Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os centros de operações de segurança (SOCs) enfrentam um fluxo constante de alertas e incidentes de segurança. Geri-los de forma eficiente é fundamental para manter a segurança da sua organização forte. Os manuais do Microsoft Sentinel são fluxos de trabalho automatizados que o ajudam a responder a ameaças de forma rápida e consistente. Este artigo mostra como usar manuais no Microsoft Sentinel para automatizar a resposta a ameaças, reduzir o esforço manual e permitir que sua equipe se concentre em investigações mais profundas.
Use os playbooks do Microsoft Sentinel para executar conjuntos pré-configurados de ações de correção e automatizar e orquestrar sua resposta a ameaças. Execute automaticamente os playbooks em resposta a alertas e incidentes específicos que acionam uma regra de automação configurada, ou execute-os manualmente para uma entidade ou alerta específica.
Por exemplo, se uma conta e uma máquina forem comprometidas, um manual pode isolar automaticamente a máquina da rede e bloquear a conta antes que a equipe SOC seja notificada do incidente.
Nota
Como os playbooks usam as Aplicações Lógicas do Azure, podem aplicar-se taxas adicionais. Vá para a página de preços dos Aplicativos Lógicos do Azure para obter mais detalhes.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.
Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.
Casos de uso recomendados
A tabela a seguir lista casos de uso comuns em que os manuais do Microsoft Sentinel ajudam a automatizar a resposta a ameaças:
| Caso de utilização | Descrição |
|---|---|
| Melhoramento | Colete dados e anexe-os a um incidente para que sua equipe possa tomar melhores decisões. |
| Sincronização bidirecional | Sincronize incidentes do Microsoft Sentinel com outros sistemas de emissão de tíquetes. Por exemplo, crie uma regra de automação para todos os novos incidentes e anexe um playbook que abra um ticket no ServiceNow. |
| Orquestração | Use a plataforma de chat da equipe SOC para gerenciar a fila de incidentes. Por exemplo, envie uma mensagem para seu canal de operações de segurança no Microsoft Teams ou no Slack para que seus analistas de segurança saibam sobre o incidente. |
| Resposta | Responda às ameaças imediatamente com o mínimo envolvimento humano, como quando um usuário ou máquina comprometidos é detetado. Ou acione manualmente etapas automatizadas durante uma investigação ou durante a caça. |
Para obter mais informações, consulte Casos de uso, modelos e exemplos recomendados de playbook.
Pré-requisitos
Você precisa das seguintes funções para usar os Aplicativos Lógicos do Azure para criar e executar playbooks no Microsoft Sentinel.
| Função | Descrição |
|---|---|
| Proprietário | Permite conceder acesso a playbooks no grupo de recursos. |
| Colaborador do Microsoft Sentinel | Permite anexar um manual a uma regra de análise ou automação. |
| Respondente do Microsoft Sentinel | Permite que você acesse um incidente para executar um playbook manualmente, mas não permite que você execute o playbook. |
| Operador do Microsoft Sentinel Playbook | Permite executar um playbook manualmente. |
| Colaborador do Microsoft Sentinel Automation | Permite que as regras de automação executem playbooks. Esta função não é usada para qualquer outra finalidade. |
A tabela a seguir descreve as funções necessárias com base na seleção de um aplicativo lógico Consumo ou Padrão para criar seu playbook:
| Aplicação lógica | Funções do Azure | Descrição |
|---|---|---|
| Consumo | Colaborador do Aplicativo Lógico | Edite e gerencie aplicativos lógicos. Execute playbooks. Não permite que você conceda acesso a playbooks. |
| Consumo | Operador de aplicativo lógico | Leia, habilite e desabilite aplicativos lógicos. Não permite editar ou atualizar aplicativos lógicos. |
| Standard | Operador padrão de aplicativos lógicos | Habilite, reenvie e desabilite fluxos de trabalho em um aplicativo lógico. |
| Standard | Desenvolvedor Logic Apps Standard | Crie e edite aplicativos lógicos. |
| Standard | Contribuidor padrão de aplicativos lógicos | Gerencie todos os aspetos de um aplicativo lógico. |
A guia Playbooks ativos na página Automação exibe todos os playbooks ativos disponíveis em todas as assinaturas selecionadas. Por padrão, um playbook só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do playbook.
Permissões extras necessárias para o Microsoft Sentinel executar playbooks
O Microsoft Sentinel usa uma conta de serviço para executar playbooks sobre incidentes, adicionar segurança e habilitar a API de regras de automação para dar suporte a casos de uso de CI/CD. Essa conta de serviço é usada para playbooks acionados por incidentes ou quando você executa um playbook manualmente em um incidente específico.
Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos em que o manual reside, na forma da função de Colaborador de Automação do Microsoft Sentinel. Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer manual no grupo de recursos relevante, manualmente ou a partir de uma regra de automação.
Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de administrador de acesso de Proprietário ou Usuário . Para executar os playbooks, você também precisará da função Colaborador do Aplicativo Lógico no grupo de recursos que contém os playbooks que deseja executar.
Modelos de playbook (pré-visualização)
Importante
Os modelos de Playbook estão atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Os modelos de playbook são fluxos de trabalho pré-criados, testados e prontos para uso que não podem ser usados como playbooks em si, mas estão prontos para você personalizar para atender às suas necessidades. Também recomendamos que você use modelos de playbook como referência de práticas recomendadas ao desenvolver playbooks do zero ou como inspiração para novos cenários de automação.
Obtenha modelos de guia destas fontes:
| Localização | Descrição |
|---|---|
| Página de automação do Microsoft Sentinel | A guia Modelos de Playbook mostra todos os playbooks instalados. Crie um ou mais playbooks ativos usando o mesmo modelo. Quando uma nova versão de um modelo é publicada, todos os playbooks ativos criados a partir desse modelo recebem um rótulo extra na aba Playbooks ativos para indicar que uma atualização está disponível. |
| Página do hub de conteúdo do Microsoft Sentinel | Os modelos de playbook fazem parte de soluções de produtos ou conteúdo autônomo que você instala a partir do hub de conteúdo. Para mais informações, consulte: Sobre o conteúdo e as soluções do Microsoft Sentinel Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel |
| GitHub | O repositório GitHub do Microsoft Sentinel tem muitos outros modelos de playbook. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure. |
Um modelo de playbook é um modelo do Azure Resource Manager (ARM) que inclui vários recursos: um fluxo de trabalho do Azure Logic Apps e conexões de API para cada conexão envolvida.
Para obter mais informações, consulte:
- Crie e personalize playbooks do Microsoft Sentinel a partir de modelos de conteúdo
- Modelos de playbook recomendados
- Manuais das Aplicações Lógicas do Azure para Microsoft Sentinel
Criação de Playbook e fluxo de trabalho de uso
Siga estes passos para criar e executar playbooks do Microsoft Sentinel:
Defina seu cenário de automação. Analise os casos de uso dos playbooks recomendados e os modelos de playbook para começar.
Se você não estiver usando um modelo, crie seu playbook e crie seu aplicativo lógico. Para obter mais informações, consulte Criar e gerenciar playbooks do Microsoft Sentinel.
Teste seu aplicativo lógico executando-o manualmente. Para obter mais informações, consulte Executar um manual manualmente, sob demanda.
Configure seu playbook para ser executado automaticamente quando um novo alerta ou incidente for criado, ou execute-o manualmente conforme necessário para seu processo. Para obter mais informações, consulte Responder a ameaças com os playbooks do Microsoft Sentinel.