Compartilhar via

Criar e executar tarefas de incidente no Microsoft Sentinel usando guias estratégicos

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como usar guias estratégicos para criar e, opcionalmente, executar tarefas de incidente para gerenciar processos complexos de fluxos de trabalho de analista no Microsoft Sentinel.

Use a ação Adicionar tarefa em um guia estratégico (no conector do Microsoft Sentinel) para adicionar automaticamente uma tarefa ao incidente que disparou o guia estratégico. Há suporte para fluxos de trabalho Standard e de Consumo.

Dica

As tarefas de incidente podem ser criadas automaticamente por guias estratégicos e por regras de automação, além de manualmente, de maneira ad hoc, dentro de um incidente.

Para obter mais informações, confira Usar tarefas para gerenciar incidentes no Microsoft Sentinel.

Pré-requisitos

  • A função Respondente do Microsoft Sentinel é necessária para exibir e editar incidentes, o que é necessário para adicionar, exibir e editar tarefas.

  • A função Colaborador dos Aplicativos Lógicos é necessária para criar e editar guias estratégicos.

Para obter mais informações, confira Pré-requisitos de guia estratégico do Microsoft Sentinel.

Usar um guia estratégico para adicionar uma tarefa e executá-la

Esta seção apresenta um exemplo de procedimento para adicionar uma ação de guia estratégico que faz o seguinte:

  • Adiciona uma tarefa ao incidente, redefinindo a senha de um usuário comprometido
  • Adiciona outra ação de guia estratégico para enviar um sinal ao AADIP (Microsoft Entra ID Protection) para, de fato, redefinir a senha
  • Adiciona uma ação final de guia estratégico para marcar a tarefa no incidente como concluída.

Para incluir e configurar essas ações, siga estas etapas:

  1. No conector do Microsoft Sentinel, adicione a ação Adicionar tarefa ao incidente e, depois:

    1. Selecione o item de conteúdo dinâmico ID do ARM do incidente no campo ID do ARM do incidente.

    2. Insira Redefinir senha do usuário como Título.

    3. Adicione uma descrição opcional.

    Por exemplo:

    Captura de tela mostrando as ações de guia estratégico para adicionar uma tarefa a fim de redefinir a senha de um usuário.

  2. Adicione a ação Entidades – Obter contas (Versão Prévia). Adicione o item de conteúdo dinâmico Entidades (por meio do esquema de incidente do Microsoft Sentinel) ao campo da lista “Entidades”. Por exemplo:

    Captura de tela mostrando as ações de guia estratégico para obter as entidades da conta no incidente.

  3. Adicione um loop For each da biblioteca de ações de Controle. Adicione o item de conteúdo dinâmico Contas da saída Entidades – Obter contas ao campo Selecionar uma saída das etapas anteriores. Por exemplo:

    Captura de tela mostrando como adicionar uma ação de loop for-each a um guia estratégico para executar uma ação em cada conta descoberta.

  4. No loop For each, selecione Adicionar uma ação. Em seguida:

    1. Procure e selecione o conector do Microsoft Entra ID Protection
    2. Escolha a ação Confirmar um usuário suspeito como comprometido (versão prévia).
    3. Adicione o item de conteúdo dinâmico ID de usuário do Microsoft Entra de contas ao campo Item userIds – 1.

    Essa ação inicia os processos no Microsoft Entra ID Protection para redefinir a senha do usuário.

    Captura de tela mostrando o envio de entidades ao AADIP para confirmar o comprometimento.

    Observação

    O campo ID de usuário do Microsoft Entra de contas é uma forma de identificar um usuário no AADIP. Isso é somente um exemplo, e pode não ser o método indicado para todos os cenários.

    Para obter assistência, confira outros guias estratégicos que lidam com usuários comprometidos ou a documentação do Microsoft Entra ID Protection.

  5. Adicione a ação Marcar uma tarefa como concluída no conector do Microsoft Sentinel e adicione o item de conteúdo dinâmico ID da tarefa do incidente ao campo ID do ARM da tarefa. Por exemplo:

    Captura de tela mostrando como adicionar uma ação de guia estratégico para marcar a conclusão de uma tarefa de incidente.

Usar um guia estratégico para adicionar uma tarefa condicionalmente

Esta seção apresenta um exemplo de procedimento para adicionar uma ação de guia estratégico que procura um endereço IP que aparece em um incidente.

  • Se os resultados da pesquisa indicarem que o endereço IP é mal-intencionado, o guia estratégico criará uma tarefa para que o analista desabilite o usuário que está usando esse endereço IP.
  • Se o endereço IP não for um endereço mal-intencionado conhecido, o guia estratégico criará uma tarefa diferente para que o analista entre em contato com o usuário, a fim de verificar a atividade.

Para incluir e configurar essas ações, siga estas etapas:

  1. No conector do Microsoft Sentinel, adicione a ação Entidades – Obter IPs. Adicione o item de conteúdo dinâmico Entidades (por meio do esquema de incidente do Microsoft Sentinel) ao campo da lista “Entidades”. Por exemplo:

    Captura de tela mostrando as ações de guia estratégico para obter as entidades de endereço IP no incidente.

  2. Adicione um loop For each da biblioteca de ações de Controle. Adicione o item de conteúdo dinâmico IPs da saída Entidades – Obter IPs ao campo Selecionar uma saída das etapas anteriores. Por exemplo:

    Captura de tela mostrando como adicionar uma ação de loop for-each a um guia estratégico para executar uma ação em cada endereço IP descoberto.

  3. Dentro do loop For each, selecione Adicionar uma ação e, em seguida:

    1. Procure e escolha o conector Total de Vírus.
    2. Selecione a ação Obter um relatório de IP (versão prévia).
    3. Adicione o item de conteúdo dinâmico Endereço de IPs da saída Entidades – Obter IPs ao campo Endereço IP.

    Por exemplo:

    Captura de tela mostrando o envio de uma solicitação ao Virus Total para o relatório de endereço IP.

  4. Dentro do loop For each, selecione Adicionar uma ação e, em seguida:

    1. Adicione uma Condição da biblioteca de ações de Controle.
    2. Adicione o item de conteúdo dinâmico Estatísticas da última análise de Mal-intencionado na saída Obter um relatório de IP. Talvez seja necessário selecionar Ver mais para encontrá-lo.
    3. Selecione o operador é maior que e insira 0 como o valor.

    Essa condição faz a pergunta "O relatório de IPs do Virus Total teve algum resultado?" Por exemplo:

    Captura de tela mostrando como definir uma condição verdadeiro-falso em um guia estratégico.

  5. Dentro da opção True, escolha Adicionar uma ação e depois:

    1. Selecione a ação Adicionar a tarefa ao incidente no conector do Microsoft Sentinel.
    2. Selecione o item de conteúdo dinâmico ID do ARM do incidente no campo ID do ARM do incidente.
    3. Insira Marcar usuário como comprometido como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    Captura de tela mostrando as ações de guia estratégico para adicionar uma tarefa a fim de marcar um usuário como comprometido.

  6. Dentro da opção False, selecione Adicionar uma ação e:

    1. Selecione a ação Adicionar a tarefa ao incidente no conector do Microsoft Sentinel.
    2. Selecione o item de conteúdo dinâmico ID do ARM do incidente no campo ID do ARM do incidente.
    3. Insira Entrar em contato com o usuário para confirmar a atividade como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    Captura de tela mostrando as ações de guia estratégico para adicionar uma tarefa a fim de que o usuário confirme a atividade.

Conteúdo relacionado

Para obter mais informações, consulte: