Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As equipas de gestão de informações e eventos de segurança (SIEM) e do centro de operações de segurança (SOC) são normalmente inundadas com alertas de segurança e incidentes regularmente, em volumes tão grandes que o pessoal disponível está sobrecarregado. Isto resulta demasiadas vezes em situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
Microsoft Sentinel, além de ser um sistema SIEM, é também uma plataforma de orquestração, automatização e resposta de segurança (SOAR). Uma das suas principais finalidades é automatizar qualquer melhoramento recorrente e previsível, resposta e tarefas de remediação que são da responsabilidade do seu centro de operações de segurança e do seu pessoal (SOC/SecOps), libertando tempo e recursos para uma investigação mais aprofundada e procura de ameaças avançadas.
Este artigo descreve as capacidades SOAR do Microsoft Sentinel e mostra como a utilização de regras de automatização e manuais de procedimentos em resposta a ameaças de segurança aumenta a eficácia do SOC e poupa tempo e recursos.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Regras de automatização
Microsoft Sentinel utiliza regras de automatização para permitir que os utilizadores giram a automatização do processamento de incidentes a partir de uma localização central. Utilizar regras de automatização para:
- Atribuir automatização mais avançada a incidentes e alertas com manuais de procedimentos
- Etiquetar, atribuir ou fechar incidentes automaticamente sem um manual de procedimentos
- Automatizar respostas para várias regras de análise ao mesmo tempo
- Criar listas de tarefas para os seus analistas realizarem ao triagem, investigação e remediação de incidentes
- Controlar a ordem das ações executadas
Recomendamos que aplique regras de automatização quando os incidentes são criados ou atualizados para simplificar ainda mais a automatização e simplificar fluxos de trabalho complexos para os seus processos de orquestração de incidentes.
Para obter mais informações, veja Automatizar a resposta a ameaças em Microsoft Sentinel com regras de automatização.
Manuais de procedimentos
Um manual de procedimentos é uma coleção de ações de resposta e remediação e lógica que pode ser executada a partir de Microsoft Sentinel como uma rotina. Um manual de procedimentos pode:
- Ajudar a automatizar e orquestrar a sua resposta a ameaças
- Integrar noutros sistemas, tanto internos como externos
- Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos ou executar manualmente a pedido, como em resposta a novos alertas
No Microsoft Sentinel, os manuais de procedimentos baseiam-se em fluxos de trabalho incorporados no Azure Logic Apps, um serviço cloud que o ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Isto significa que os manuais de procedimentos podem tirar partido de todo o poder e personalização das capacidades de integração e orquestração do Logic Apps e ferramentas de design fáceis de utilizar e da escalabilidade, fiabilidade e nível de serviço de um serviço de Azure de Camada 1.
Para obter mais informações, veja Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel.
Automatização no portal do Microsoft Defender
Tenha em atenção os seguintes detalhes sobre como funciona a automatização para Microsoft Sentinel no portal do Defender. Se for um cliente existente que está em transição do portal do Azure para o portal do Defender, poderá ter em atenção as diferenças na forma como a automatização funciona na área de trabalho após a integração no portal do Defender.
| Funcionalidade | Descrição |
|---|---|
| Regras de automatização com acionadores de alerta | No portal do Defender, as regras de automatização com acionadores de alertas atuam apenas em alertas de Microsoft Sentinel. Para obter mais informações, veja Acionador de criação de alertas. |
| Regras de automatização com acionadores de incidentes | Tanto no portal do Azure como no portal do Defender, a propriedade Condição do fornecedor de incidentes é removida, uma vez que todos os incidentes têm o Microsoft XDR como fornecedor de incidentes (o valor no campo ProviderName). Nessa altura, todas as regras de automatização existentes são executadas em incidentes de Microsoft Sentinel e Microsoft Defender XDR, incluindo aqueles em que a condição do Fornecedor de incidentes está definida como apenas Microsoft Sentinel ou o Microsoft 365 Defender. No entanto, as regras de automatização que especificam um nome de regra de análise específico são executadas apenas em incidentes que contenham alertas criados pela regra de análise especificada. Isto significa que pode definir a propriedade Da condição de nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar a sua regra a ser executada em incidentes apenas no Microsoft Sentinel. Além disso, depois de integrar no portal do Defender, a tabela SecurityIncident já não inclui um campo Descrição . Por conseguinte: - Se estiver a utilizar este campo Descrição como uma condição para uma regra de automatização com um acionador de criação de incidentes, essa regra de automatização não funcionará após a integração no portal do Defender. Nestes casos, certifique-se de que atualiza a configuração adequadamente. Para obter mais informações, veja Condições do acionador de incidentes. - Se tiver uma integração configurada com um sistema de pedidos de suporte externo, como ServiceNow, a descrição do incidente estará em falta. |
| Latência nos acionadores do manual de procedimentos | Poderá demorar até 5 minutos para que Microsoft Defender incidentes apareçam no Microsoft Sentinel. Se este atraso estiver presente, o acionamento do manual de procedimentos também está atrasado. |
| Alterações aos nomes de incidentes existentes | O portal do Defender utiliza um motor exclusivo para correlacionar incidentes e alertas. Ao integrar a área de trabalho no portal do Defender, os nomes de incidentes existentes poderão ser alterados se a correlação for aplicada. Para garantir que as regras de automatização são sempre executadas corretamente, recomendamos que evite utilizar títulos de incidentes como critérios de condição nas regras de automatização e sugira, em vez disso, que utilize o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e etiquetas se for necessária mais especificação. |
| Atualizado por campo | Para obter mais informações, veja Acionador de atualização de incidentes. |
| Criar regras de automatização diretamente a partir de um incidente | A criação de regras de automatização diretamente a partir de um incidente só é suportada no portal do Azure. Se estiver a trabalhar no portal do Defender, crie as regras de automatização de raiz a partir da página Automatização . |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas no portal do Defender. Para obter mais informações, veja Microsoft Defender XDR incidentes e regras de criação de incidentes da Microsoft. |
| Executar regras de automatização a partir do portal do Defender | Pode demorar até 10 minutos a partir do momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automatização é executada. Este atraso de tempo deve-se ao facto de o incidente ser criado no portal do Defender e, em seguida, reencaminhado para Microsoft Sentinel para a regra de automatização. |
| Separador Manuais de procedimentos ativos | Após a integração no portal do Defender, por predefinição, o separador Manuais de procedimentos ativos mostra um filtro predefinido com a subscrição da área de trabalho integrada. Na portal do Azure, adicione dados para outras subscrições com o filtro de subscrição. Para obter mais informações, veja Criar e personalizar Microsoft Sentinel manuais de procedimentos a partir de modelos. |
| Executar manuais de procedimentos manualmente a pedido | Os seguintes procedimentos não são atualmente suportados no portal do Defender: |
| A execução de manuais de procedimentos em incidentes requer Microsoft Sentinel sincronização | Se tentar executar um manual de procedimentos num incidente a partir do portal do Defender e vir a mensagem "Não é possível aceder a dados relacionados com esta ação. Atualize o ecrã dentro de alguns minutos". Isto significa que o incidente ainda não está sincronizado com Microsoft Sentinel. Atualize a página do incidente após o incidente ser sincronizado para executar o manual de procedimentos com êxito. |
|
Incidentes: Adicionar alertas a incidentes/ Remover alertas de incidentes |
Uma vez que adicionar alertas ou remover alertas de incidentes não é suportado depois de integrar a área de trabalho no portal do Defender, estas ações também não são suportadas a partir de manuais de procedimentos. Para obter mais informações, veja Compreender como os alertas estão correlacionados e os incidentes são intercalados no portal do Defender. |
| Microsoft Defender XDR integração em várias áreas de trabalho | Se integrou dados XDR com mais do que uma área de trabalho num único inquilino, os dados serão agora ingeridos apenas na área de trabalho primária no portal do Defender. Transfira regras de automatização para a área de trabalho relevante para mantê-las em execução. |
| Automatização e o motor de Correlação | O motor de correlação pode combinar alertas de vários sinais num único incidente, o que pode resultar na receção de dados de automatização que não antecipou. Recomendamos que reveja as regras de automatização para garantir que está a ver os resultados esperados. |