Criar e gerenciar playbooks do Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os playbooks são conjuntos de procedimentos que podem ser executados a partir do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um manual pode ajudar a automatizar e orquestrar sua resposta e pode ser anexado a uma regra de automação para ser executado automaticamente quando alertas específicos são gerados ou quando incidentes são criados ou atualizados. Os playbooks também podem ser executados manualmente sob demanda em incidentes, alertas ou entidades específicas.

Este artigo descreve como criar e gerenciar playbooks do Microsoft Sentinel. Mais tarde, você pode anexar esses manuais a regras de análise ou regras de automação ou executá-los manualmente em incidentes, alertas ou entidades específicos.

Nota

Os Playbooks no Microsoft Sentinel baseiam-se em fluxos de trabalho criados nas Aplicações Lógicas do Azure, o que significa que obtém toda a potência, capacidade de personalização e modelos incorporados das Aplicações Lógicas. Poderão aplicar-se custos adicionais. Visite a página de preços dos Aplicativos Lógicos do Azure para obter mais detalhes.

Importante

O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal Microsoft Defender. O Microsoft Sentinel no portal do Defender agora é suportado para uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para criar e gerenciar playbooks, você precisa acessar o Microsoft Sentinel com uma das seguintes funções do Azure:

• Colaborador do Aplicativo Lógico, para editar e gerenciar aplicativos lógicos
• Operador do Aplicativo Lógico, para ler, habilitar e desabilitar aplicativos lógicos

Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.

Recomendamos que você leia os playbooks do Azure Logic Apps for Microsoft Sentinel antes de criar seu playbook.

Criar um playbook

Siga estas etapas para criar um novo manual no Microsoft Sentinel:

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation.

   Portal do Azure

   

   Portal do Defender

   

2. No menu superior, selecione Criar e, em seguida, selecione uma das seguintes opções:

   1. Se você estiver criando um playbook padrão, selecione Playbook em branco e siga as etapas para o tipo de aplicativo lógico padrão.

   2. Se você estiver criando um playbook de Consumo, selecione uma das seguintes opções, dependendo do gatilho que deseja usar, e siga as etapas na guia Consumo de aplicativos lógicos abaixo:

      • Playbook com gatilho de incidente
      • Playbook com gatilho de alerta
      • Playbook com gatilho de entidade

   Para obter mais informações, consulte Tipos de aplicativos lógicos suportados e Gatilhos e ações suportados nos playbooks do Microsoft Sentinel.

Prepare o aplicativo lógico do seu playbook

Selecione uma das guias a seguir para obter detalhes sobre como criar um aplicativo lógico para seu playbook, dependendo se você está usando um fluxo de trabalho Consumo ou Padrão. Para obter mais informações, consulte Tipos de aplicativos lógicos suportados.

Consumo

O assistente Criar playbook aparece depois de selecionar o gatilho que você deseja usar, incluindo um incidente, alerta ou gatilho de entidade. Por exemplo:

Faça o seguinte para criar seu playbook:

1. Na guia Noções básicas:

   1. Selecione a Assinatura, o grupo de recursos e a região de sua escolha nas respetivas listas suspensas. A região selecionada é onde as informações do Logic App são armazenadas.

   2. Introduza um nome para o seu playbook em Playbook name.

   3. Se quiser monitorar a atividade deste manual para fins de diagnóstico, marque a caixa de seleção Habilitar logs de diagnóstico no Log Analytics e selecione seu espaço de trabalho do Log Analytics na lista suspensa.

   4. Se seus playbooks precisarem de acesso a recursos protegidos que estejam dentro ou conectados a uma rede virtual do Azure, talvez seja necessário usar um ISE (ambiente de serviço de integração). Em caso afirmativo, marque a caixa de seleção Associar ao ambiente de serviço de integração e selecione o ISE relevante na lista suspensa.

   5. Selecione Avançar : Conexões >.

2. Na guia Conexões, recomendamos deixar os valores padrão, configurando os Aplicativos Lógicos para se conectar ao Microsoft Sentinel com identidade gerenciada. Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.

   Selecione Avançar : Revisar e criar > para continuar.

3. Na guia Revisar e criar, revise as opções de configuração feitas e selecione Criar e continuar para designer.

   Seu playbook levará alguns minutos para ser criado e implantado, após o qual você verá a mensagem "Sua implantação está concluída" e será levado para o Logic App Designer do seu novo playbook. O gatilho escolhido no início é adicionado automaticamente como a primeira etapa, e você pode continuar projetando o fluxo de trabalho a partir daí.

   

4. Se você escolheu o gatilho de entidade do Microsoft Sentinel, selecione o tipo de entidade que deseja que este manual receba como entrada.

   

Standard

Como os playbooks baseados no fluxo de trabalho padrão não suportam modelos de playbook, você precisa primeiro criar seu aplicativo lógico, depois criar seu playbook e, finalmente, escolher o gatilho para seu playbook.

Depois de selecionar a opção Playbook em branco, uma nova guia do navegador é aberta com o assistente Criar aplicativo lógico. Por exemplo:

Criar uma aplicação lógica

1. Na guia Noções básicas, insira os seguintes detalhes:

   1. Selecione o Grupo de Subscrição e Recursos à sua escolha nas respetivas listas pendentes.
   2. Insira um nome para seu aplicativo lógico. Em Publicar, selecione Fluxo de trabalho. Selecione a região onde você deseja implantar o aplicativo lógico.
   3. Em Tipo de plano, selecione Padrão.
   4. Selecione Next : Hosting >.

2. Na guia Hospedagem:

   1. Para Tipo de armazenamento, selecione Armazenamento do Azure e selecione ou crie uma conta de armazenamento.
   2. Selecione um Plano Windows.

3. Na guia Monitoramento:

   1. Se você quiser habilitar o monitoramento de desempenho no Azure Monitor para este aplicativo, deixe a alternância em Sim. Caso contrário, alterne para Não.

      Nota

      Este monitoramento não é necessário para o Microsoft Sentinel e custará um custo extra.

   2. Opcionalmente, selecione Avançar : Tags > para aplicar tags a este Aplicativo Lógico para fins de categorização de recursos e cobrança. Caso contrário, selecione Rever + criar.

4. Na guia Revisar + criar, revise as opções de configuração feitas e selecione Criar.

   Seu playbook leva alguns minutos para ser criado e implantado, durante o qual você vê algumas mensagens de implantação. No final do processo, você será levado para a tela de implantação final, onde verá a mensagem: "Sua implantação está concluída".

5. Selecione Ir para recurso. Você será direcionado para a página principal do seu novo aplicativo lógico.

   Ao contrário dos manuais clássicos de consumo, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Crie um fluxo de trabalho para o seu playbook

1. Na página de detalhes do seu aplicativo lógico, selecione Fluxos de > trabalho + Adicionar. Pode levar alguns momentos para que o botão + Adicionar fique ativo.

2. No painel Novo fluxo de trabalho que aparece:

   1. Insira um nome significativo para seu fluxo de trabalho.
   2. Em Tipo de estado, selecione Stateful. O Microsoft Sentinel não suporta o uso de fluxos de trabalho sem estado como playbooks.
   3. Selecione Criar.

   Seu fluxo de trabalho é salvo e aparece na lista de fluxos de trabalho em seu aplicativo lógico.

3. Selecione o novo fluxo de trabalho para continuar e acessar a página de detalhes do fluxo de trabalho. Aqui você pode ver todas as informações sobre seu fluxo de trabalho, incluindo um registro de todas as vezes que ele é executado.

4. Na página de detalhes do fluxo de trabalho, selecione Designer.

5. A página Designer é aberta e você é solicitado a adicionar um gatilho e continuar a criar o fluxo de trabalho. Por exemplo:

   

Adicione o seu gatilho

1. Na página Designer, selecione a guia Azure e digite Sentinel na caixa Pesquisar. A guia Gatilhos mostra os gatilhos suportados pelo Microsoft Sentinel, incluindo:

   • Alerta do Microsoft Sentinel
   • Entidade Microsoft Sentinel
   • Incidente do Microsoft Sentinel

   Por exemplo:

   

2. Se você escolher o gatilho de entidade do Microsoft Sentinel, selecione o tipo de entidade que deseja que este manual receba como entrada. Por exemplo:

   

Para obter mais informações, consulte Acionadores e ações suportados nos playbooks do Microsoft Sentinel.

Adicionar ações ao seu playbook

Agora que você tem um aplicativo lógico, defina o que acontece quando você chama o playbook. Adicione ações, condições lógicas, loops ou condições de caso de alternância, tudo selecionando Nova etapa. Essa seleção abre um novo quadro no designer, onde você pode escolher um sistema ou um aplicativo para interagir ou uma condição para definir. Digite o nome do sistema ou aplicativo na barra de pesquisa na parte superior do quadro e escolha entre os resultados disponíveis.

Em cada uma dessas etapas, clicar em qualquer campo exibe um painel com os seguintes menus:

• Conteúdo dinâmico: adicione referências aos atributos do alerta ou incidente que foi passado para o playbook, incluindo os valores e atributos de todas as entidades mapeadas e detalhes personalizados contidos no alerta ou incidente. Para obter exemplos de uso de conteúdo dinâmico, consulte:

  • Usar playbooks de entidade sem ID de incidente
  • Trabalhar com detalhes personalizados

• Expressão: escolha a partir de uma grande biblioteca de funções para adicionar mais lógica aos seus passos.

Para obter mais informações, consulte Acionadores e ações suportados nos playbooks do Microsoft Sentinel.

Prompts de autenticação

Quando você escolhe um gatilho ou qualquer ação subsequente, você é solicitado a autenticar em qualquer provedor de recursos com o qual esteja interagindo. Nesse caso, o provedor é o Microsoft Sentinel e há algumas opções de autenticação. Para obter mais informações, consulte:

• Autenticar manuais de procedimentos no Microsoft Sentinel
• Gatilhos e ações suportados nos playbooks do Microsoft Sentinel

Conteúdo dinâmico: use playbooks de entidade sem ID de incidente

Os playbooks criados com o gatilho de entidade geralmente usam o campo ID do ARM do incidente, como para atualizar um incidente depois de tomar medidas sobre a entidade.

Se esse manual for acionado em um contexto não conectado a um incidente, como quando a caça a ameaças, não haverá nenhum incidente cuja ID possa preencher esse campo. Nesse caso, o campo é preenchido com um valor nulo.

Como resultado, o manual pode não ser executado até a conclusão. Para evitar essa falha, recomendamos que você crie uma condição que verifique um valor no campo ID do incidente antes de executar qualquer ação sobre ele e prescreva um conjunto diferente de ações se o campo tiver um valor nulo - ou seja, se o manual não estiver sendo executado a partir de um incidente.

Efetue os seguintes passos:

1. Antes da primeira ação que se refere ao campo ID do ARM do incidente, adicione uma etapa Condição.

2. Ao lado, selecione o campo Escolha um valor para entrar na caixa de diálogo Adicionar conteúdo dinâmico.

3. Selecione ID ARM do incidente (opcional) e o não é igual ao operador.

4. Selecione Escolher um valor novamente para entrar na caixa de diálogo Adicionar conteúdo dinâmico.

5. Selecione a guia Expressão e a função nula.

Por exemplo:

Conteúdo dinâmico: trabalhe com detalhes personalizados

O campo dinâmico Detalhes personalizados do alerta, disponível no gatilho de incidente, é uma matriz de objetos JSON, cada um dos quais representa um detalhe personalizado de um alerta. Os detalhes personalizados são pares chave-valor que permitem exibir informações de eventos no alerta para que possam ser representadas, rastreadas e analisadas como parte do incidente.

Como esse campo no alerta é personalizável, seu esquema depende do tipo de evento que está sendo exibido. Forneça dados de uma instância desse evento para gerar o esquema que determina como o campo de detalhes personalizados é analisado.

Por exemplo:

Nestes pares chave-valor:

• A chave, na coluna da esquerda, representa os campos personalizados criados.
• O valor, na coluna da direita, representa os campos dos dados do evento que preenchem os campos personalizados.

Forneça o seguinte código JSON para gerar o esquema. O código mostra os nomes das chaves como matrizes e os valores como itens nas matrizes. Os valores são mostrados como os valores reais, não como a coluna que contém os valores.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Para usar campos personalizados para gatilhos de incidentes:

1. Adicione uma nova etapa usando a ação interna Parse JSON . Digite 'parse json' no campo Pesquisar para encontrá-lo, se necessário.

2. Localize e selecione Detalhes personalizados do alerta na lista Conteúdo dinâmico , sob o gatilho de incidente. Por exemplo:

   

   Isso cria um Para cada loop, uma vez que um incidente contém uma matriz de alertas.

3. Selecione o link Usar carga útil de exemplo para gerar esquema . Por exemplo:

   

4. Forneça uma amostra de carga útil. Por exemplo, você pode encontrar uma carga útil de exemplo procurando outra instância desse alerta no Log Analytics e copiando o objeto de detalhes personalizados, encontrado em Propriedades estendidas. Acesse os dados do Log Analytics na página Logs no portal do Azure ou na página Caça avançada no portal do Defender. Na captura de tela abaixo, usamos o código JSON mostrado acima.

   

Os campos personalizados estão prontos para serem usados como campos dinâmicos do tipo Matriz. Por exemplo, a captura de tela a seguir mostra uma matriz e seus itens, tanto no esquema quanto na lista que aparece em Conteúdo dinâmico, que descrevemos nesta seção:

Gerencie seus playbooks

Selecione a guia Playbooks Automation > Ative para visualizar todos os playbooks aos quais você tem acesso, filtrados pela visualização da sua assinatura.

Após a integração à plataforma unificada de operações de segurança, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, edite as assinaturas que você está mostrando no menu Diretório + assinatura no cabeçalho da página global do Azure.

Embora a guia Playbooks ativos exiba todos os playbooks ativos disponíveis em qualquer assinatura selecionada, por padrão, um playbook pode ser usado somente dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel para o grupo de recursos do playbook.

A guia Playbooks ativos mostra seus playbooks com os seguintes detalhes:

Nome da coluna	Description
Status	Indica se o playbook está ativado ou desativado.
Planear	Indica se o manual usa o tipo de recurso Aplicativos Lógicos do Azure Padrão ou de Consumo . Os playbooks do tipo Standard usam a LogicApp/Workflow convenção de nomenclatura, que reflete como um playbook Standard representa um fluxo de trabalho que existe ao lado de outros fluxos de trabalho em um único aplicativo lógico. Para obter mais informações, consulte Azure Logic Apps for Microsoft Sentinel playbooks.
Tipo de gatilho	Indica o gatilho de Aplicativos Lógicos do Azure que inicia este playbook: - Incidente/Alerta/Entidade do Microsoft Sentinel: O manual é iniciado com um dos gatilhos do Sentinel, incluindo incidente, alerta ou entidade - Usando o Microsoft Sentinel Action: o manual é iniciado com um gatilho do Microsoft Sentinel, mas usa uma ação do Microsoft Sentinel - Outros: O manual não inclui nenhum componente do Microsoft Sentinel - Não inicializado: O manual foi criado, mas não contém componentes, nem aciona nenhuma ação.

Selecione um playbook para abrir sua página de Aplicativos Lógicos do Azure, que mostra mais detalhes sobre o playbook. Na página Aplicativos Lógicos do Azure:

• Ver um registo de todas as vezes que o playbook foi executado
• Veja os resultados da execução, incluindo sucessos e falhas e outros detalhes
• Se você tiver as permissões relevantes, abra o designer de fluxo de trabalho nos Aplicativos Lógicos do Azure para editar o manual diretamente

Conteúdos relacionados

Depois de criar seu playbook, anexe-o a regras a serem acionadas por eventos em seu ambiente ou execute seus playbooks manualmente em incidentes, alertas ou entidades específicas.

Para obter mais informações, consulte:

• Automatize e execute playbooks do Microsoft Sentinel
• Autenticar manuais de procedimentos no Microsoft Sentinel
• Use um manual do Microsoft Sentinel para impedir usuários potencialmente comprometidos