratégico disparado por um novo alerta:
Desabilitar um usuário
A captura de tela a seguir mostra um exemplo de como você pode usar seu guia estratégico para desabilitar uma conta de usuário, com base em um gatilho de entidade do Microsoft Sentinel:
