Criar e usar regras de automação no Microsoft Sentinel para gerenciar a resposta

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como criar e usar regras de automação no Microsoft Sentinel para gerenciar e orquestrar a resposta a ameaças, a fim de maximizar a eficiência e a eficácia.

Neste artigo, você aprenderá a definir os gatilhos e as condições que determinarão quando a regra de automação será executada, as várias ações que você pode executar e os recursos e funcionalidades restantes.

Importante

Os recursos observados das regras de automação estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Projetar sua regra de automação

Antes de criar sua regra de automação, recomendamos que você determine seu escopo e design, incluindo o gatilho, as condições e as ações que comporão sua regra.

Determinar o escopo

A primeira etapa para projetar e definir sua regra de automação é descobrir a quais incidentes ou alertas você deseja aplicá-la. Essa determinação afetará diretamente a forma como você cria a regra.

Você também deve determinar o seu caso de uso. O que você está tentando alcançar com essa automação? Considere as seguintes opções:

• Crie tarefas para que seus analistas sigam na triagem, na investigação e na correção de incidentes.
• Suprimir incidentes barulhentos. (Como alternativa, use outros métodos para lidar com falsos positivos no Microsoft Sentinel.)
• Faça a triagem de novos incidentes alterando o status deles de Novo para Ativo e atribuindo um proprietário.
• Marcar incidentes para classificá-los.
• Escalonar um incidente atribuindo um novo proprietário.
• Feche os incidentes resolvidos, especificando um motivo e adicionando comentários.
• Analise o conteúdo do incidente (alertas, entidades e outras propriedades) e execute outras ações chamando um guia estratégico.
• Resolva ou responda a um alerta sem um incidente associado.

Determinar o gatilho

Deseja que essa automação seja ativada quando novos incidentes ou alertas forem criados? Também há a opção de fazer isso sempre que um incidente é atualizado.

As regras de automação são disparadas quando um incidente é criado ou atualizado ou quando um alerta é criado. Lembre-se de que esses incidentes incluem alertas e que alertas e incidentes podem ser criados por regras de análise, das quais há vários tipos, conforme explicado em Detectar ameaças com regras de análise internas no Microsoft Sentinel.

A tabela a seguir mostra as diferentes cenários possíveis que farão com que uma regra de automação seja executada.

Tipo de gatilho	Eventos que fazem com que a regra seja executada
Quando o incidente é criado	Plataforma unificada de operações de segurança no Microsoft Defender: Um novo incidente é criado no portal do Microsoft Defender. Microsoft Sentinel não integrado à plataforma unificada: Um novo incidente é criado por uma regra de análise. Um incidente é ingerido por meio do Microsoft Defender XDR. Um incidente é criado manualmente.
Quando o incidente é atualizado	O status do incidente é alterado (fechado/reaberto/selecionado). O proprietário do incidente é atribuído ou alterado. A gravidade de um incidente é aumentada ou reduzida. Alertas são adicionados ao incidente. Comentários, marcas ou táticas são adicionados ao incidente.
Quando o alerta é criado	Um alerta é criado por uma regra de análise do Microsoft Sentinel Agendada ou NRT.

Criar sua regra de automação

A maioria das instruções a seguir se aplicam a todos os casos de uso para os quais você criará regras de automação.

Se você estiver procurando suprimir incidentes barulhentos, tente lidar com falsos positivos.

Se você quiser criar uma regra de automação para aplicar a uma regra de análise específica, confira Definir respostas automatizadas e criar a regra.

Para criar sua regra de automação:

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.

2. Na página Automação, no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e escolha Regra de automação.

   Portal do Azure

   

   Portal do Defender

   

3. O painel Criar regra de automação é aberto. No campo Nome da regra de automação, insira um nome para sua regra.

Escolher seu gatilho

A parir da lista suspensa Gatilho Selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação—Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.

Definir condições

Use as opções na área Condições para definir condições para sua regra de automação.

• As regras criadas para quando um alerta é criado dão suporte apenas à propriedade Se analisar o nome da regra em sua condição. Selecione se deseja que a regra seja inclusiva (Contém) ou exclusiva (Não contém) e selecione o nome da regra de análise na lista suspensa.

  Os valores de nome de regra de análise incluem apenas regras de análise e não incluem outros tipos de regras, como inteligência contra ameaças ou regras de anomalias.

• As regras criadas para quando um incidente é criado ou atualizado dão suporte a uma grande variedade de condições, dependendo do seu ambiente. Essas opções começam com se o workspace está integrado à plataforma de operações de segurança unificada:

  Workspaces integrados

  Se o workspace estiver integrado à plataforma de operações de segurança unificada, comece selecionando um dos seguintes operadores, no portal do Azure ou do Defender:

  • AND: condições individuais que são avaliadas como um grupo. A regra será executada se todas as condições desse tipo forem atendidas.

    Para trabalhar com o operador AND, selecione o expansor + Adicionar e escolha Condição (And) na lista suspensa. A lista de condições é preenchida pelos campos propriedade do incidente e propriedade da entidade.

  • OR (também conhecido como grupos de condições): grupos de condições, cada um deles avaliados de forma independente. A regra será executada se um ou mais grupos de condições forem verdadeiros. Para saber como trabalhar com esses tipos complexos de condições, confira Adicionar condições avançadas a regras de automação.

  Por exemplo:

  

  Workspaces não integrados

  Se o workspace não estiver integrado à plataforma unificada de operações de segurança, comece definindo as seguintes propriedades de condição:

  • Provedor de incidentes: os incidentes podem ter duas fontes possíveis: eles podem ser criados dentro do Microsoft Sentinel e também podem ser importados e sincronizados com o Microsoft Defender XDR.

    Se você selecionou um dos gatilhos de incidentes e quer que a regra de automação tenha efeito somente sobre incidentes criados no Microsoft Sentinel ou, alternativamente, apenas sobre aqueles importados do Microsoft Defender XDR, especifique a origem na condição Se o provedor de incidentes é o mesmo. (Essa condição será exibida somente se um gatilho de incidente for selecionado).

  • Nome da regra de análise: para todos os tipos de gatilho, se você quiser que a regra de automação tenha efeito somente sobre determinadas regras de análise, especifique as regras modificando a condição Se o nome da regra de análise contiver. (Essa condição não será exibida se o Microsoft Defender XDR for selecionado como o provedor de incidentes).

  Em seguida, continue selecionando um dos seguintes operadores:

  • AND: condições individuais que são avaliadas como um grupo. A regra será executada se todas as condições desse tipo forem atendidas.

    Para trabalhar com o operador AND, selecione o expansor + Adicionar e escolha Condição (And) na lista suspensa. A lista de condições é preenchida pelos campos propriedade do incidente e propriedade da entidade.

  • OR (também conhecido como grupos de condições): grupos de condições, cada um deles avaliados de forma independente. A regra será executada se um ou mais grupos de condições forem verdadeiros. Para saber como trabalhar com esses tipos complexos de condições, confira Adicionar condições avançadas a regras de automação.

  Por exemplo:

  

  Se você selecionou Quando um incidente é atualizado como o gatilho, comece definindo suas condições e adicionando operadores e valores adicionais, conforme necessário.

Para definir suas condições:

1. Selecione uma propriedade na primeira caixa suspensa, à esquerda. Você pode começar a digitar qualquer parte do nome de uma propriedade na caixa de pesquisa para filtrar dinamicamente a lista e encontrar o que está procurando rapidamente.

   

2. Selecione um operador na próxima caixa suspensa, à direita.

   A lista de operadores dentre os quais você pode escolher varia de acordo com o gatilho e a propriedade selecionados.

   Condições disponíveis com o gatilho de criação

   Propriedade	Conjunto de operadores
   - Título - Descrição – Todas as propriedades de entidade listadas	- Igual a/Não igual a - Contém/Não contém - Começa com/Não começa com - Termina com/Não termina com
   - Marca (Confira individual versus coleção)	Qualquer marca individual: - Igual a/Não igual a - Contém/Não contém - Começa com/Não começa com - Termina com/Não termina com Coleção de todas as marcas: - Contém/Não contém
   - Gravidade - Status - Chave de detalhes personalizada	- Igual a/Não igual a
   - Táticas - Nomes de produtos de alerta - Valor de detalhes personalizados - Nomes de regra de análise	- Contém/Não contém

   Condições disponíveis com o gatilho de atualização

   Propriedade	Conjunto de operadores
   - Título - Descrição – Todas as propriedades de entidade listadas	- Igual a/Não igual a - Contém/Não contém - Começa com/Não começa com - Termina com/Não termina com
   - Marca (Confira individual versus coleção)	Qualquer marca individual: - Igual a/Não igual a - Contém/Não contém - Começa com/Não começa com - Termina com/Não termina com Coleção de todas as marcas: - Contém/Não contém
   - Marca (além da marca acima) - Alertas - Comentários	- Adicionado
   - Gravidade - Status	- Igual a/Não igual a - Alterado - Alterado de - Alterado para
   - Proprietário	- Alterado
   - Atualizado por - Chave de detalhes personalizada	- Igual a/Não igual a
   - Táticas	- Contém/Não contém - Adicionado
   - Nomes de produtos de alerta - Valor de detalhes personalizados - Nomes de regra de análise	- Contém/Não contém

   Condições disponíveis com o gatilho de alerta

   A única condição que pode ser avaliada por regras com base no gatilho de criação de alerta é qual regra de análise do Microsoft Sentinel criou o alerta.

   As regras de automação com base no gatilho de alerta, portanto, só serão executadas em alertas criados pelo Microsoft Sentinel.

3. Insira um valor no campo à direita. Dependendo da propriedade escolhida, isso pode ser uma caixa de texto ou uma lista suspensa na qual você seleciona em uma lista de valores fechada. Você também pode adicionar vários valores selecionando o ícone de dado à direita da caixa de texto.

   

Novamente, para definir condições OR complexas com campos diferentes, confira Adicionar condições avançadas a regras de automação.

Condições baseadas em marcas

Você pode criar dois tipos de condições baseadas em marcas:

• As condições com operadores Qualquer marca individual avaliam o valor especificado em relação a cada marca da coleção. A avaliação é verdadeira quando pelo menos uma marca atender à condição.
• As condições com operadores Coleção de todas as marcas avaliam o valor especificado em relação à coleção de marcas como uma única unidade. A avaliação será verdadeira somente se a coleção como um todo atender à condição.

Para adicionar uma dessas condições com base nas marcas de um incidente, execute as seguintes etapas:

1. Crie uma regra de automação conforme descrito acima.

2. Adicione uma condição ou um grupo de condições.

3. Selecione Marca na lista suspensa de propriedades.

4. Selecione a lista suspensa de operadores para revelar os operadores disponíveis para escolher.

   Workspaces integrados

   

   Workspaces não integrados

   

   Veja como os operadores são divididos em duas categorias, conforme descrito anteriormente. Escolha seu operador cuidadosamente com base em como você deseja que as marcas sejam avaliadas.

   Para obter mais informações, confira a propriedade Marca: individual versus coleção.

Condições com base em detalhes personalizados

Você pode definir o valor de um detalhe personalizado revelado em um incidente como condição de uma regra de automação. Lembre-se de que os detalhes personalizados são pontos de dados em registros em log de eventos brutos que podem ser exibidos em alertas e nos incidentes gerados com base neles. Use detalhes personalizados para obter o conteúdo realmente relevante em seus alertas sem precisar examinar os resultados da consulta.

Para adicionar uma condição com base em um detalhe personalizado:

1. Crie uma nova regra de automação conforme descrito anteriormente.

2. Adicione uma condição ou um grupo de condições.

3. Selecione Chave de detalhes personalizados a partir da lista suspensa de propriedades. Selecione Equivalentes ou Não equivalentes na lista suspensa de operadores.

   Para a condição de detalhes personalizados, os valores na última lista suspensa são provenientes dos detalhes personalizados exibidos em todas as regras de análise listadas na primeira condição. Selecione o detalhe personalizado que será usado como condição.

   

4. Você escolheu o campo que deseja avaliar para essa condição. Agora, especifique o valor exibido nesse campo que faz com que essa condição seja avaliada como verdadeira.
   Selecione + Adicionar condição de item.

   

   A linha de condição de valor aparece abaixo.

   

5. Selecione Contém ou Não contém na lista suspensa de operadores. Na caixa de texto à direita, insira o valor para o qual você deseja que a condição seja avaliada como verdadeira.

   

Neste exemplo, se o incidente tiver o detalhe personalizado DestinationEmail e o valor desse detalhe for pwned@bad-botnet.com, as ações definidas na regra de automação serão executadas.

Adicionar ações

Escolha as ações que você deseja que essa regra de automação execute. As ações disponíveis incluem Atribuir proprietário, Alterar status, Alterar severidade, Adicionar marcas e Executar guia estratégico. Você pode adicionar quantas ações desejar.

Observação

Somente a ação Executar guia estratégico está disponível nas regras de automação usando o gatilho de alerta.

Para qualquer ação que você escolher, preencha os campos que aparecem para essa ação de conforme o que você deseja fazer.

Se você adicionar uma ação Executar guia estratégico, precisará escolher uma opção na lista suspensa de guias estratégicos disponíveis.

• Somente guias estratégicos que começam com o gatilho de incidente podem ser executados por meio de regras de automação usando um dos gatilhos de incidente, portanto, somente eles aparecerão na lista. Da mesma forma, somente os guias estratégicos que começam com o gatilho de alerta estão disponíveis nas regras de automação usando o gatilho de alerta.

• O Microsoft Sentinel precisa receber permissões explícitas para executar guias estratégicos. Se um guia estratégico aparecer "esmaecido" na lista suspensa, significará que o Sentinel não tem permissão para o grupo de recursos desse guia estratégico. Clique no link Gerenciar permissões do guia estratégico para atribuir permissões.

  No painel Gerenciar permissões que é aberto, marque as caixas de seleção dos grupos de recursos que contêm os guias estratégicos que você deseja executar e selecione Aplicar.

  Você precisa ter permissões de proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e precisa ter a função de Colaborador de Automação do Microsoft Sentinel no grupo de recursos que tiver guias estratégicos que você deseja executar.

• Se você ainda não tiver um guia estratégico que executará a ação que você tem em mente, crie outro guia estratégico. Você precisará sair do processo de criação de regra de automação e reiniciá-lo após criar seu guia estratégico.

Movimentação de ações

Você pode alterar a ordem das ações em sua regra mesmo após adicioná-las. Selecione as setas azul para cima ou para baixo ao lado de cada ação para movê-la um degrau para cima ou para baixo.

Concluir a criação da sua regra

1. Em Expiração da regra, se desejar que sua regra de automação expire, defina uma data de validade (e, opcionalmente, um horário). Caso contrário, deixe como Indefinido.

2. O campo Ordem é preenchido previamente com o próximo número disponível do tipo de gatilho da regra. Esse número determina onde, na sequência de regras de automação (do mesmo tipo de gatilho), essa regra será executada. Você pode alterar o número se quiser que esta regra seja executada antes de uma regra existente.

   Confira Notas sobre a ordem e a prioridade de execução para obter mais informações.

3. Escolha Aplicar. Pronto!

Auditar atividade da regra de automação

Descubra o que as regras de automação podem ter feito a um determinado incidente. Você tem um registro completo de crônicas de incidentes disponíveis para você na tabela SecurityIncident na página Registros no portal do Azure ou na página Busca avançada de ameaças no portal do Defender. Use a seguinte consulta para ver todas as atividades da regra de automação:

SecurityIncident
| where ModifiedBy contains "Automation"

Execução das regras de automação

As regras de automação são executadas em sequência, de acordo com a ordem que você determina. Cada regra de automação é executada após a conclusão da execução da anterior. Em uma regra de automação, todas as ações são executadas sequencialmente na ordem em que são definidas. Confira Notas sobre a ordem e a prioridade de execução para obter mais informações.

As ações do guia estratégico em uma regra de automação podem ser tratadas de forma diferente em algumas circunstâncias, de acordo com os seguintes critérios:

Tempo de execução do guia estratégico	A regra de automação avança para a próxima ação…
Menos de um segundo	Imediatamente após a conclusão do guia estratégico
Menos de dois minutos	Até dois minutos após o guia estratégico começar a ser executado, Mas não mais do que 10 segundos após a conclusão do guia estratégico
Mais de dois minutos	Dois minutos após o guia estratégico começar a ser executado, independentemente de estar ou não concluído

Próximas etapas

Neste documento, você aprendeu a usar regras de automação para gerenciar a automação de resposta de maneira centralizada para incidentes e alertas do Microsoft Sentinel.

• Para saber como adicionar condições avançadas com operadores OR às regras de automação, confira Adicionar condições avançadas às regras de automação do Microsoft Sentinel.
• Para saber mais sobre regras de automação, confira Automatizar o tratamento de incidentes no Microsoft Sentinel com regras de automação
• Para saber mais sobre opções de automação avançadas, veja Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
• Para saber como usar regras de automação a fim de adicionar tarefas a incidentes, confira Criar tarefas de incidentes no Microsoft Sentinel usando regras de automação.
• Para migrar os guias estratégicos de gatilho de alerta a serem invocados por regras de automação, confira Migrar os guias estratégicos de gatilho de alerta do Microsoft Sentinel para as regras de automação
• Para obter ajuda com a implementação de regras de automação e guias estratégicos, veja Tutorial: Usar guias estratégicos para automatizar respostas a ameaças no Microsoft Sentinel.