Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um modelo de playbook é um fluxo de trabalho de automação pré-criado, testado e pronto para uso para o Microsoft Sentinel que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para as melhores práticas ao desenvolver playbooks do zero ou como inspiração para novos cenários de automação.
Os modelos de playbook não são playbooks ativos em si, e você deve criar uma cópia editável para suas necessidades.
Muitos modelos de playbook são desenvolvidos pela comunidade Microsoft Sentinel, fornecedores independentes de software (ISVs) e especialistas da própria Microsoft, com base em cenários de automação populares usados por centros de operações de segurança em todo o mundo.
Importante
Os modelos de Playbook estão atualmente em versão preliminar. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5. A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente. Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel (blog).
Pré-requisitos
Para criar e gerenciar playbooks, você precisa acessar o Microsoft Sentinel com uma das seguintes funções do Azure:
- Colaborador de Aplicações Lógicas, para editar e gerir aplicações lógicas
- Operador do Aplicativo Lógico, para ler, habilitar e desabilitar aplicativos lógicos
Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.
Recomendamos que você leia os playbooks do Azure Logic Apps for Microsoft Sentinel antes de criar seu playbook.
Aceder a modelos de playbook
Aceda a modelos de playbooks a partir das seguintes fontes:
Localização | Descrição |
---|---|
Página de automação do Microsoft Sentinel | A aba Modelos de Playbook lista todos os playbooks instalados. Crie um ou mais playbooks ativos usando o mesmo modelo. Quando publicamos uma nova versão de um modelo, todos os playbooks ativos criados a partir desse modelo têm um rótulo extra adicionado na guia Playbooks ativos para indicar que uma atualização está disponível. |
Página do hub de conteúdo do Microsoft Sentinel | Os modelos de Playbook estão disponíveis como parte de soluções de produtos ou conteúdo autônomo instalado a partir do hub de conteúdo. Para mais informações, consulte: Sobre o conteúdo e as soluções do Microsoft Sentinel Descubra e gestione conteúdo pronto a usar do Microsoft Sentinel |
GitHub | O repositório GitHub do Microsoft Sentinel contém muitos outros modelos de playbook. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure. |
Tecnicamente, um modelo de playbook é um modelo do Azure Resource Manager (ARM), que consiste em vários recursos: um fluxo de trabalho do Azure Logic Apps e conexões de API para cada integração envolvida.
Este artigo concentra-se na implementação de um modelo de playbook na guia Modelos de playbook em Automação.
Explore modelos de playbook
Para o Microsoft Sentinel no portal do Azure, selecione a página Gestão de conteúdo>Hub de conteúdo. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.
Na página Hub de conteúdo , selecione Tipo de conteúdo para filtrar o Playbook. Esta vista filtrada lista todas as soluções e conteúdo autónomo que incluem um ou mais modelos de playbook. Instale a solução ou o conteúdo independente para obter o modelo.
Em seguida, selecione os separadores Configuração>, Automação> e Modelos de Playbook para ver os modelos instalados. Por exemplo:
Para encontrar um modelo de playbook que atenda às suas necessidades, filtre a lista pelos seguintes critérios:
Filtro | Descrição |
---|---|
Gatilho | Filtre pela forma como o manual é acionado, incluindo incidentes, alertas ou entidades. Para obter mais informações, consulte Gatilhos do Microsoft Sentinel suportados. |
Conectores de aplicativos lógicos | Filtre pelos serviços externos com os quais os playbooks interagem. Durante o processo de implantação, cada conector precisa assumir uma identidade para se autenticar no serviço externo. |
Entidades | Filtre pelos tipos de entidade que o manual espera encontrar no incidente. Por exemplo, um manual que diz a um firewall para bloquear um endereço IP espera encontrar endereços IP no incidente. Tais incidentes podem ser criados por uma regra de análise de ataque de Força Bruta. |
Etiquetas | Filtre pelos rótulos aplicados ao playbook, relacionando o playbook a um cenário específico ou indicando uma característica especial. Por exemplo: - Enriquecimento - Guias de Procedimentos que obtêm informações de outro serviço para adicionar contexto a um incidente. Essas informações geralmente são adicionadas como um comentário ao incidente ou enviadas ao SOC. - Remediação - Playbooks que executam uma ação nas entidades afetadas para eliminar uma ameaça potencial. - Sincronização - Um guia que ajuda a manter atualizado um serviço externo, como um serviço de gestão de incidentes, com as propriedades do incidente. - Notificação - Playbooks que enviam um e-mail ou mensagem. - Resposta do Teams - Playbooks que permitem aos analistas executar uma ação manual a partir do Teams usando cartões interativos. |
Por exemplo:
Personalizar um manual a partir de um modelo
Este procedimento descreve como distribuir modelos de playbook e pode ser repetido para criar vários playbooks a partir do mesmo modelo.
Embora a maioria dos modelos de playbook possa ser usada como estão, recomendamos que você os ajuste conforme necessário para ajustar seu playbook às suas necessidades de SOC.
Na guia Modelos de Playbook, selecione um playbook como ponto de partida.
Se o manual tiver algum pré-requisito, certifique-se de seguir as instruções. Por exemplo:
Alguns playbooks chamam outros playbooks de ações. Este segundo manual chama-se um manual aninhado. Nesse caso, um dos pré-requisitos é primeiro implantar o manual aninhado.
Alguns playbooks exigem a implantação de um conector de Aplicativos Lógicos personalizado ou de uma Função do Azure. Nesses casos, há um link Implantar no Azure que leva você ao processo geral de implantação do modelo ARM.
Selecione Criar playbook para abrir o assistente de criação de playbook com base no modelo selecionado. O assistente tem quatro guias:
Básico: Localize o seu novo playbook, que é um recurso de Aplicativos Lógicos, e dê um nome a ele. Você pode usar o padrão. Por exemplo:
Parâmetros: Insira valores específicos do cliente que o manual usa. Por exemplo, se o manual enviar um e-mail para o SOC, defina o endereço do destinatário. Se o playbook tiver um conector personalizado em uso, deverá ser implantado no mesmo grupo de recursos e será solicitado a inserir o seu nome no separador Parâmetros.
A guia Parâmetros aparece apenas se o playbook tiver parâmetros. Por exemplo:
Conexões: Expanda cada ação para ver as conexões existentes que você criou para playbooks anteriores. Você pode optar por usar conexões existentes ou criar uma nova. Por exemplo:
Para criar uma nova conexão, selecione Criar nova conexão após a implantação. Essa opção leva você ao designer de Aplicativos Lógicos após a conclusão do processo de implantação.
Os conectores personalizados são listados pelo nome do conector personalizado inserido na guia Parâmetros .
Para conectores que oferecem suporte à conexão com identidade gerenciada, como o Microsoft Sentinel, a identidade gerenciada é o método de conexão padrão.
Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.
Revise e crie: Veja um resumo do processo e aguarde a validação da sua entrada antes de criar o playbook.
Depois de seguir as etapas no assistente de criação de playbook até o final, você será direcionado para o design de fluxo de trabalho do novo playbook no designer de Aplicativos Lógicos. Por exemplo:
Para cada conector escolhido, crie uma nova conexão para após a implantação:
No menu de navegação, selecione Conexões de API e, em seguida, selecione o nome da conexão. Por exemplo:
Selecione Editar conexão de API no menu de navegação.
Preencha os parâmetros necessários e selecione Salvar. Por exemplo:
Como alternativa, crie uma nova conexão a partir das etapas relevantes no designer de Aplicativos Lógicos:
Para cada etapa que aparece com um sinal de erro, selecione-a para expandir e, em seguida, selecione Adicionar nova.
Autenticar de acordo com as instruções relevantes. Para obter mais informações, consulte Autenticar playbooks no Microsoft Sentinel.
Se houver outras etapas usando esse mesmo conector, expanda suas caixas. Na lista de conexões exibida, selecione a conexão que você acabou de criar.
Se você optou por usar uma conexão de identidade gerenciada para o Microsoft Sentinel ou para outras conexões com suporte, certifique-se de conceder permissões para o novo manual no espaço de trabalho do Microsoft Sentinel ou nos recursos de destino relevantes para outros conectores.
Salve a cartilha. O playbook aparece no separador Playbooks Ativos.
Para executar o seu playbook, defina uma resposta automatizada ou execute-a manualmente. Para obter mais informações, consulte Responder a ameaças com os playbooks do Microsoft Sentinel.
Comunicar um problema num modelo de playbook
Para relatar um bug ou solicitar uma melhoria para um playbook, selecione o link Suportado por no painel de detalhes do playbook. Se este for um manual suportado pela comunidade, o link levará você a abrir um problema do GitHub. Caso contrário, você será direcionado para a página do apoiador, com informações sobre como enviar seu feedback.