Orquestração, automação e resposta de segurança (SOAR) no Microsoft Sentinel
Este artigo descreve os recursos SOAR (Security Orchestration, Automation and Response) do Microsoft Sentinel e mostra como o uso de regras e playbooks de automação em resposta a ameaças à segurança aumenta a eficácia do SOC e economiza tempo e recursos.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Microsoft Sentinel como solução SOAR
O problema
As equipes SIEM/SOC normalmente são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que o pessoal disponível fica sobrecarregado. Isso resulta muitas vezes em situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
A solução
O Microsoft Sentinel, além de ser um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM), também é uma plataforma para Orquestração, Automação e Resposta de Segurança (SOAR). Um dos seus principais objetivos é automatizar quaisquer tarefas recorrentes e previsíveis de enriquecimento, resposta e correção que sejam da responsabilidade do seu Centro de Operações de Segurança e do seu pessoal (SOC/SecOps), libertando tempo e recursos para uma investigação mais aprofundada e a procura de ameaças avançadas. A automação assume algumas formas diferentes no Microsoft Sentinel, desde regras de automação que gerenciam centralmente a automação do tratamento e resposta a incidentes, até playbooks que executam sequências predeterminadas de ações para fornecer automação avançada poderosa e flexível para suas tarefas de resposta a ameaças.
Regras de automatização
As regras de automação permitem que os usuários gerenciem centralmente a automação do tratamento de incidentes. Além de permitir que você atribua playbooks a incidentes e alertas, as regras de automação também permitem automatizar respostas para várias regras de análise de uma só vez, marcar, atribuir ou fechar incidentes automaticamente sem a necessidade de playbooks, criar listas de tarefas para seus analistas executarem ao triar, investigar e remediar incidentes e controlar a ordem das ações que são executadas. As regras de automação também permitem aplicar automações quando um incidente é atualizado, bem como quando ele é criado. Esse novo recurso simplificará ainda mais o uso da automação no Microsoft Sentinel e permitirá que você simplifique fluxos de trabalho complexos para seus processos de orquestração de incidentes.
Saiba mais com esta explicação completa das regras de automação.
Manuais de Procedimentos
Um manual é uma coleção de ações e lógicas de resposta e correção que podem ser executadas a partir do Microsoft Sentinel como rotina. Um manual pode ajudar a automatizar e orquestrar a sua resposta a ameaças, pode integrar-se com outros sistemas internos e externos e pode ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, quando acionados por uma regra de análise ou uma regra de automação, respetivamente. Ele também pode ser executado manualmente sob demanda, em resposta a alertas, a partir da página de incidentes.
Os playbooks no Microsoft Sentinel baseiam-se em fluxos de trabalho criados nas Aplicações Lógicas do Azure, um serviço na nuvem que o ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Isso significa que os playbooks podem aproveitar todo o poder e a capacidade de personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e das ferramentas de design fáceis de usar, além da escalabilidade, confiabilidade e nível de serviço de um serviço Azure de Nível 1.
Saiba mais com esta explicação completa dos playbooks.
Automação com a plataforma unificada de operações de segurança
Depois de integrar seu espaço de trabalho do Microsoft Sentinel à plataforma unificada de operações de segurança, observe as seguintes diferenças na maneira como a automação funciona em seu espaço de trabalho:
| Funcionalidade | Description |
|---|---|
| Regras de automação com gatilhos de alerta | Na plataforma unificada de operações de segurança, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para obter mais informações, consulte Alerta criar gatilho. |
| Regras de automação com gatilhos de incidentes | No portal do Azure e na plataforma unificada de operações de segurança, a propriedade de condição do provedor de incidentes é removida, pois todos os incidentes têm o Microsoft Defender XDR como o provedor de incidentes (o valor no campo ProviderName ). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do provedor de incidentes está definida apenas como Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico serão executadas somente nos incidentes criados pela regra de análise especificada. Isso significa que você pode definir a propriedade de condição do nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada em incidentes somente no Microsoft Sentinel. Para obter mais informações, consulte Condições de acionamento de incidente. |
| Alterações aos nomes de incidentes existentes | Na plataforma unificada de operações SOC, o portal Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho à plataforma unificada de operações SOC, os nomes de incidentes existentes podem ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes em suas regras de automação e sugira o uso de tags em vez disso. |
| Atualizado por campo | Para obter mais informações, consulte Gatilho de atualização de incidente. |
| Regras de automação que adicionam tarefas incidentes | Se uma regra de automação adicionar uma tarefa incidente, a tarefa será mostrada somente no portal do Azure. |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas na plataforma unificada de operações de segurança. Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft. |
| Executando regras de automação a partir do portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse intervalo de tempo ocorre porque o incidente é criado no portal do Defender e, em seguida, encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia Playbooks ativos | Após a integração à plataforma unificada de operações de segurança, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. Adicione dados para outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar playbooks do Microsoft Sentinel a partir de modelos de conteúdo. |
| Executando playbooks manualmente sob demanda | Atualmente, os seguintes procedimentos não são suportados na plataforma unificada de operações de segurança: |
| A execução de playbooks em incidentes requer a sincronização do Microsoft Sentinel | Se você tentar executar um manual sobre um incidente da plataforma unificada de operações de segurança e vir a mensagem "Não é possível acessar dados relacionados a esta ação. Atualize a tela em poucos minutos." significa que o incidente ainda não está sincronizado com o Microsoft Sentinel. Atualize a página do incidente depois que o incidente for sincronizado para executar o playbook com êxito. |
Próximos passos
Neste documento, você aprendeu como o Microsoft Sentinel usa a automação para ajudar seu SOC a operar de forma mais eficaz e eficiente.
- Para saber mais sobre a automação do tratamento de incidentes, consulte Automatizar o tratamento de incidentes no Microsoft Sentinel.
- Para saber mais sobre opções avançadas de automação, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
- Para começar a criar regras de automação, consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar incidentes
- Para obter ajuda com a implementação de automação avançada com playbooks, consulte Tutorial: Usar playbooks para automatizar respostas a ameaças no Microsoft Sentinel.