Criar regras de automação
As regras de automação são uma maneira de gerenciar centralmente a automação do tratamento de incidentes, permitindo que você execute tarefas de automação simples sem usar guias estratégicos. Por exemplo, as regras de automação permitem atribuir automaticamente incidentes ao pessoal adequado, marcar incidentes para classificá-los e alterar o status dos incidentes e fechá-los. As regras de automação também podem automatizar respostas para várias regras de análise ao mesmo tempo, controlar a ordem das ações executadas e executar guias estratégicos para os casos em que tarefas de automação mais complexas são necessárias. Em resumo, as regras de automação facilitam o uso da automação no Microsoft Sentinel, permitindo simplificar fluxos de trabalho complexos para processos de orquestração de incidentes.
Criando e gerenciando regras de automação
Você pode criar e gerenciar regras de automação em diferentes pontos na experiência do Microsoft Sentinel dependendo da necessidade e do caso de uso específicos.
Folha de automação
As regras de automação podem ser gerenciadas centralmente na nova folha Automação (que substitui a folha Guias estratégicos), na guia Regras de automação (agora, você também pode gerenciar guias estratégicos nessa folha, na guia Guias estratégicos). Nela, você pode criar outras regras de automação e editar as existentes. Você também pode arrastar as regras de automação para alterar a ordem de execução e habilitá-las ou desabilitá-las.
Na folha Automação, você vê todas as regras definidas no workspace, bem como seu status (habilitado/desabilitado) e a quais regras de análise elas se aplicam.
Quando precisar de uma regra de automação que será aplicada a várias regras de análise, crie-a diretamente na folha Automação. No menu superior, selecione Criar e em Adicionar nova regra, o que abre o painel Criar regra de automação. Nele, você tem flexibilidade total na configuração da regra: você pode aplicá-la a qualquer regra de análise (incluindo regras futuras) e definir a maior variedade de condições e ações.
Assistente de regra de análise
Na guia Resposta automática do assistente de regra de análise, você pode ver, gerenciar e criar regras de automação que se aplicam à regra de análise específica que está sendo criada ou editada no assistente.
Ao selecionar Criar e em um dos tipos de regra (Regra de consulta agendada ou Regra de criação de incidentes da Microsoft) no menu superior da folha Análise, ou ao selecionar uma regra de análise existente e selecionar Editar, você abrirá o assistente de regra. Ao selecionar a guia Resposta automática, você verá uma seção chamada Automação de incidentes, na qual as regras de automação que se aplicam a essa regra serão exibidas. Você pode selecionar uma regra de automação existente para editar ou selecionar Adicionar nova para criar uma.
Você observará que, ao criar a regra de automação aqui, o painel Criar regra de automação vai mostrar a condição da regra de análise como indisponível, pois essa regra já estará definida para ser aplicada somente à regra de análise que você estiver editando no assistente. Todas as outras opções de configuração ainda estão disponíveis para você.
Folha de incidentes
Você também pode criar uma regra de automação na folha Incidentes para responder a um mesmo incidente recorrente. Isso é útil ao criar uma regra de supressão para fechar automaticamente incidentes "com ruído". Selecione um incidente na fila e selecione Criar regra de automação no menu superior.
Você observará que o painel Criar regra de automação preencheu todos os campos com valores do incidente. Ele dá à regra o mesmo nome que o incidente, aplica-a à regra de análise que gerou o incidente e usa todas as entidades disponíveis no incidente como condições da regra. Ele também sugere uma ação de supressão (fechamento) por padrão e sugere uma data de validade para a regra. Você pode adicionar ou remover condições e ações e alterar a data de validade conforme desejar.
Componentes de uma regra de automação
As regras de automação são constituídas por diversos componentes:
Gatilho: as regras de automação são disparadas pela criação de um incidente.
A revisar – os incidentes são criados com base em alertas das regras de análise, das quais há vários tipos, conforme explicado no tutorial Detectar ameaças com regras de análise internas no Microsoft Sentinel.
Conditions: conjuntos complexos de condições podem ser definidos para controlar quando as ações (veja abaixo) devem ser executadas. Normalmente, essas condições são baseadas nos estados ou nos valores dos atributos de incidentes e suas entidades, e podem incluir os operadores AND/OR/NOT/CONTAINS.
Ações: as ações podem ser definidas para serem executadas quando as condições (veja acima) forem atendidas. Você pode definir muitas ações em uma regra e pode escolher a ordem na qual elas serão executadas (veja abaixo). As ações a seguir podem ser definidas usando regras de automação, sem a necessidade da funcionalidade avançada de um guia estratégico:
Alterar o status de um incidente, mantendo o fluxo de trabalho atualizado.
Ao alterar para "fechado", especificar o motivo do fechamento e adicionar um comentário. Isso ajuda você a acompanhar o desempenho e a eficácia, bem como a ajustar para reduzir falsos positivos.
Alterar a severidade de um incidente: você pode reavaliar e alterar a prioridade com base na presença, na ausência, nos valores ou nos atributos das entidades envolvidas no incidente.
Atribuir um incidente a um proprietário: ajuda você a direcionar os tipos de incidentes à equipe mais adequada para lidar com eles ou à equipe mais disponível.
Adicionar uma marca a um incidente: é útil para classificar incidentes segundo o assunto, o invasor ou qualquer outro denominador comum.
Além disso, você pode definir uma ação para executar um guia estratégico, a fim de realizar ações de resposta mais complexas, incluindo qualquer uma que envolva sistemas externos. Somente guias estratégicos ativados pelo gatilho do incidente ficam disponíveis para serem usados em regras de automação. Você pode definir uma ação para incluir vários guias estratégicos ou combinações de guias estratégicos e outras ações, além da ordem em que eles serão executados.
Os guias estratégicos que usam qualquer versão dos Aplicativos Lógicos (Standard ou Consumo) estarão disponíveis para execução por meio de regras de automação.
Data de validade: você pode definir uma data de validade em uma regra de automação. A regra será desabilitada após essa data. Isso é útil para tratar (ou seja, fechar) incidentes de "ruído" causados por atividades planejadas e limitadas por tempo, como testes de penetração.
Pedido: você pode definir a ordem na qual as regras de automação serão executadas. Regras de automação posteriores avaliarão as condições do incidente de acordo com o estado dele após ter sido tratado pelas regras de automação anteriores.
Por exemplo, se a "primeira regra de automação" alterasse a severidade de um incidente de médio para baixo e a "segunda regra de automação" estivesse definida para ser executada somente em incidentes com severidade média ou mais alta, ela não seria executada nesse incidente.