Usar tarefas para gerenciar incidentes no Microsoft Sentinel

Um dos fatores mais importantes para executar suas SecOps (operações de segurança) de maneira eficaz e eficiente é a padronização dos processos. Espera-se que os analistas de SecOps executem uma lista de etapas ou tarefas no processo de triagem, investigação ou correção de um incidente. Padronizar e formalizar a lista de tarefas pode ajudar a manter seu SOC funcionando corretamente, além de garantir que os mesmos requisitos se apliquem a todos os analistas. Dessa forma, independentemente de quem esteja no turno, uma ocorrência sempre terá o mesmo tratamento e os mesmos SLAs. Os analistas não precisarão perder tempo pensando no que fazer ou se preocupar em pular uma etapa crítica. Essas etapas são definidas pelo gerente do SOC ou por analistas seniores (camada 2/3) com base no conhecimento de segurança comum (como o NIST), em sua experiência com incidentes anteriores ou em recomendações fornecidas pelo fornecedor de segurança que detectou o incidente.

Casos de uso

• Seus analistas do SOC podem usar uma única lista de verificação central para lidar com os processos de triagem, investigação e resposta a incidentes, sem a preocupação de pular uma etapa crítica.

• Seus engenheiros do SOC ou os analistas seniores podem documentar, atualizar e alinhar os padrões de resposta a incidentes nas equipes e nos turnos dos analistas. Eles também podem criar listas de verificação de tarefas para treinar novos analistas ou analistas que encontram novos tipos de incidentes.

• Como gerente do SOC ou MSSP, é possível garantir que os incidentes sejam tratados de acordo com os SLAs/SOPs relevantes.

Pré-requisitos

A função de Respondente do Microsoft Sentinel é necessária para criar regras de automação e exibir e editar incidentes, que são necessários para adicionar, exibir e editar tarefas.

A função de Colaborador dos Aplicativos Lógicos é necessária para criar e editar guias estratégicos.

Cenários

Analista

Seguir as tarefas ao lidar com um incidente

Ao selecionar um incidente e Exibir todos os detalhes na página de detalhes dele, todas as tarefas adicionadas a ele, seja manualmente ou por meio de regras de automação, serão exibidas no painel direito.

Expanda uma tarefa para ver sua descrição completa, incluindo o usuário, a regra de automação ou o guia estratégico que a criou.

Marque uma tarefa como concluída selecionando o círculo "caixa de seleção" correspondente.

Adicionar tarefas a um incidente imediatamente

É possível adicionar tarefas a um incidente aberto no qual você está trabalhando, seja para criar lembretes sobre novas ações que serão necessárias ou para registrar as ações realizadas por você que não aparecem na lista de tarefas. As tarefas adicionadas dessa maneira serão aplicadas somente ao incidente aberto.

Criador de fluxo de trabalho

Adicionar tarefas a incidentes com regras de automação

Use a ação Adicionar tarefa nas regras de automação para fornecer automaticamente uma lista de verificação de tarefas para todos os incidentes a ser seguida por seus analistas. Defina a condição Nome da regra de análise na regra de automação a fim de determinar o escopo:

• Aplique a regra de automação a todas as regras de análise para definir um conjunto padrão de tarefas a serem aplicadas a todos os incidentes.

• Ao aplicar sua regra de automação a um conjunto limitado de regras de análise, é possível atribuir tarefas específicas a determinados incidentes, de acordo com as ameaças detectadas pela regra de análise ou pelas regras que geraram esses incidentes.

A ordem em que as tarefas aparecem no incidente é determinada pelo tempo de criação das tarefas. É possível definir a ordem das regras de automação para executar primeiro aquelas que adicionam tarefas necessárias para todos os incidentes e, somente depois, aquelas que adicionam tarefas necessárias para incidentes gerados por regras de análise específicas. Em uma única regra, a ordem em que as ações são definidas determina a ordem em que elas aparecem em um incidente.

Veja quais incidentes são cobertos por regras e tarefas de automação existentes antes de criar uma regra de automação.
Use o filtro Ação na lista Regras de automação para ver apenas as regras que adicionam tarefas a incidentes e veja a quais regras de análise essas regras de automação se aplicam para entender a quais incidentes essas tarefas serão adicionadas.

Adicionar tarefas a incidentes com guias estratégicos

Use a ação Adicionar tarefa em um guia estratégico (no conector do Microsoft Sentinel) para adicionar automaticamente uma tarefa ao incidente que disparou o guia estratégico.

Em seguida, use outras ações do guia estratégico, em seus respectivos conectores dos Aplicativos Lógicos, para concluir o conteúdo da tarefa.

Por fim, use a ação Marcar tarefa como concluída no conector do Microsoft Sentinel para marcar automaticamente a tarefa como concluída.

Considere os seguintes cenários como exemplos:

• Permitir que os guias estratégicos adicionem e concluam tarefas: quando um incidente é criado, ele dispara um guia estratégico que faz o seguinte:

  1. Adiciona uma tarefa ao incidente para redefinir a senha de um usuário.
  2. Executa a tarefa emitindo uma chamada de API para o sistema de provisionamento de usuários a fim de redefinir a senha do usuário.
  3. Aguarda uma resposta do sistema quanto ao sucesso ou a falha da redefinição.
     • Se a redefinição de senha for bem-sucedida, o guia estratégico marcará a tarefa que acabou de criar no incidente como concluída.
     • Se a redefinição de senha falhar, o guia estratégico não marcará a tarefa como concluída, deixando a execução para um analista.

• Permitir que o guia estratégico avalie se tarefas condicionais devem ser adicionadas: quando um incidente é criado, ele dispara um guia estratégico que solicita um relatório de endereço IP de uma fonte de inteligência contra ameaças externa.

  • Se o endereço IP for mal-intencionado, o guia estratégico adicionará uma determinada tarefa (por exemplo, "Bloquear este endereço IP").
  • Caso contrário, o guia estratégico não executará nenhuma outra ação.

Usar regras de automação ou guias estratégicos para adicionar tarefas?

Quais considerações devem ditar qual desses métodos deve ser usado para criar tarefas de incidente?

• Regras de automação: usar sempre que possível. Use para tarefas estáticas simples que não exigem interatividade.
• Guias estratégicos: use para casos de uso avançados; a criação de tarefas com base em condições ou de tarefas com ações automatizadas integradas.

Próximas etapas

• Saiba como os analistas podem usar tarefas para lidar com o fluxo de trabalho de incidentes no Microsoft Sentinel.
• Saiba como investigar incidentes no Microsoft Sentinel.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente usando regras de automação ou guias estratégicos.
• Saiba mais sobre as regras de automação e como criá-las.
• Saiba mais sobre os guias estratégicos e como criá-los.