Acionar um manual de procedimentos em tempo real
Você pode configurar os playbooks do Microsoft Sentinel na Contoso para responder a ameaças à segurança.
Explorar a página Manuais de procedimentos
Pode automatizar as respostas a ameaças na página Manuais de procedimentos. Nesta página, pode observar todos os manuais de procedimentos que são criados no Azure Logic Apps. A coluna Tipo de acionador apresenta o tipo dos conectores que são utilizados na aplicação lógica.
Pode utilizar a barra de cabeçalho, conforme mostrado no diagrama seguinte, para criar novos manuais de procedimentos ou para ativar/desativar os manuais de procedimentos existentes.
A barra de cabeçalho apresenta as seguintes opções:
Utilize a opção Adicionar Manual de Procedimentos para criar um novo manual de procedimentos.
Utilize a opção Atualizar para atualizar a apresentação, por exemplo, depois de criar um novo manual de procedimentos.
Utilize o campo pendente de tempo para filtrar o estado da execução dos manuais de procedimentos.
As opções Ativar, Desativar e Eliminar só estarão disponíveis se selecionar uma ou mais aplicações lógicas.
Utilize a opção Documentação das Aplicações Lógicas para ver as ligações para a documentação oficial da Microsoft de forma a obter mais informações sobre as aplicações lógicas.
A Contoso quer utilizar ações automatizadas para impedir que utilizadores suspeitos acedam à sua rede. Como administrador de segurança, pode criar um manual de procedimentos para implementar esta ação. Para criar um novo manual de procedimentos, selecione Adicionar Manual de Procedimentos. Você será direcionado para a página onde deve criar um novo aplicativo lógico fornecendo entradas para as seguintes configurações:
Subscrição. Selecione a assinatura que contém o Microsoft Sentinel.
Grupo de Recursos. Pode utilizar um grupo de recursos existente ou criar um novo.
Nome da Aplicação Lógica. Indique um nome descritivo para a aplicação lógica.
Localização. Selecione a mesma localização onde se encontra a área de trabalho do Log Analytics.
Log Analytics. Se você habilitar o Log Analytics, poderá obter informações sobre os eventos de tempo de execução do playbook.
Após introduzir estas entradas, selecione a opção Rever + Criar e, em seguida, selecione Criar.
Logic Apps Designer
O Microsoft Sentinel cria o aplicativo lógico e, em seguida, você é direcionado para a página do Logic App Designer .
O Estruturador de Aplicações Lógicas apresenta uma tela de design que lhe permite adicionar um acionador e ações ao fluxo de trabalho. Por exemplo, você pode configurar o gatilho para se originar do Microsoft Sentinel Connector quando um novo incidente de segurança é criado. A página Estruturador de Aplicações Lógicas disponibiliza muitos modelos predefinidos que pode utilizar. No entanto, para criar um manual de procedimentos, deve começar com o modelo Aplicação Lógica em Branco para criar a aplicação lógica do zero.
A atividade automatizada no manual é iniciada pelo gatilho Microsoft Sentinel. Você pode procurar o gatilho do Microsoft Sentinel na caixa de pesquisa da tela de design e selecionar um dos dois gatilhos disponíveis a seguir:
Quando uma resposta a um alerta do Microsoft Sentinel é acionada
Quando a regra de criação de incidentes do Microsoft Sentinel foi acionada
Abrir o Microsoft Sentinel Connector pela primeira vez solicita que você entre no locatário com uma conta de usuário do ID do Microsoft Entra ou com a Entidade de Serviço. Isso estabelece uma conexão de API com sua ID do Microsoft Entra. As conexões de API armazenam variáveis e tokens necessários para acessar a API para a conexão, como Microsoft Entra ID, Office 365 ou similar.
Cada manual de procedimentos começa com um acionador seguido de ações que definem a resposta automatizada num incidente de segurança. Você pode combinar ações de um conector do Microsoft Sentinel com outras ações de outros conectores de aplicativos lógicos.
Por exemplo, você pode adicionar o gatilho de um conector do Microsoft Sentinel quando um incidente é acionado, segui-lo com uma ação que identifica as entidades do alerta do Microsoft Sentinel e, em seguida, outra ação que envia um email para uma conta de email do Office 365. O Microsoft Sentinel cria cada ação como uma Nova Etapa e define a atividade que você está adicionando no aplicativo lógico.
A captura de tela a seguir exibe o incidente acionado pelo conector Microsoft Sentinel, que deteta uma conta suspeita e envia um e-mail para o administrador.
Cada passo na estrutura do fluxo de trabalho tem campos diferentes que têm de ser preenchidos. Por exemplo, a ação Entidades - Obter Contas exige que você forneça a lista de entidades de um alerta do Microsoft Sentinel. Uma vantagem de utilizar o Azure Logic Apps é o facto de poder indicar esta entrada a partir da lista Conteúdo dinâmico, que é preenchida com as saídas do passo anterior. Por exemplo, o gatilho do conector do Microsoft Sentinel Quando uma resposta ao Alerta do Microsoft Sentinel é acionada fornece propriedades dinâmicas, como Entidades, Nome de exibição do alerta, que você pode usar para preencher as entradas.
Também pode adicionar um grupo de ações de controlo que permite que a aplicação lógica tome decisões. O grupo ações de controlo pode incluir condições lógicas, condições de maiúsculas/minúsculas ou ciclos.
Uma ação condition é uma instrução if que permite que a aplicação execute ações diferentes com base nos dados que está a processar. É composta por uma expressão booleana e duas ações. No runtime, o motor de execução avalia a expressão e escolhe uma ação com base no facto de a expressão ser verdadeira ou falsa.
Por exemplo, a Contoso recebe um grande volume de alertas, muitos deles com padrões recorrentes, que não podem ser processados ou investigados. Através da automação em tempo real, as equipas do SecOps da Contoso podem reduzir significativamente a carga de trabalho ao automatizar completamente as respostas de rotina para tipos de alertas recorrentes.
A seguinte captura de ecrã apresenta uma situação semelhante, em que, com base na entrada do utilizador, o manual de procedimentos pode alterar o estado do alerta. A ação de controlo interceta a entrada do utilizador e, se a expressão for avaliada como uma instrução verdadeira, o manual de procedimentos alterará o estado do alerta. Caso a ação de controlo avalie a expressão como falsa, o manual de procedimentos pode executar outras atividades, como enviar um e-mail conforme apresentado na captura de ecrã a seguir.
Depois de fornecer todas as etapas no Logic Apps Designer, salve o aplicativo lógico para criar um playbook no Microsoft Sentinel.
A página Aplicativos lógicos no Microsoft Sentinel
Os manuais de procedimentos criados são apresentados na página Manuais de procedimentos, onde pode fazer edições adicionais. Na página Playbooks , você pode selecionar um playbook existente e isso abrirá a página Aplicativos lógicos para esse playbook no Microsoft Sentinel.
Pode executar várias ações no manual de procedimentos na barra de cabeçalho do Logic Apps:
Executar Acionador. Utilize para executar a aplicação lógica e testar o manual de procedimentos.
Atualizar. Utilize para atualizar o estado da aplicação lógica para obter o estado da atividade.
Editar. Utilize para fazer edições adicionais no manual de procedimentos na página Estruturador de Aplicações Lógicas.
Eliminar. Use para excluir o aplicativo lógico se você não precisar dele.
Desativar. Utilize para desativar temporariamente a aplicação lógica para evitar que a ação seja executada mesmo que o acionador seja ativado.
Atualizar Esquema. Utilize para atualizar o esquema da aplicação lógica após uma alteração significativa na lógica.
Clonar. Utilize para fazer uma cópia da aplicação lógica existente e, em seguida, utilize-a como base para outras modificações.
Exportar. Utilize para exportar a aplicação lógica para o Microsoft Power Automate e para o Microsoft Power Apps.
A secção Informações Básicas apresenta informações descritivas sobre a aplicação lógica. Por exemplo, a definição da aplicação lógica apresenta o número de acionadores e ações que a aplicação lógica disponibiliza.
Pode utilizar a secção Resumo para rever informações resumidas acerca da aplicação lógica. Nesta secção, pode selecionar a ligação da aplicação lógica para a abrir no Estruturador de Aplicações Lógicas ou examinar o histórico de acionadores.
A secção Histórico de execuções apresenta as execuções anteriores da aplicação lógica e se estas foram concluídas com êxito ou com falhas.
Automatize a resposta a um incidente no Microsoft Sentinel
Como passo final, tem de anexar este manual de procedimentos a uma regra de análise para automatizar as respostas a um incidente. Pode utilizar a secção Resposta Automática na regra de análise para selecionar um manual de procedimentos para ser executado automaticamente quando o alerta for gerado. Para obter mais informações sobre como criar regras de análise, consulte o módulo "Deteção de ameaças com análise do Microsoft Sentinel".