Partilhar via

Responda a agentes de ameaças enquanto investiga ou caça ameaças no Microsoft Sentinel no portal do Azure

  • Aplica-se a: Microsoft Sentinel in the Azure portal

Este artigo mostra como tomar medidas de resposta contra agentes de ameaças imediatamente, durante o curso de uma investigação de incidentes ou caça de ameaças, sem mudar de rumo ou contexto da investigação ou caça. Consegue isto usando playbooks baseados no novo disparador de entidade.

Atualmente, o gatilho de entidade suporta os seguintes tipos de entidade:

Importante

O gatilho da entidade está atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Executar playbooks com o gatilho de entidade

Quando você está investigando um incidente e determina que uma determinada entidade - uma conta de usuário, um host, um endereço IP, um arquivo e assim por diante - representa uma ameaça, você pode tomar ações de correção imediatas sobre essa ameaça executando um playbook sob demanda. Você pode fazer o mesmo se encontrar entidades suspeitas, enquanto faz uma busca proativa por ameaças fora do contexto de incidentes.

  1. Selecione a entidade em qualquer contexto em que a encontrar e escolha os meios apropriados para executar um conjunto de procedimentos, da seguinte maneira:

    • No separador Entidades na guia Visão geral de um incidente na página de detalhes do novo incidente (agora em Visualização) ou na guia Entidades, escolha uma entidade na lista, clique nos três pontos ao lado da entidade e selecione Executar playbook (Visualização) no menu pop-up.

      Captura de ecrã da página de detalhes do incidente.

      Captura de ecrã do separador das entidades na página de detalhes do incidente.

    • Na guia Entidades de um incidente, escolha a entidade na lista e selecione o link Executar playbook (Visualização) no final da sua linha na lista.

      Captura de tela da seleção da entidade na página de detalhes do incidente para executar um playbook nela.

    • No gráfico de investigação, selecione uma entidade e, no painel lateral da entidade, selecione o botão Executar manual (Pré-visualização).

      Captura de tela da seleção de uma entidade no gráfico de investigação para executar um manual sobre ela.

    • Na página Comportamento da entidade , selecione uma entidade. Na página da entidade resultante, selecione o botão Executar playbook (Pré-visualização) no painel esquerdo.

      Captura de tela mostrando a seleção de uma entidade na página de comportamento da entidade para executar um playbook nela.

      Captura de ecrã da página da entidade selecionada para executar um playbook numa entidade.

  2. Todos eles abrirão o painel Executar playbook no <tipo de> entidade.

    Captura de ecrã do playbook de execução no painel de entidades.

    Em qualquer um desses painéis, você verá duas guias: Playbooks e Runs.

  3. Na guia Playbooks , você verá uma lista de todos os playbooks aos quais você tem acesso e que usam o gatilho de Entidade Microsoft Sentinel para esse tipo de entidade (neste caso, contas de usuário). Selecione o botão Executar para o playbook que deseja executar imediatamente.

    Se você não vir o playbook que deseja executar na lista, isso significa que o Microsoft Sentinel não tem permissões para executar playbooks nesse grupo de recursos.

    Para conceder essas permissões, selecione >. No painel Gerenciar permissões , marque as caixas de seleção dos grupos de recursos que contêm os playbooks que você deseja executar e selecione Aplicar.

    Para mais informações, consulte Permissões adicionais necessárias para executar playbooks no Microsoft Sentinel.

  4. Você pode auditar a atividade de seus playbooks de gatilho de entidade na guia Execuções . Você verá uma lista de todas as vezes que qualquer playbook foi executado na entidade selecionada. Pode levar alguns segundos para que qualquer execução recém-concluída apareça nesta lista. Selecionar uma execução específica abrirá o log de execução completo nos Aplicativos Lógicos do Azure.

Próximos passos

Neste artigo, você aprendeu como executar playbooks manualmente para remediar ameaças provenientes de entidades enquanto está a investigar um incidente ou a procurar ameaças.