Automação no Microsoft Sentinel: orquestração, automação e resposta de segurança (SOAR)
As equipes de gerenciamento de informações e eventos de segurança (SIEM) e do centro de operações de segurança (SOC) normalmente são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que o pessoal disponível fica sobrecarregado. Isso resulta muitas vezes em situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
O Microsoft Sentinel, além de ser um sistema SIEM, também é uma plataforma para orquestração, automação e resposta de segurança (SOAR). Um de seus principais objetivos é automatizar quaisquer tarefas recorrentes e previsíveis de enriquecimento, resposta e remediação que sejam de responsabilidade do seu centro de operações de segurança e pessoal (SOC/SecOps), liberando tempo e recursos para uma investigação mais aprofundada e caça a ameaças avançadas.
Este artigo descreve os recursos SOAR do Microsoft Sentinel e mostra como o uso de regras de automação e playbooks em resposta a ameaças à segurança aumenta a eficácia do SOC e economiza tempo e recursos.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Regras de automatização
O Microsoft Sentinel usa regras de automação para permitir que os usuários gerenciem a automação de tratamento de incidentes a partir de um local central. Use regras de automação para:
- Atribua automação mais avançada a incidentes e alertas, usando playbooks
- Marque, atribua ou feche incidentes automaticamente sem um manual
- Automatize respostas para várias regras de análise ao mesmo tempo
- Crie listas de tarefas para seus analistas executarem ao triar, investigar e remediar incidentes
- Controlar a ordem das ações que são executadas
Recomendamos que você aplique regras de automação quando incidentes são criados ou atualizados para agilizar ainda mais a automação e simplificar fluxos de trabalho complexos para seus processos de orquestração de incidentes.
Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Manuais de Procedimentos
Um manual é uma coleção de ações e lógicas de resposta e correção que podem ser executadas a partir do Microsoft Sentinel como rotina. Um manual pode:
- Ajude a automatizar e orquestrar sua resposta a ameaças
- Integração com outros sistemas, internos e externos
- Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, ou executar manualmente sob demanda, como em resposta a novos alertas
No Microsoft Sentinel, os playbooks são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda você a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Isso significa que os playbooks podem aproveitar todo o poder e a capacidade de personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e das ferramentas de design fáceis de usar, além da escalabilidade, confiabilidade e nível de serviço de um serviço Azure de Nível 1.
Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
Automação com a plataforma unificada de operações de segurança
Depois de integrar seu espaço de trabalho do Microsoft Sentinel à plataforma unificada de operações de segurança, observe as seguintes diferenças na maneira como a automação funciona em seu espaço de trabalho:
| Funcionalidade | Description |
|---|---|
| Regras de automação com gatilhos de alerta | Na plataforma unificada de operações de segurança, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para obter mais informações, consulte Alerta criar gatilho. |
| Regras de automação com gatilhos de incidentes | No portal do Azure e na plataforma unificada de operações de segurança, a propriedade de condição do provedor de incidentes é removida, pois todos os incidentes têm o Microsoft Defender XDR como o provedor de incidentes (o valor no campo ProviderName ). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do provedor de incidentes está definida apenas como Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente em incidentes que contêm alertas criados pela regra de análise especificada. Isso significa que você pode definir a propriedade de condição do nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada em incidentes somente no Microsoft Sentinel. Para obter mais informações, consulte Condições de acionamento de incidente. |
| Alterações aos nomes de incidentes existentes | Na plataforma unificada de operações SOC, o portal Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho à plataforma unificada de operações SOC, os nomes de incidentes existentes podem ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes como critérios de condição em suas regras de automação e sugerimos, em vez disso, usar o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e tags se for necessária mais especificidade. |
| Atualizado por campo | Para obter mais informações, consulte Gatilho de atualização de incidente. |
| Regras de automação que adicionam tarefas incidentes | Se uma regra de automação adicionar uma tarefa incidente, a tarefa será mostrada somente no portal do Azure. |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas na plataforma unificada de operações de segurança. Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft. |
| Executando regras de automação a partir do portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse intervalo de tempo ocorre porque o incidente é criado no portal do Defender e, em seguida, encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia Playbooks ativos | Após a integração à plataforma unificada de operações de segurança, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados para outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar playbooks do Microsoft Sentinel a partir de modelos de conteúdo. |
| Executando playbooks manualmente sob demanda | Atualmente, os procedimentos a seguir não são suportados na plataforma unificada de operações de segurança: |
| A execução de playbooks em incidentes requer a sincronização do Microsoft Sentinel | Se você tentar executar um manual sobre um incidente da plataforma unificada de operações de segurança e vir a mensagem "Não é possível acessar dados relacionados a esta ação. Atualize a tela em poucos minutos." significa que o incidente ainda não está sincronizado com o Microsoft Sentinel. Atualize a página do incidente depois que o incidente for sincronizado para executar o playbook com êxito. |
| Incidentes: Adicionar alertas a incidentes / Remoção de alertas de incidentes |
Como não há suporte para adicionar alertas ou remover alertas de incidentes após a integração do seu espaço de trabalho à plataforma unificada de operações de segurança, essas ações também não são suportadas nos playbooks. Para obter mais informações, consulte Diferenças de capacidade entre portais. |