Relacionar alertas a incidentes no Microsoft Sentinel

  • Artigo

Este artigo mostra como relacionar alertas a seus incidentes no Microsoft Sentinel. Esse recurso permite que você adicione alertas de forma manual ou automática ou remova-os de incidentes existentes como parte de seus processos de investigação, refinando o escopo do incidente à medida que a investigação se desdobra.

Importante

A expansão de incidentes está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Expandir o escopo e a potência de seus incidentes

Uma das coisas que esse recurso permite que você faça é incluir alertas de uma fonte de dados em incidentes gerados por outra fonte de dados. Por exemplo, você pode adicionar alertas do Microsoft Defender para Nuvem ou de várias fontes de dados de terceiros a incidentes importados para o Microsoft Sentinel do Microsoft Defender XDR.

Esse recurso é integrado à versão mais recente da API do Microsoft Sentinel, o que significa que ele está disponível para o conector de Aplicativos Lógicos do Microsoft Sentinel. Portanto, você pode usar guias estratégicos para adicionar automaticamente um alerta a um incidente se determinadas condições forem atendidas.

Você também pode usar esta automação para adicionar alertas a incidentes criados manualmente, para criar correlações personalizadas ou para definir critérios personalizados para agrupar os alertas em incidentes quando eles são criados.

Limitações

  • O Microsoft Sentinel importa alertas e incidentes do Microsoft Defender XDR. Na maioria das vezes, você pode tratar esses alertas e incidentes como alertas e incidentes regulares do Microsoft Sentinel.

    No entanto, você só pode adicionar alertas do Defender a incidentes do Defender (ou removê-los) no portal do Defender, não no portal do Sentinel. Se tentar fazer isso no Microsoft Sentinel, uma mensagem de erro será exibida. Você pode dinamizar para o incidente no Portal do Microsoft Defender usando o link no incidente do Microsoft Sentinel. Mas não se preocupe, todas as alterações feitas no incidente no Portal do Microsoft Defender são sincronizadas com o incidente correspondente no Microsoft Sentinel. Dessa forma, você continuará visualizando os alertas adicionados ao incidente no portal do Sentinel.

    Você pode adicionar alertas do Microsoft Defender XDR a incidentes e alertas que não são do Defende a incidentes do Defender no portal do Microsoft Sentinel.

  • Se você integrou o Microsoft Sentinel ao portal unificado de operações de segurança, não poderá mais adicionar ou remover alertas do Microsoft Sentinel de incidentes diretamente no Microsoft Sentinel, através do portal do Azure. Você só poderá fazer isso no portal do Microsoft Defender. Para mais informações, confira Diferenças de capacidade entre portais.

  • Um incidente pode conter no máximo 150 alertas. Se você tentar adicionar um alerta a um incidente com 150 alertas, uma mensagem de erro será exibida.

Adicionar alertas usando a linha do tempo da entidade (Pré-visualização)

A linha do tempo da entidade, conforme apresentado na nova experiência de incidentes (agora em pré-visualização), apresenta todas as entidades em uma investigação de um determinado incidente. Quando uma entidade da lista é selecionada, uma página de entidade em miniatura é exibida em um painel lateral.

  1. No menu de navegação do Microsoft Azure Sentinel, selecione Incidentes.

    Captura de tela da fila de novos incidentes exibida em uma grade.

  2. Selecione um incidente para investigar. No painel de detalhes de incidente, selecione Exibição de detalhes completos.

  3. Na página incidente, selecione a guia Entidades.

    Captura de tela da guia de entidades na página de incidente.

  4. Selecione uma entidade na lista.

  5. No painel lateral da página da entidade, selecione o cartão Linha do tempo.

    Captura de tela do cartão da linha do tempo da entidade na guia entidades da página de incidentes.

  6. Selecione um alerta externo para o incidente em aberto. Estes são indicados por um ícone de escudo esmaecido e uma faixa de cores de linha pontilhada que representa a gravidade. Selecione o ícone do sinal de adição na extremidade direita desse alerta.

    Captura de tela da aparência do alerta externo na linha do tempo da entidade.

  7. Confirme a adição do alerta ao incidente selecionando OK. Você receberá uma notificação confirmando a adição do alerta ao incidente ou explicando por que ele não foi adicionado. Captura de tela da adição de um alerta a um incidente na linha do tempo da entidade.

Você verá que o alerta adicionado agora aparece no widget da Linha do tempo do incidente aberto na guia Visão geral, com um ícone de escudo colorido e uma faixa de cor de linha sólida como qualquer outro alerta no incidente.

O alerta adicionado é agora uma parte completa do incidente, e quaisquer entidades no alerta adicionado (que ainda não faziam parte do incidente) também se tornaram parte do incidente. Agora você pode explorar essas linhas do tempo dessas entidades para seus outros alertas que agora são elegíveis para serem adicionados ao incidente.

Remover um alerta de um incidente

Os alertas acrescentados a um incidente—manual ou automaticamente—também podem ser removidos de um incidente.

  1. No menu de navegação do Microsoft Azure Sentinel, selecione Incidentes.

  2. Selecione um incidente para investigar. No painel de detalhes de incidente, selecione Exibição de detalhes completos.

  3. Na guia Visão geral, no widget da Linha do tempo do incidente, selecione os três pontos ao lado de um alerta que você deseja remover do incidente. A partir do menu pop-up, selecione Remover alerta.

    Captura de tela que mostra como remover um alerta de um incidente na linha do tempo do incidente.

Adicionar alertas usando o grafo de investigação

O grafo de investigação é uma ferramenta visual e intuitiva que apresenta conexões e padrões e permite que seus analistas façam as perguntas certas e sigam os clientes potenciais. Você pode usá-lo para adicionar alertas e removê-los de seus incidentes, ampliando ou restringindo o escopo de sua investigação.

  1. No menu de navegação do Microsoft Azure Sentinel, selecione Incidentes.

    Captura de tela da fila de incidentes exibida em uma grade.

  2. Selecione um incidente para investigar. No painel de detalhes do incidente, selecione o botão Ações e escolha Investigar no menu pop-up. Isso abrirá o grafo de investigação.

    Captura de tela de incidentes com alertas no grafo de investigação.

  3. Passe o mouse sobre qualquer entidade para revelar a lista de consultas de exploração ao seu lado. Selecione Alertas relacionados.

    Captura de tela de consultas de exploração de alertas no grafo de investigação.

    Os alertas relacionados irão aparecer conectados à entidade por linhas pontilhadas.

    Captura de tela de alertas relacionados que aparecem no grafo de investigação.

  4. Passe o mouse sobre um dos alertas relacionados até que um menu seja exibido ao seu lado. Selecione Adicionar alerta ao incidente (versão prévia).

    Captura de tela da adição de um alerta a um incidente no grafo de investigação.

  5. O alerta é adicionado ao incidente e, para todos os fins, faz parte do incidente, juntamente com todas as suas entidades e detalhes. Você verá duas representações visuais disso:

    • A linha que a conecta à entidade no grafo de investigação foi alterada de pontilhada para sólida, e as conexões com entidades no alerta adicionado foram adicionadas ao grafo.

      Captura de tela que mostra um alerta adicionado a um incidente.

    • O alerta agora aparece na linha do tempo deste incidente, juntamente com os alertas que já estavam lá.

      Captura de tela que mostra um alerta adicionado à linha do tempo de um incidente.

Situações especiais

Ao adicionar um alerta a um incidente, dependendo das circunstâncias, você pode ser solicitado a confirmar sua solicitação ou escolher entre opções diferentes. Veja a seguir alguns exemplos dessas situações, as escolhas que você será solicitado a fazer e suas implicações.

  • O alerta que você deseja adicionar já pertence a outro incidente.

    Nesse caso, será exibida uma mensagem informando que o alerta faz parte de outro incidente e perguntado se você deseja continuar. Selecione OK para adicionar o alerta ou Cancelar para manter as configurações.

    Adicionar o alerta a este incidente não o removerá de outros incidentes. Os alertas podem estar relacionados a mais de um incidente. Se desejar, você pode remover o alerta manualmente dos outros incidentes seguindo os links no prompt de mensagem acima.

  • O alerta que você deseja adicionar pertence a outro incidente e é o único alerta no outro incidente.

    Isso é diferente do caso acima, pois se o alerta estiver sozinho no outro incidente, rastreá-lo neste incidente pode tornar o outro incidente irrelevante. Nesse caso, você verá esta caixa de diálogo:

    Captura de tela perguntando se deseja manter ou fechar outro incidente.

    • Manter outro incidente preserva o outro incidente como está, ao mesmo tempo em que adiciona o alerta a este.

    • Fechar outro incidente adiciona o alerta a este incidente e fecha o outro incidente, acrescentando o motivo de fechamento "Indeterminado" e o comentário "O alerta foi adicionado a outro incidente" com o número do incidente aberto.

    • Cancelar mantém o status quo. Ele não faz nenhuma alteração no incidente aberto ou em qualquer outro incidente referenciado.

    A opção escolhida depende de suas necessidades específicas; não fazemos uma recomendação específica.

Adicionar/remover alertas usando guias estratégicos

A adição e remoção de alertas a incidentes também estão disponíveis como ações de Aplicativos Lógicos no conector do Microsoft Sentinel e, portanto, nos guias estratégicos do Microsoft Sentinel. Você precisa fornecer a ID do ARM do incidente e a ID de alerta do sistema como parâmetros e encontrá-los no esquema de guia estratégico para os gatilhos de alerta e incidente.

O Microsoft Sentinel fornece um modelo de guia estratégico de exemplo na galeria de modelos, que mostra como trabalhar com essa funcionalidade:

Captura de tela do modelo de guia estratégico para relacionar alertas a incidentes.

Veja como a ação Adicionar alerta ao incidente (versão prévia) é usada neste guia estratégico, como um exemplo de como você pode usá-la em outro local:

Captura de tela da adição de um alerta a um incidente usando uma ação do guia estratégico.

Adicionar/remover alertas usando a API

Você não está limitado ao portal para usar esse recurso. Ele também pode ser acessado com a API do Microsoft Sentinel, pelo grupo de operações de relações com incidentes. Ele permite que você obtenha, crie, atualize e exclua relações entre alertas e incidentes.

Criar uma relação

Você adiciona um alerta a um incidente criando uma relação entre eles. Use o ponto de extremidade a seguir para adicionar um alerta a um incidente existente. Depois que essa solicitação for feita, o alerta se juntará ao incidente e ficará visível na lista de alertas no incidente no portal.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Um corpo de solicitação de exemplo é semelhante a:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

Excluir uma relação

Você remove um alerta de um incidente excluindo a relação entre eles. Use o ponto de extremidade a seguir para remover um alerta de um incidente existente. Depois que essa solicitação for feita, o alerta não ficará mais conectado ou aparecerá no incidente.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Listar relações de alerta

Você também pode listar todos os alertas relacionados a um incidente específico, com este ponto de extremidade e solicitação:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Códigos de erro específicos

A documentação geral da API lista os códigos de resposta esperados para as operações Criar, Excluir e Listar mencionadas acima. Os códigos de erro são mencionados apenas como uma categoria geral. Veja abaixo os possíveis códigos de erro específicos e mensagens listadas na categoria "Outros Códigos de Status":

Código Mensagem
400 Solicitação Inválida Falha ao criar a relação. O tipo de relação diferente com o nome {relationName} já existe no incidente {incidentIdentifier}.
400 Solicitação Inválida Falha ao criar a relação. O alerta {systemAlertId} já existe no incidente {incidentIdentifier}.
400 Solicitação Inválida Falha ao criar a relação. O recurso e o incidente relacionados devem pertencer ao mesmo workspace.
400 Solicitação Inválida Falha ao criar a relação. Os alertas do Microsoft Defender XDR não podem ser adicionados a incidentes do Microsoft Defender XDR.
400 Solicitação Inválida Falha ao excluir a relação. Os alertas do Microsoft Defender XDR não podem ser removidos de incidentes do Microsoft Defender XDR.
404 Não encontrado O recurso '{systemAlertId}' não existe.
404 Não encontrado O incidente não existe.
409 Conflito Falha ao criar a relação. A relação com o nome {relationName} já existe no incidente {incidentIdentifier} para um alerta diferente {systemAlertId}.

Próximas etapas

Neste artigo, você aprendeu a adicionar alertas a incidentes e removê-los usando a API e o portal do Microsoft Sentinel. Para obter mais informações, consulte: