Partilhar via


Automação no Microsoft Sentinel: orquestração, automação e resposta de segurança (SOAR)

As equipes de gerenciamento de informações e eventos de segurança (SIEM) e do centro de operações de segurança (SOC) normalmente são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que o pessoal disponível fica sobrecarregado. Isso resulta muitas vezes em situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.

O Microsoft Sentinel, além de ser um sistema SIEM, também é uma plataforma para orquestração, automação e resposta de segurança (SOAR). Um de seus principais objetivos é automatizar quaisquer tarefas recorrentes e previsíveis de enriquecimento, resposta e remediação que sejam de responsabilidade do seu centro de operações de segurança e pessoal (SOC/SecOps), liberando tempo e recursos para uma investigação mais aprofundada e caça a ameaças avançadas.

Este artigo descreve os recursos SOAR do Microsoft Sentinel e mostra como o uso de regras de automação e playbooks em resposta a ameaças à segurança aumenta a eficácia do SOC e economiza tempo e recursos.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Regras de automatização

O Microsoft Sentinel usa regras de automação para permitir que os usuários gerenciem a automação de tratamento de incidentes a partir de um local central. Use regras de automação para:

  • Atribua automação mais avançada a incidentes e alertas, usando playbooks
  • Marque, atribua ou feche incidentes automaticamente sem um manual
  • Automatize respostas para várias regras de análise ao mesmo tempo
  • Crie listas de tarefas para seus analistas executarem ao triar, investigar e remediar incidentes
  • Controlar a ordem das ações que são executadas

Recomendamos que você aplique regras de automação quando incidentes são criados ou atualizados para agilizar ainda mais a automação e simplificar fluxos de trabalho complexos para seus processos de orquestração de incidentes.

Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.

Manuais de Procedimentos

Um manual é uma coleção de ações e lógicas de resposta e correção que podem ser executadas a partir do Microsoft Sentinel como rotina. Um manual pode:

  • Ajude a automatizar e orquestrar sua resposta a ameaças
  • Integração com outros sistemas, internos e externos
  • Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, ou executar manualmente sob demanda, como em resposta a novos alertas

No Microsoft Sentinel, os playbooks são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda você a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Isso significa que os playbooks podem aproveitar todo o poder e a capacidade de personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e das ferramentas de design fáceis de usar, além da escalabilidade, confiabilidade e nível de serviço de um serviço Azure de Nível 1.

Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.

Automação no portal do Microsoft Defender

Depois de integrar seu espaço de trabalho do Microsoft Sentinel ao portal do Defender, observe as seguintes diferenças na maneira como a automação funciona em seu espaço de trabalho:

Funcionalidade Description
Regras de automação com gatilhos de alerta No portal do Defender, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel.

Para obter mais informações, consulte Alerta criar gatilho.
Regras de automação com gatilhos de incidentes No portal do Azure e no portal do Defender, a propriedade de condição do provedor de incidentes é removida, pois todos os incidentes têm o Microsoft Defender XDR como o provedor de incidentes (o valor no campo ProviderName ).

Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do provedor de incidentes está definida apenas como Microsoft Sentinel ou Microsoft 365 Defender.

No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente em incidentes que contêm alertas criados pela regra de análise especificada. Isso significa que você pode definir a propriedade de condição do nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada em incidentes somente no Microsoft Sentinel.

Para obter mais informações, consulte Condições de acionamento de incidente.
Alterações aos nomes de incidentes existentes O portal Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho ao portal do Defender, os nomes de incidentes existentes podem ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes como critérios de condição em suas regras de automação e sugerimos, em vez disso, usar o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e tags se for necessária mais especificidade.
Atualizado por campo
  • Após a integração do espaço de trabalho, o campo Atualizado por tem um novo conjunto de valores suportados, que não incluem mais o Microsoft 365 Defender. Nas regras de automação existentes, o Microsoft 365 Defender é substituído por um valor de Outros após a integração do seu espaço de trabalho.

  • Se várias alterações forem feitas no mesmo incidente em um período de 5 a 10 minutos, uma única atualização será enviada para o Microsoft Sentinel, com apenas a alteração mais recente.

    Para obter mais informações, consulte Gatilho de atualização de incidente.
  • Regras de automação que adicionam tarefas incidentes Se uma regra de automação adicionar uma tarefa incidente, a tarefa será mostrada somente no portal do Azure.
    Regras de criação de incidentes da Microsoft As regras de criação de incidentes da Microsoft não são suportadas no portal do Defender.

    Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft.
    Executando regras de automação a partir do portal do Defender Pode levar até 10 minutos desde o momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse intervalo de tempo ocorre porque o incidente é criado no portal do Defender e, em seguida, encaminhado para o Microsoft Sentinel para a regra de automação.
    Guia Playbooks ativos Após a integração no portal do Defender, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados para outras assinaturas usando o filtro de assinatura.

    Para obter mais informações, consulte Criar e personalizar playbooks do Microsoft Sentinel a partir de modelos de conteúdo.
    Executando playbooks manualmente sob demanda Atualmente, os seguintes procedimentos não são suportados no portal do Defender:
  • Executar um playbook manualmente em um alerta
  • Executar um playbook manualmente em uma entidade
  • A execução de playbooks em incidentes requer a sincronização do Microsoft Sentinel Se você tentar executar um manual sobre um incidente no portal do Defender e vir a mensagem "Não é possível acessar os dados relacionados a esta ação. Atualize a tela em alguns minutos." significa que o incidente ainda não está sincronizado com o Microsoft Sentinel.

    Atualize a página do incidente depois que o incidente for sincronizado para executar o playbook com êxito.
    Incidentes: Adicionar alertas a incidentes /
    Remoção de alertas de incidentes
    Como não há suporte para adicionar alertas ou remover alertas de incidentes após a integração do seu espaço de trabalho no portal do Defender, essas ações também não são suportadas nos playbooks. Para obter mais informações, consulte Diferenças de capacidade entre portais.