O que são os playbooks do Microsoft Sentinel?
Além de avaliar e resolver problemas relacionados com a respetiva configuração da segurança, a Contoso também tem de monitorizar a existência de novos problemas e ameaças e, em seguida, responder adequadamente.
Microsoft Sentinel como solução SIEM e SOAR
O Microsoft Sentinel é uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) e Orquestração, Automação e Resposta de Segurança (SOAR) projetada para ambientes híbridos.
Nota
As soluções SIEM fornecem armazenamento e análise de registos, eventos e alertas que outros sistemas geram. Pode configurar estas soluções para gerarem os seus próprios alertas. As soluções SOAR suportam a remediação de vulnerabilidades e a automatização geral de processos de segurança.
O Microsoft Sentinel usa deteções internas e personalizadas para alertá-lo sobre possíveis ameaças à segurança, como tentativas de acessar os recursos da Contoso de fora de sua infraestrutura ou quando os dados da Contoso parecem ser enviados para um endereço IP mal-intencionado conhecido. Também pode criar incidentes com base nestes alertas.
Manuais de procedimentos do Microsoft Sentinel
Você pode criar playbooks de segurança no Microsoft Sentinel para responder a alertas. Os manuais de procedimentos de segurança são coleções de procedimentos baseados no Azure Logic Apps que são executados em resposta a um alerta. Pode executar estes manuais de procedimentos de segurança em resposta à investigação de um incidente ou pode configurar um alerta para executar um manual de procedimentos automaticamente.
Com a capacidade de responder a incidentes automaticamente, você pode automatizar algumas de suas operações de segurança e tornar seu Centro de Operações de Segurança (SOC) mais produtivo.
Por exemplo, para dar resposta às preocupações da Contoso, pode desenvolver um fluxo de trabalho com passos definidos, que podem impedir que um nome de utilizador suspeito aceda a recursos a partir de um endereço IP não seguro. Como alternativa, você pode configurar o manual para executar uma operação, como notificar a equipe SecOps sobre um alerta de segurança de alto nível.
Azure Logic Apps
O Azure Logic Apps é um serviço cloud que automatiza a operação dos seus processos de negócio. Recorre-se a uma ferramenta de design gráfico chamada Estruturador de Logic Apps para organizar os componentes previamente criados de acordo com a sequência necessária. Também pode utilizar a vista de código e escrever o seu processo automatizado no ficheiro JSON.
Conectores de Logic Apps
As aplicações lógicas utilizam conectores para se ligarem a centenas de serviços. Um conector é um componente que fornece uma interface para um serviço externo.
Nota
Um conector de dados do Microsoft Sentinel e um conector de aplicativos lógicos não são a mesma coisa. Um conector de dados Microsoft Sentinel conecta o Microsoft Sentinel com produtos de segurança e ecossistemas de segurança da Microsoft para soluções que não são da Microsoft. Um conector de Logic Apps é um componente que fornece uma ligação API para um serviço externo e permite a integração de eventos, dados e ações noutras aplicações, serviços, sistemas, protocolos e plataformas.
O que são acionadores e ações
O Azure Logic Apps utiliza acionadores e ações, que são definidos da seguinte forma:
Os acionadores são eventos que ocorrem quando um conjunto específico de condições for satisfeito. Os acionadores ativam-se automaticamente quando as condições estão reunidas. Por exemplo, ocorre um incidente de segurança no Microsoft Sentinel, que é um gatilho para uma ação automatizada.
Uma ação é uma operação que executa uma tarefa no fluxo de trabalho de Logic Apps. As ações são executadas quando um acionador fica ativo, outra ação é concluída ou uma condição é cumprida.
Conector do Microsoft Sentinel Logic Apps
Um manual do Microsoft Sentinel usa um conector do Microsoft Sentinel Logic Apps. Disponibiliza os acionadores e as ações que podem iniciar o manual de procedimentos e executar as ações definidas.
Atualmente, existem dois gatilhos do conector Microsoft Sentinel Logic Apps:
Quando uma resposta a um alerta do Microsoft Sentinel é acionada
Quando a regra de criação de incidentes do Microsoft Sentinel é acionada
Nota
Como o conector do Microsoft Sentinel Logic App está em visualização, os recursos descritos neste módulo podem mudar no futuro.
A tabela a seguir lista todas as ações atuais para o conector Microsoft Sentinel.
| Name | Description |
|---|---|
| Adicionar comentário ao incidente | Adiciona comentários ao incidente selecionado. |
| Adicionar etiquetas ao incidente | Adiciona etiquetas ao incidente selecionado. |
| Alerta – Obter incidente | Devolve o incidente associado ao alerta selecionado. |
| Alterar descrição do incidente | Altera a descrição do incidente selecionado. |
| Alterar gravidade do incidente | Altera a gravidade do incidente selecionado. |
| Alterar estado do incidente | Altera o estado do incidente selecionado. |
| Alterar título do incidente (V2) | Altera o título do incidente selecionado. |
| Entidades – Obter Contas | Devolve uma lista de contas associadas ao alerta. |
| Entidades – Obter FileHashes | Devolve uma lista de Hashes de Ficheiros associados ao alerta. |
| Entidades – Obter Anfitriões | Devolve uma lista de anfitriões associados ao alerta. |
| Entidades – Obter IPs | Devolve uma lista de IPs associados ao alerta. |
| Entidades – Obter URLs | Devolve uma lista de URLs associados ao alerta. |
| Remover etiquetas do incidente | Remove as etiquetas do incidente selecionado. |
Nota
As ações que têm (V2) ou um número mais alto disponibilizam uma nova versão da ação e podem diferir da antiga funcionalidade da ação.
Algumas ações exigem a integração com as ações de outros conectores. Por exemplo, se a Contoso quiser identificar todas as contas suspeitas devolvidas no alerta das entidades definidas, terá de combinar a ação Entidades – Obter Contas com a ação Para Cada. Da mesma forma, para obter todos os anfitriões individuais num incidente que detete anfitriões suspeitos, tem de combinar a ação Entidades - Obter Anfitriões com a ação Para Cada.