Usar tarefas para gerenciar incidentes no Microsoft Sentinel

  • Artigo

Um dos fatores mais importantes na execução de suas operações de segurança (SecOps) de forma eficaz e eficiente é a padronização dos processos. Espera-se que os analistas do SecOps executem uma lista de etapas, ou tarefas, no processo de triagem, investigação ou remediação de um incidente. Padronizar e formalizar a lista de tarefas pode ajudar a manter seu SOC funcionando sem problemas, garantindo que os mesmos requisitos se apliquem a todos os analistas. Desta forma, independentemente de quem está no plantão, um incidente receberá sempre o mesmo tratamento e SLAs. Os analistas não precisarão perder tempo pensando no que fazer, ou se preocupar em perder uma etapa crítica. Essas etapas são definidas pelo gerente do SOC ou analistas seniores (nível 2/3) com base no conhecimento comum de segurança (como o NIST), sua experiência com incidentes anteriores ou recomendações fornecidas pelo fornecedor de segurança que detetou o incidente.

Casos de utilização

  • Seus analistas SOC podem usar uma única lista de verificação central para lidar com os processos de triagem, investigação e resposta a incidentes, tudo sem se preocupar em perder uma etapa crítica.

  • Seus engenheiros SOC ou analistas seniores podem documentar, atualizar e alinhar os padrões de resposta a incidentes entre as equipes e turnos dos analistas. Eles também podem criar listas de verificação de tarefas para treinar novos analistas ou analistas que se deparam com novos tipos de incidentes.

  • Como gerente de SOC ou MSSP, você pode garantir que os incidentes sejam tratados de acordo com os SLAs/POPs relevantes.

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para criar regras de automação e para exibir e editar incidentes, ambos necessários para adicionar, exibir e editar tarefas.

A função de Colaborador de Aplicativos Lógicos é necessária para criar e editar playbooks.

Cenários

Analista

Seguir tarefas ao lidar com um incidente

Ao selecionar um incidente e Exibir detalhes completos, na página de detalhes do incidente, você verá no painel direito todas as tarefas que foram adicionadas a esse incidente, seja manualmente ou por regras de automação.

Expanda uma tarefa para ver sua descrição completa, incluindo o usuário, a regra de automação ou o manual que a criou.

Marque uma tarefa concluída selecionando seu círculo de "caixa de seleção".

Screenshot of incident tasks panel for analysts on incident details screen.

Adicionar tarefas a um incidente no local

Você pode adicionar tarefas a um incidente aberto no qual está trabalhando, seja para se lembrar de ações que descobriu a necessidade de tomar ou para registrar ações que você tomou por sua própria iniciativa e que não aparecem na lista de tarefas. As tarefas adicionadas desta forma aplicar-se-ão apenas ao incidente em aberto.

Criador de fluxo de trabalho

Adicionar tarefas a incidentes com regras de automação

Use a ação Adicionar tarefa nas regras de automação para fornecer automaticamente a todos os incidentes uma lista de verificação de tarefas para seus analistas. Defina a condição do nome da regra do Google Analytics na regra de automação para determinar o escopo:

  • Aplique a regra de automação a todas as regras de análise para definir um conjunto padrão de tarefas a serem aplicadas a todos os incidentes.

  • Ao aplicar sua regra de automação a um conjunto limitado de regras de análise, você pode atribuir tarefas específicas a incidentes específicos, de acordo com as ameaças detetadas pela regra ou regras de análise que geraram esses incidentes.

Considere que a ordem em que as tarefas aparecem no seu incidente é determinada pelo tempo de criação das tarefas. Você pode definir a ordem das regras de automação para que as regras que adicionam tarefas necessárias para todos os incidentes sejam executadas primeiro e, só depois, todas as regras que adicionam tarefas necessárias para incidentes gerados por regras de análise específicas. Dentro de uma única regra, a ordem em que as ações são definidas rege a ordem em que elas aparecem em um incidente.

Veja quais incidentes são cobertos por regras e tarefas de automação existentes antes de criar uma nova regra de automação.
Use o filtro Ação na lista Regras de automação para ver apenas as regras que adicionam tarefas a incidentes e ver a quais regras de análise essas regras de automação se aplicam, para entender a quais incidentes essas tarefas serão adicionadas.

Adicionar tarefas a incidentes com playbooks

Use a ação Adicionar tarefa em um playbook (no conector do Microsoft Sentinel) para adicionar automaticamente uma tarefa ao incidente que disparou o playbook.

Em seguida, use outras ações do playbook, em seus respetivos conectores de Aplicativos Lógicos, para concluir o conteúdo da tarefa.

Por fim, use a ação Marcar tarefa como concluída (novamente no conector do Microsoft Sentinel) para marcar automaticamente a tarefa como concluída .

Considere os seguintes cenários como exemplos:

  • Permitir que os playbooks adicionem e concluam tarefas: quando um incidente é criado, ele aciona um playbook que faz o seguinte:

    1. Adiciona uma tarefa ao incidente para redefinir a senha de um usuário.
    2. Executa a tarefa emitindo uma chamada de API para o sistema de provisionamento do usuário para redefinir a senha do usuário.
    3. Aguarda uma resposta do sistema quanto ao sucesso ou fracasso da redefinição.
      • Se a redefinição de senha for bem-sucedida, o manual marcará a tarefa que acabou de criar no incidente como concluída.
      • Se a redefinição de senha falhar, o manual não marcará a tarefa como concluída, deixando-a para um analista executar.

  • Deixe o playbook avaliar se tarefas condicionais devem ser adicionadas: quando um incidente é criado, ele acionará um playbook que solicita um relatório de endereço IP de uma fonte externa de inteligência de ameaças.

    • Se o endereço IP for malicioso, o manual adiciona uma determinada tarefa (digamos, "Bloquear este endereço IP").
    • Caso contrário, a cartilha não tomará mais nenhuma medida.

Usa regras de automação ou playbooks para adicionar tarefas?

Que considerações devem ditar qual desses métodos deve ser usado para criar tarefas de incidente?

  • Regras de automação: Use sempre que possível. Use para tarefas simples e estáticas que não exigem interatividade.
  • Playbooks: Use para casos de uso avançados — a criação de tarefas com base em condições ou de tarefas com ações automatizadas integradas.

Próximos passos