Partilhar via


Monitore a integridade de suas regras de automação e playbooks

Para garantir o funcionamento e o desempenho adequados de suas operações de orquestração de segurança, automação e resposta em seu serviço Microsoft Sentinel, acompanhe a integridade de suas regras e playbooks de automação monitorando seus logs de execução.

Configure notificações de eventos de saúde para as partes interessadas relevantes, que podem então tomar medidas. Por exemplo, defina e envie mensagens de e-mail ou do Microsoft Teams, crie novos tíquetes em seu sistema de tíquetes e assim por diante.

Este artigo descreve como usar os recursos de monitoramento de integridade do Microsoft Sentinel para acompanhar suas regras de automação e a integridade dos playbooks de dentro do Microsoft Sentinel. Para obter mais informações, consulte Auditoria e monitoramento de integridade no Microsoft Sentinel.

Usar a tabela de dados do SentinelHealth (visualização pública)

Para obter dados de integridade de automação da tabela de dados do SentinelHealth , primeiro ative o recurso de integridade do Microsoft Sentinel para seu espaço de trabalho. Para obter mais informações, consulte Ativar o monitoramento de integridade para o Microsoft Sentinel.

Quando o recurso de integridade é ativado, a tabela de dados do SentinelHealth é criada no primeiro evento de sucesso ou falha gerado para suas regras e playbooks de automação.

Compreender os eventos da tabela SentinelHealth

Os seguintes tipos de eventos de integridade de automação são registrados na tabela SentinelHealth :

  • Execução da regra de automação. Registrado sempre que as condições de uma regra de automação são atendidas, fazendo com que ela seja executada. Além dos campos na tabela básica do SentinelHealth , esses eventos incluirão propriedades estendidas exclusivas para a execução de regras de automação, incluindo uma lista dos playbooks chamados pela regra. A consulta de exemplo a seguir exibirá esses eventos:

    SentinelHealth
    | where OperationName == "Automation rule run"
    
  • A cartilha foi acionada. Registrado sempre que um playbook é acionado em um incidente manualmente a partir do portal ou através da API. Além dos campos na tabela básica do SentinelHealth , esses eventos incluirão propriedades estendidas exclusivas para o acionamento manual de playbooks. A consulta de exemplo a seguir exibirá esses eventos:

    SentinelHealth
    | where OperationName == "Playbook was triggered"
    

Para obter mais informações, consulte Esquema de colunas da tabela SentinelHealth.

Status, erros e etapas sugeridas

Para o status de execução da regra de automação, você pode ver os seguintes status:

  • Sucesso: regra executada com sucesso, acionando todas as ações.

  • Sucesso parcial: regra executada e acionada pelo menos uma ação, mas algumas ações falharam.

  • Falha: a regra de automação não executou nenhuma ação devido a um dos seguintes motivos:

    • A avaliação das condições falhou.
    • As condições foram cumpridas, mas a primeira ação falhou.

Para o status Playbook foi acionado , você pode ver os seguintes status:

  • Sucesso: a cartilha foi acionada com sucesso.

  • Falha: o manual não pôde ser acionado.

    Nota

    O sucesso significa apenas que a regra de automação acionou com sucesso um manual. Ele não informa quando o playbook começou ou terminou, os resultados das ações no playbook, ou o resultado final do playbook.

    Para encontrar essas informações, consulte os logs de diagnóstico do Logic Apps. Para obter mais informações, consulte Obter o panorama completo da automação.

Descrições de erros e ações sugeridas

Descrição do erro Ações sugeridas
Não foi possível adicionar tarefa: TaskName>.<
Incidente/alerta não foi encontrado.
Certifique-se de que o incidente/alerta existe e tente novamente.
Não foi possível adicionar tarefa: TaskName>.<
Incidente já contém o número máximo permitido de tarefas.
Se essa tarefa for necessária, veja se há alguma tarefa que possa ser removida ou consolidada e tente novamente.
Não foi possível modificar a propriedade: PropertyName>.<
Incidente/alerta não foi encontrado.
Certifique-se de que o incidente/alerta existe e tente novamente.
Não foi possível modificar a propriedade: PropertyName>.<
Demasiados pedidos, excedendo os limites de limitação.
Não foi possível acionar o playbook: PlaybookName>.<
Incidente/alerta não foi encontrado.
Se o erro ocorreu ao tentar acionar um manual sob demanda, verifique se o incidente/alerta existe e tente novamente.
Não foi possível acionar o playbook: PlaybookName>.<
Ou o manual não foi encontrado, ou o Microsoft Sentinel estava faltando permissões nele.
Edite a regra de automação, localize e selecione o manual em seu novo local e salve. Verifique se o Microsoft Sentinel tem permissão para executar este manual.
Não foi possível acionar o playbook: PlaybookName>.<
Contém um tipo de gatilho sem suporte.
Verifique se o playbook começa com o gatilho correto dos Aplicativos Lógicos: Incidente do Microsoft Sentinel ou Alerta do Microsoft Sentinel.
Não foi possível acionar o playbook: PlaybookName>.<
A subscrição está desativada e marcada como só de leitura. Os playbooks desta assinatura não podem ser executados até que a assinatura seja reativada.
Reative a assinatura do Azure na qual o manual está localizado.
Não foi possível acionar o playbook: PlaybookName>.<
A cartilha foi desativada.
Habilite seu playbook, no Microsoft Sentinel, na guia Ative Playbooks, em Automação, ou na página de recursos Aplicativos Lógicos.
Não foi possível acionar o playbook: PlaybookName>.<
Definição de modelo inválida.
Há um erro na definição do manual. Vá para o designer de Aplicativos Lógicos para corrigir os problemas e salvar o playbook.
Não foi possível acionar o playbook: PlaybookName>.<
A configuração de controle de acesso restringe o Microsoft Sentinel.
As configurações de Aplicativos Lógicos permitem restringir o acesso para acionar o playbook. Esta restrição está em vigor para este manual. Remova esta restrição para que o Microsoft Sentinel não seja bloqueado. Mais informações
Não foi possível acionar o playbook: PlaybookName>.<
Microsoft Sentinel está faltando permissões para executá-lo.
O Microsoft Sentinel requer permissões para executar playbooks.
Não foi possível acionar o playbook: PlaybookName>.<
O Playbook não foi migrado para o novo modelo de permissões. Conceda permissões ao Microsoft Sentinel para executar este manual e salvar novamente a regra.
Conceda permissões ao Microsoft Sentinel para executar este manual e salvar novamente a regra.
Não foi possível acionar o playbook: PlaybookName>.<
Muitas solicitações, excedendo os limites de limitação do fluxo de trabalho.
O número de execuções de fluxo de trabalho em espera excedeu o limite máximo permitido. Tente aumentar o valor da configuração de simultaneidade de 'maximumWaitingRuns' gatilho.
Não foi possível acionar o playbook: PlaybookName>.<
Demasiados pedidos, excedendo os limites de limitação.
Saiba mais sobre os limites de subscrição e de inquilino.
Não foi possível acionar o playbook: PlaybookName>.<
O acesso era proibido. A identidade gerenciada está faltando configuração ou a restrição de rede dos Aplicativos Lógicos foi definida.
Se o manual utilizar a identidade gerida, certifique-se de que a identidade gerida foi atribuída com permissões. O manual pode ter regras de restrição de rede que impedem que ele seja acionado à medida que bloqueiam o serviço Microsoft Sentinel.
Não foi possível acionar o playbook: PlaybookName>.<
A assinatura ou o grupo de recursos foi bloqueado.
Remova o bloqueio para permitir que o Microsoft Sentinel acione playbooks no escopo bloqueado. Saiba mais sobre recursos bloqueados.
Não foi possível acionar o playbook: PlaybookName>.<
O chamador está faltando as permissões necessárias de acionamento de playbook no playbook, ou o Microsoft Sentinel está faltando permissões nele.
O usuário que está tentando acionar o playbook sob demanda está faltando a função de Colaborador de Aplicativos Lógicos no playbook ou para acionar o playbook. Mais informações
Não foi possível acionar o playbook: PlaybookName>.<
Credenciais inválidas em conexão.
Verifique as credenciais que sua conexão está usando no serviço de conexões de API no portal do Azure.
Não foi possível acionar o playbook: PlaybookName>.<
Playbook ARM ID não é válido.

Obtenha uma imagem completa da automação

A tabela de monitoramento de integridade do Microsoft Sentinel permite que você acompanhe quando os playbooks são acionados, mas para monitorar o que acontece dentro de seus playbooks e seus resultados quando eles são executados, você também deve ativar o diagnóstico nos Aplicativos Lógicos do Azure para ingerir os seguintes eventos na tabela AzureDiagnostics:

  • {Nome da ação} iniciado
  • {Nome da ação} terminado
  • Fluxo de trabalho (playbook) iniciado
  • Fluxo de trabalho (playbook) encerrado

Esses eventos adicionais fornecem informações adicionais sobre as ações que estão sendo tomadas em seus playbooks.

Ativar o diagnóstico de Aplicativos Lógicos do Azure

Para cada playbook que você está interessado em monitorar, habilite o Log Analytics para seu aplicativo lógico. Certifique-se de selecionar Enviar para o espaço de trabalho do Log Analytics como seu destino de log e escolha seu espaço de trabalho do Microsoft Sentinel.

Correlacione os logs do Microsoft Sentinel e dos Aplicativos Lógicos do Azure

Agora que você tem logs para suas regras de automação e playbooks e logs para seus fluxos de trabalho individuais de Aplicativos Lógicos em seu espaço de trabalho, você pode correlacioná-los para obter uma visão completa. Considere a seguinte consulta de exemplo:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Usar a pasta de trabalho de monitoramento de integridade

A pasta de trabalho de integridade de automação ajuda você a visualizar seus dados de integridade, bem como a correlação entre os dois tipos de logs que acabamos de mencionar. A pasta de trabalho inclui as seguintes exibições:

  • Integridade e detalhes da regra de automação
  • Playbook gatilho saúde e detalhes
  • O Playbook executa a integridade e os detalhes (requer o Diagnóstico do Azure habilitado no nível do Playbook)
  • Detalhes de automação por incidente

Por exemplo:

A captura de tela mostra o painel de abertura da pasta de trabalho de integridade de automação.

Selecione a guia Playbooks executados por Regras de automação para ver a atividade do playbook.

A captura de tela mostra uma lista dos playbooks chamados por regras de automação.

Selecione um playbook para ver a lista de suas execuções no gráfico detalhado abaixo.

A captura de tela mostra uma lista de execuções do manual escolhido.

Selecione uma execução específica para ver os resultados das ações no playbook.

A captura de tela mostra as ações tomadas em uma determinada execução deste manual.

Próximos passos