Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como criar e utilizar regras de automatização no Microsoft Sentinel para gerir e orquestrar a resposta a ameaças, de modo a maximizar a eficiência e eficácia do SOC.
Neste artigo, irá aprender a definir os acionadores e condições que determinam quando a regra de automatização é executada, as várias ações que pode executar a regra e as funcionalidades restantes.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Estruturar a regra de automatização
Antes de criar a regra de automatização, recomendamos que determine o respetivo âmbito e design, incluindo o acionador, condições e ações que compõem a regra.
Determinar o âmbito
O primeiro passo para estruturar e definir a regra de automatização é descobrir a que incidentes ou alertas pretende que se apliquem. Esta determinação afeta diretamente a forma como cria a regra.
Também quer determinar o seu caso de utilização. O que está a tentar fazer com esta automatização? Considere as seguintes opções:
- Crie tarefas para os seus analistas seguirem na triagem, investigação e remediação de incidentes.
- Suprimir incidentes ruidosos. (Em alternativa, utilize outros métodos para processar falsos positivos no Microsoft Sentinel.)
- Faça a triagem de novos incidentes ao alterar os respetivos status de Novo para Ativo e ao atribuir um proprietário.
- Identificar incidentes para classificá-los.
- Aumente um incidente ao atribuir um novo proprietário.
- Feche os incidentes resolvidos, especificando um motivo e adicionando comentários.
- Analise os conteúdos do incidente (alertas, entidades e outras propriedades) e tome medidas adicionais ao chamar um manual de procedimentos.
- Processe ou responda a um alerta sem um incidente associado.
Determinar o acionador
Pretende que esta automatização seja ativada quando forem criados novos incidentes ou alertas? Ou sempre que um incidente é atualizado?
As regras de automatização são acionadas quando um incidente é criado ou atualizado ou quando é criado um alerta. Lembre-se de que os incidentes incluem alertas e que tanto os alertas como os incidentes podem ser criados por regras de análise, dos quais existem vários tipos, conforme explicado em Deteção de ameaças no Microsoft Sentinel.
A tabela seguinte mostra os diferentes cenários possíveis que fazem com que uma regra de automatização seja executada.
| Tipo de acionador | Eventos que fazem com que a regra seja executada |
|---|---|
| Quando o incidente é criado |
portal do Microsoft Defender: Microsoft Sentinel não integrado no portal do Defender: |
| Quando o incidente é atualizado | |
| Quando o alerta é criado |
Criar a regra de automatização
A maioria das seguintes instruções aplicam-se a todos os casos de utilização para os quais irá criar regras de automatização.
Se quiser suprimir incidentes ruidosos e estiver a trabalhar no portal do Azure, experimente lidar com falsos positivos.
Se quiser criar uma regra de automatização para aplicar a uma regra de análise específica, veja Definir respostas automatizadas e criar a regra.
Para criar a regra de automatização:
Para Microsoft Sentinel na portal do Azure, selecione a páginaAutomatização de Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Automatização de Configuração>.
Na página Automatização no menu de navegação Microsoft Sentinel, selecione Criar no menu superior e escolha Regra de automatização.
É aberto o painel Criar nova regra de automatização . No campo Nome da regra de automatização, introduza um nome para a regra.
Escolher o acionador
No menu pendente Acionador , selecione o acionador adequado de acordo com as circunstâncias para as quais está a criar a regra de automatização — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.
Definir condições
Utilize as opções na área Condições para definir condições para a regra de automatização. Todas as condições não são sensíveis a maiúsculas e minúsculas.
As regras que cria para quando um alerta é criado suportam apenas a propriedade If Analytic rule name na sua condição. Selecione se pretende que a regra seja inclusiva (Contém) ou exclusiva (Não contém) e, em seguida, selecione o nome da regra analítica na lista pendente.
Os valores de nomes de regras analíticas incluem apenas regras de análise e não incluem outros tipos de regras, como informações sobre ameaças ou regras de anomalias.
As regras que cria para quando um incidente é criado ou atualizado suportam uma grande variedade de condições, consoante o seu ambiente. Estas opções começam com a inclusão Microsoft Sentinel no portal do Defender:
Se a área de trabalho estiver integrada no portal do Defender, comece por selecionar um dos seguintes operadores, no Azure ou no portal do Defender:
AND: condições individuais que são avaliadas como um grupo. A regra é executada se todas as condições deste tipo forem cumpridas.
Para trabalhar com o operador AND , selecione + Adicionar expansor e selecione Condição (E) na lista pendente. A lista de condições é preenchida pelos campos da propriedade do incidente e da propriedade da entidade .
OU (também conhecidos como grupos de condição): grupos de condições, cada um dos quais são avaliados de forma independente. A regra é executada se um ou mais grupos de condições forem verdadeiros. Para saber como trabalhar com estes tipos complexos de condições, veja Adicionar condições avançadas às regras de automatização.
Por exemplo:
Se selecionou Quando um incidente é atualizado como o acionador, comece por definir as suas condições e, em seguida, adicione operadores e valores adicionais, conforme necessário.
Para definir as suas condições:
Selecione uma propriedade na primeira caixa pendente à esquerda. Pode começar a escrever qualquer parte do nome de uma propriedade na caixa de pesquisa para filtrar dinamicamente a lista, para que possa encontrar rapidamente o que procura.
Selecione um operador na caixa pendente seguinte à direita.
A lista de operadores que pode escolher varia de acordo com o acionador e a propriedade selecionados. Ao trabalhar no portal do Defender, recomendamos que utilize a condição de nome da regra analítica em vez de um título de incidente.
Condições disponíveis com o acionador de criação
Propriedade Conjunto de operadores - Título
- Descrição
- Todas as propriedades de entidade listadas
(veja as propriedades de entidade suportadas)- Igual a/Não é igual a
- Contém/Não contém
- Começa com/Não começa com
- Termina com/Não termina com- Etiqueta (Ver coleção individual vs. coleção) Qualquer etiqueta individual:
- Igual a/Não é igual a
- Contém/Não contém
- Começa com/Não começa com
- Termina com/Não termina com
Coleção de todas as etiquetas:
- Contém/Não contém- Gravidade
- Estado
- Chave de detalhes personalizada- Igual a/Não é igual a - Táticas
- Alertar nomes de produtos
- Valor de detalhes personalizados
- Nome da regra analítica- Contém/Não contém Condições disponíveis com o acionador de atualização
Propriedade Conjunto de operadores - Título
- Descrição
- Todas as propriedades de entidade listadas
(veja as propriedades de entidade suportadas)- Igual a/Não é igual a
- Contém/Não contém
- Começa com/Não começa com
- Termina com/Não termina com- Etiqueta (Ver coleção individual vs. coleção) Qualquer etiqueta individual:
- Igual a/Não é igual a
- Contém/Não contém
- Começa com/Não começa com
- Termina com/Não termina com
Coleção de todas as etiquetas:
- Contém/Não contém- Etiqueta (além de acima)
- Alertas
- Comentários- Adicionado - Gravidade
- Estado- Igual a/Não é igual a
- Alterado
- Alterado de
- Alterado para- Proprietário - Alterado. Se o proprietário de um incidente for atualizado através da API, tem de incluir o userPrincipalName ou o ObjectID para que a alteração seja detetada pelas regras de automatização. - Atualizado por
- Chave de detalhes personalizada- Igual a/Não é igual a - Táticas - Contém/Não contém
- Adicionado- Alertar nomes de produtos
- Valor de detalhes personalizados
- Nome da regra analítica- Contém/Não contém Condições disponíveis com o acionador de alerta
A única condição que pode ser avaliada pelas regras com base no acionador de criação de alertas é a qual Microsoft Sentinel regra de análise criou o alerta.
As regras de automatização baseadas no acionador de alerta só são executadas em alertas criados por Microsoft Sentinel.
Introduza um valor no campo à direita. Consoante a propriedade que escolheu, pode ser uma caixa de texto ou uma lista pendente na qual seleciona a partir de uma lista fechada de valores. Também poderá adicionar vários valores ao selecionar o ícone de dados à direita da caixa de texto.
Mais uma vez, para definir condições complexas ou com campos diferentes, veja Adicionar condições avançadas às regras de automatização.
Condições baseadas em etiquetas
Pode criar dois tipos de condições com base em etiquetas:
- As condições com quaisquer operadores de etiquetas individuais avaliam o valor especificado em relação a cada etiqueta na coleção. A avaliação é verdadeira quando , pelo menos, uma etiqueta satisfaz a condição.
- As condições com a Coleção de todos os operadores de etiquetas avaliam o valor especificado em relação à coleção de etiquetas como uma única unidade. A avaliação só é verdadeira se a coleção como um todo satisfizer a condição.
Para adicionar uma destas condições com base nas etiquetas de um incidente, siga os seguintes passos:
Crie uma nova regra de automatização, conforme descrito acima.
Adicione uma condição ou um grupo de condições.
Selecione Etiqueta na lista pendente de propriedades.
Selecione a lista pendente operadores para revelar os operadores disponíveis à escolha.
Veja como os operadores estão divididos em duas categorias, conforme descrito anteriormente. Escolha cuidadosamente o operador com base na forma como pretende que as etiquetas sejam avaliadas.
Para obter mais informações, veja Propriedade da etiqueta: individual vs. coleção.
Condições baseadas em detalhes personalizados
Pode definir o valor de um detalhe personalizado apresentado num incidente como uma condição de uma regra de automatização. Lembre-se de que os detalhes personalizados são pontos de dados em registos de eventos não processados que podem ser apresentados nos alertas e nos incidentes gerados a partir dos mesmos. Utilize os detalhes personalizados para aceder ao conteúdo relevante real nos alertas sem ter de analisar os resultados da consulta.
Limitação conhecida: ao utilizar valores de detalhes personalizados, o operador Não contém pode falhar ao avaliar corretamente quando estão presentes vários (dois ou mais) valores distintos.
Para adicionar uma condição com base num detalhe personalizado:
Crie uma nova regra de automatização, conforme descrito anteriormente.
Adicione uma condição ou um grupo de condições.
Selecione Chave de detalhes personalizada na lista pendente propriedades. Selecione Igual ou Não é igual à lista pendente de operadores.
Para a condição de detalhes personalizados, os valores na última lista pendente provêm dos detalhes personalizados que foram apresentados em todas as regras de análise listadas na primeira condição. Selecione o detalhe personalizado que pretende utilizar como uma condição.
Escolheu o campo que pretende avaliar para esta condição. Agora, especifique o valor apresentado nesse campo que faz com que esta condição seja avaliada como verdadeira.
Selecione + Adicionar condição de item.
A linha da condição de valor é apresentada abaixo.
Selecione Contém ou Não contém na lista pendente operadores. Na caixa de texto à direita, introduza o valor para o qual pretende que a condição seja avaliada como verdadeira.
Neste exemplo, se o incidente tiver o detalhe personalizado DestinationEmail e se o valor desse detalhe for pwned@bad-botnet.com, as ações definidas na regra de automatização serão executadas.
Adicionar ações
Escolha as ações que pretende que esta regra de automatização realize. As ações disponíveis incluem Atribuir proprietário, Alterar status, Alterar gravidade, Adicionar etiquetas e Executar manual de procedimentos. Pode adicionar o número de ações que quiser.
Observação
Apenas a ação Executar manual de procedimentos está disponível nas regras de automatização com o acionador de alerta.
Para qualquer ação que escolher, preencha os campos que aparecem para essa ação de acordo com o que pretende fazer.
Se adicionar uma ação Executar manual de procedimentos , ser-lhe-á pedido que escolha a partir da lista pendente de manuais de procedimentos disponíveis.
Apenas os manuais de procedimentos que começam com o acionador de incidentes podem ser executados a partir de regras de automatização com um dos acionadores de incidentes, pelo que apenas aparecem na lista. Da mesma forma, apenas os manuais de procedimentos que começam com o acionador de alerta estão disponíveis nas regras de automatização com o acionador de alerta.
Microsoft Sentinel têm de ser concedidas permissões explícitas para executar manuais de procedimentos. Se um manual de procedimentos aparecer indisponível na lista pendente, significa que Sentinel não tem permissões para aceder ao grupo de recursos desse manual de procedimentos. Para atribuir permissões, selecione a ligação Gerir permissões do manual de procedimentos .
No painel Gerir permissões que é aberto, marque as caixas de marcar dos grupos de recursos que contêm os manuais de procedimentos que pretende executar e selecione Aplicar.
Tem de ter permissões de proprietário em qualquer grupo de recursos ao qual pretenda conceder permissões de Microsoft Sentinel e tem de ter a função Contribuidor de Automatização Microsoft Sentinel em qualquer grupo de recursos que contenha manuais de procedimentos que pretenda executar.
Se ainda não tiver um manual de procedimentos que efetue a ação pretendida, crie um novo manual de procedimentos. Tem de sair do processo de criação da regra de automatização e reiniciá-lo depois de criar o manual de procedimentos.
Mover ações
Pode alterar a ordem das ações na regra mesmo depois de as ter adicionado. Selecione as setas azuis para cima ou para baixo junto a cada ação para movê-la para cima ou para baixo um passo.
Concluir a criação da regra
Em Expiração da regra, se quiser que a regra de automatização expire, defina uma data de expiração e, opcionalmente, uma hora. Caso contrário, deixe-o como Indefinido.
O campo Ordem é pré-preenchido com o número disponível seguinte para o tipo de acionador da regra. Este número determina onde na sequência de regras de automatização (do mesmo tipo de acionador) esta regra é executada. Pode alterar o número se pretender que esta regra seja executada antes de uma regra existente.
Para obter mais informações, veja Notas sobre a ordem de execução e a prioridade.
Selecione Aplicar. Pronto!
Auditar a atividade da regra de automatização
Descubra que regras de automatização podem ter feito a um determinado incidente. Tem um registo completo das crónicas de incidentes disponíveis na tabela SecurityIncident na página Registos no portal do Azure ou na página Investigação avançada no portal do Defender. Utilize a seguinte consulta para ver toda a atividade da regra de automatização:
SecurityIncident
| where ModifiedBy contains "Automation"
Execução de regras de automatização
As regras de automatização são executadas sequencialmente, de acordo com a ordem que determina. Cada regra de automatização é executada depois de a anterior terminar a execução. Dentro de uma regra de automatização, todas as ações são executadas sequencialmente pela ordem em que são definidas. Veja Notas sobre a ordem de execução e a prioridade para obter mais informações.
As ações do manual de procedimentos dentro de uma regra de automatização podem ser tratadas de forma diferente em algumas circunstâncias, de acordo com os seguintes critérios:
| Tempo de execução do manual de procedimentos | A regra de automatização avança para a próxima ação... |
|---|---|
| Menos de um segundo | Imediatamente após a conclusão do manual de procedimentos |
| Menos de dois minutos | Até dois minutos após o manual de procedimentos começar a ser executado, mas não mais de 10 segundos após a conclusão do manual de procedimentos |
| Mais de dois minutos | Dois minutos após o manual de procedimentos começar a ser executado, independentemente de ter sido ou não concluído |
Próximas etapas
Neste documento, aprendeu a utilizar regras de automatização para gerir centralmente a automatização de respostas para Microsoft Sentinel incidentes e alertas.
- Para saber como adicionar condições avançadas com
ORoperadores às regras de automatização, veja Adicionar condições avançadas às regras de automatização Microsoft Sentinel. - Para saber mais sobre as regras de automatização, veja Automatizar o processamento de incidentes em Microsoft Sentinel com regras de automatização
- Para saber mais sobre as opções avançadas de automatização, veja Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel.
- Para saber como utilizar regras de automatização para adicionar tarefas a incidentes, veja Criar tarefas de incidentes no Microsoft Sentinel com regras de automatização.
- Para migrar manuais de procedimentos de acionador de alertas para serem invocados pelas regras de automatização, veja Migrar os Microsoft Sentinel manuais de procedimentos de acionador de alertas para regras de automatização
- Para obter ajuda com a implementação de regras de automatização e manuais de procedimentos, veja Tutorial: Utilizar manuais de procedimentos para automatizar respostas a ameaças no Microsoft Sentinel.