Criar tarefas de incidentes no Microsoft Sentinel com regras de automatização

Este artigo explica como utilizar regras de automatização para criar listas de tarefas de incidentes, de forma a uniformizar os processos de fluxo de trabalho dos analistas no Microsoft Sentinel.

As tarefas de incidentes podem ser criadas automaticamente não só por regras de automatização, mas também por manuais de procedimentos e também manualmente, ad-hoc, a partir de um incidente.

Casos de utilização para diferentes funções

Este artigo aborda os seguintes cenários que se aplicam a gestores de SOC, analistas seniores e engenheiros de automatização:

• Ver regras de automatização com ações de tarefas de incidentes
• Adicionar tarefas a incidentes com regras de automatização

Outro cenário deste tipo é abordado no seguinte artigo complementar:

• Adicionar tarefas a incidentes com manuais de procedimentos

Outro artigo, nas seguintes ligações, aborda cenários que se aplicam mais aos analistas do SOC:

• Ver e seguir tarefas de incidentes
• Adicionar manualmente uma tarefa ad hoc a um incidente

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para criar regras de automatização e para ver e editar incidentes, ambos necessários para adicionar, ver e editar tarefas.

Ver regras de automatização com ações de tarefas de incidentes

Na página Automatização , pode filtrar a vista das regras de automatização para ver apenas as que têm ações Adicionar tarefa definidas.

1. Selecione o filtro Ações .

2. Desmarque a caixa de verificação Selecionar tudo .

3. Desloque-se para baixo e marque a caixa de verificação Adicionar tarefa .

4. Selecione OK e veja os resultados.

   

   Estas são as regras de automatização que adicionam tarefas a incidentes. A coluna Nomes de regras de análise indica-lhe em que regras de análise estas regras de automatização estão condicionadas, pelo que terá uma ideia geral dos incidentes que são afetados.

   Nota

   Para ter conhecimentos exatos sobre se uma regra de automatização será aplicada a um determinado incidente, tem de abrir a regra para ver se existem condições adicionais definidas, além da condição da regra de análise. Se forem definidas outras condições, o âmbito dos incidentes afetados será reduzido em conformidade.

Adicionar tarefas a incidentes com regras de automatização

1. Na página Automatização , selecione + Criar e selecione Regra de automatização.

2. O painel Criar nova regra de automatização será aberto no lado direito.
   Atribua um nome à regra de automatização que descreva o que faz.

3. Selecione Quando o incidente é criado como o acionador (também pode utilizar Quando o incidente é atualizado).

4. Adicione Condições para determinar que incidentes serão adicionadas novas tarefas.

   Por exemplo, filtre pelo nome da regra de Análise:

   • Poderá querer adicionar tarefas a incidentes com base nos tipos de ameaças detetadas por uma regra de análise ou por um grupo de regras de análise que têm de ser processadas de acordo com um determinado fluxo de trabalho. Procure e selecione as regras de análise relevantes na lista pendente.

   • Em alternativa, poderá querer adicionar tarefas relevantes para incidentes em todos os tipos de ameaças (neste caso, deixe a seleção predefinida de Tudo como está).

   Em ambos os casos, pode adicionar mais condições para restringir o âmbito dos incidentes aos quais a regra de automatização será aplicada. Saiba mais sobre como adicionar condições avançadas às regras de automatização.

   Uma coisa que terá de considerar é que a ordem pela qual as tarefas aparecem no incidente é determinada pela hora de criação das tarefas. Pode definir a ordem das regras de automatização para que as regras que adicionam tarefas necessárias para todos os incidentes sejam executadas primeiro e apenas posteriormente quaisquer regras que adicionem tarefas necessárias para incidentes gerados por regras de análise específicas.

   

5. Em Ações, selecione Adicionar tarefa.

   

6. Para cada tarefa, introduza um título no campo Título da tarefa e, em seguida, (opcionalmente) selecione + Adicionar descrição para abrir um campo de descrição.
   Apenas os títulos de tarefas são apresentados por predefinição no painel de lista de tarefas do incidente. A descrição de uma tarefa só é apresentada quando o item de tarefa é expandido.

   

7. No campo de descrição, pode adicionar uma descrição de forma livre para a tarefa, incluindo imagens, ligações e formatação de texto formatado (veja as hiperligações, listas numeradas e texto formatado com bloco de código nos exemplos abaixo).

   

8. Adicione mais tarefas ao mesmo grupo de incidentes ao selecionar + Adicionar ação e repetir os últimos três passos.

   As tarefas serão criadas e adicionadas ao incidente de acordo com a ordem das ações Adicionar tarefa na regra de automatização.

   

9. Conclua a criação da regra de automatização ao concluir os passos restantes, Expiração da regra e Ordem e selecione Aplicar no final. Veja Criar e utilizar Microsoft Sentinel regras de automatização para gerir a resposta para obter detalhes completos.

   Relativamente à definição Encomenda : a ordem pela qual as tarefas aparecem nos incidentes depende de duas coisas:

   1. A ordem de execução das regras de automatização, conforme determinado pelo número na definição Ordem e...
   2. A ordem das ações Adicionar tarefa definidas em cada regra de automatização.

Passos seguintes

• Saiba mais sobre tarefas de incidentes.
• Saiba como investigar incidentes.
• Saiba como adicionar tarefas a grupos de incidentes automaticamente através de manuais de procedimentos.
• Saiba como utilizar tarefas para processar o fluxo de trabalho de incidentes no Microsoft Sentinel.
• Saiba mais sobre as regras de automatização e como criá-las.