Criar e executar tarefas de incidentes no Microsoft Sentinel com manuais de procedimentos

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo explica como utilizar manuais de procedimentos para criar e, opcionalmente, realizar tarefas de incidentes para gerir processos de fluxo de trabalho de analistas complexos no Microsoft Sentinel.

Utilize a ação Adicionar tarefa num manual de procedimentos, no conector Microsoft Sentinel, para adicionar automaticamente uma tarefa ao incidente que acionou o manual de procedimentos. Os fluxos de trabalho Standard e Consumption são suportados.

Sugestão

As tarefas de incidentes podem ser criadas automaticamente não só por manuais de procedimentos, mas também por regras de automatização e também manualmente, ad-hoc, a partir de um incidente.

Para obter mais informações, veja Utilizar tarefas para gerir incidentes no Microsoft Sentinel.

Pré-requisitos

  • A função responder Microsoft Sentinel é necessária para ver e editar incidentes, o que é necessário para adicionar, ver e editar tarefas.

  • A função Contribuidor do Logic Apps é necessária para criar e editar manuais de procedimentos.

Para obter mais informações, consulte Microsoft Sentinel pré-requisitos do manual de procedimentos.

Utilizar um manual de procedimentos para adicionar uma tarefa e executá-la

Esta secção fornece um procedimento de exemplo para adicionar uma ação de manual de procedimentos que faz o seguinte:

  • Adiciona uma tarefa ao incidente, repondo a palavra-passe de um utilizador comprometido
  • Adiciona outra ação do manual de procedimentos para enviar um sinal para Microsoft Entra ID Protection (AADIP) para repor a palavra-passe
  • Adiciona uma ação final do manual de procedimentos para marcar a tarefa no incidente como concluída.

Para adicionar e configurar estas ações, siga os seguintes passos:

  1. No conector Microsoft Sentinel, adicione a ação Adicionar tarefa ao incidente e, em seguida:

    1. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .

    2. Introduza Repor palavra-passe de utilizador como Título.

    3. Adicione uma descrição opcional.

    Por exemplo:

    Captura de ecrã a mostrar ações do manual de procedimentos para adicionar uma tarefa para repor a palavra-passe de um utilizador.

  2. Adicione a ação Entidades – Obter Contas (Pré-visualização ). Adicione o item de conteúdo dinâmico Entidades (do Microsoft Sentinel esquema de incidentes) ao campo de lista Entidades. Por exemplo:

    Captura de ecrã a mostrar as ações do manual de procedimentos para obter as entidades de conta no incidente.

  3. Adicione um ciclo Para cada a partir da biblioteca de ações de controlo . Adicione o item de conteúdo dinâmico Contas a partir da saída Entidades – Obter Contas ao campo Selecionar um resultado dos passos anteriores . Por exemplo:

    Captura de ecrã a mostrar como adicionar uma ação de ciclo for-each a um manual de procedimentos para efetuar uma ação em cada conta detetada.

  4. Dentro do ciclo Para cada , selecione Adicionar uma ação. Em seguida:

    1. Procure e selecione o conector do Microsoft Entra ID Protection
    2. Selecione a ação Confirmar um utilizador de risco como comprometido (Pré-visualização).
    3. Adicione o item de conteúdo dinâmico Contas Microsoft Entra ID de utilizador ao campo userIds Item - 1.

    Esta ação define os processos de movimento dentro do Microsoft Entra ID Protection para repor a palavra-passe do utilizador.

    Captura de ecrã a mostrar o envio de entidades para o AADIP para confirmar o compromisso.

    Nota

    O campo Contas Microsoft Entra ID de utilizador é uma forma de identificar um utilizador no AADIP. Pode não ser necessariamente a melhor maneira em todos os cenários, mas é trazido aqui como um exemplo.

    Para obter assistência, consulte outros manuais de procedimentos que processam utilizadores comprometidos ou a documentação do Microsoft Entra ID Protection.

  5. Adicione a ação Marcar uma tarefa como concluída a partir do conector Microsoft Sentinel e adicione o item de conteúdo dinâmico ID da tarefa incidente ao campo ID do ARM da Tarefa. Por exemplo:

    Captura de ecrã a mostrar como adicionar uma ação de manual de procedimentos para marcar uma tarefa de incidente como concluída.

Utilizar um manual de procedimentos para adicionar uma tarefa condicionalmente

Esta secção fornece um procedimento de exemplo para adicionar uma ação de manual de procedimentos que pesquisa um endereço IP que aparece num incidente.

  • Se os resultados desta pesquisa forem de que o endereço IP é malicioso, o manual de procedimentos cria uma tarefa para o analista desativar o utilizador com esse endereço IP.
  • Se o endereço IP não for um endereço malicioso conhecido, o manual de procedimentos cria uma tarefa diferente, para que o analista contacte o utilizador para verificar a atividade.

Para adicionar e configurar estas ações, siga os seguintes passos:

  1. No conector Microsoft Sentinel, adicione a ação Entidades – Obter IPs. Adicione o item de conteúdo dinâmico Entidades (do Microsoft Sentinel esquema de incidentes) ao campo de lista Entidades. Por exemplo:

    Captura de ecrã a mostrar as ações do manual de procedimentos para obter as entidades de endereço IP no incidente.

  2. Adicione um ciclo Para cada a partir da biblioteca de ações de controlo . Adicione o item de conteúdo dinâmico IPs da saída Entidades – Obter IPs ao campo Selecionar um resultado dos passos anteriores . Por exemplo:

    Captura de ecrã a mostrar como adicionar uma ação de ciclo for-each a um manual de procedimentos para efetuar uma ação em cada endereço IP detetado.

  3. Dentro do ciclo Para cada , selecione Adicionar uma ação e, em seguida:

    1. Procure e selecione o conector Total de Vírus .
    2. Selecione a ação Obter um relatório IP (Pré-visualização ).
    3. Adicione o item de conteúdo dinâmico Endereço IPs de Entidades – Obter IPs ao campo Endereço IP .

    Por exemplo:

    Captura de ecrã a mostrar o envio do pedido para o Total de Vírus para o relatório de endereços IP.

  4. Dentro do ciclo Para cada , selecione Adicionar uma ação e, em seguida:

    1. Adicione uma Condição a partir da biblioteca de ações de controlo .
    2. Adicione o item Última análise estatísticas Conteúdo dinâmico malicioso a partir da saída Obter um relatório IP . Poderá ter de selecionar Ver mais para o encontrar.
    3. Selecione o operador é maior que o operador e introduza 0 como o valor.

    Esta condição faz a pergunta "O relatório ip total do vírus teve algum resultado?" Por exemplo:

    Captura de ecrã a mostrar como definir uma condição true-false num manual de procedimentos.

  5. Dentro da opção Verdadeiro , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa a incidentes no conector Microsoft Sentinel.
    2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .
    3. Introduza Marcar utilizador como comprometido como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    Captura de ecrã a mostrar ações do manual de procedimentos para adicionar uma tarefa para marcar um utilizador como comprometido.

  6. Dentro da opção Falso , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa a incidentes no conector Microsoft Sentinel.
    2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .
    3. Introduza Contacte o utilizador para confirmar a atividade como Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    Captura de ecrã a mostrar ações do manual de procedimentos para adicionar uma tarefa para que o utilizador confirme a atividade.

Conteúdos relacionados

Para mais informações, consulte:

  • Last updated on