Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os SOCs (centros de operações de segurança) enfrentam um fluxo constante de alertas e incidentes de segurança. Gerenciá-los com eficiência é fundamental para manter a segurança da sua organização forte. Os guias estratégicos do Microsoft Sentinel são fluxos de trabalho automatizados que ajudam você a responder a ameaças de forma rápida e consistente. Este artigo mostra como usar guias estratégicos no Microsoft Sentinel para automatizar a resposta a ameaças, reduzir o esforço manual e permitir que sua equipe se concentre em investigações mais profundas.
Use guias estratégicos do Microsoft Sentinel para executar conjuntos pré-configurados de ações de correção e automatizar e orquestrar sua resposta a ameaças. Execute guias estratégicos automaticamente em resposta a alertas e incidentes específicos que disparam uma regra de automação configurada ou execute-os manualmente para uma entidade ou alerta específico.
Por exemplo, se uma conta e um computador estiverem comprometidos, um guia estratégico poderá isolar automaticamente o computador da rede e bloquear a conta antes que a equipe do SOC seja notificada sobre o incidente.
Observação
Como os guias estratégicos usam os Aplicativos Lógicos do Azure, encargos adicionais podem ser aplicados. Acesse a página de preços dos Aplicativos Lógicos do Azure para obter mais detalhes.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Casos de uso recomendados
A tabela a seguir lista casos comuns de uso em que os guias estratégicos do Microsoft Sentinel ajudam a automatizar a resposta a ameaças:
| Caso de uso | Descrição |
|---|---|
| Enriquecimento | Colete dados e anexe-os a um incidente para que sua equipe possa tomar decisões melhores. |
| Sincronização bidirecional | Sincronize incidentes do Microsoft Sentinel com outros sistemas de tíquetes. Por exemplo, crie uma regra de automação para todos os novos incidentes e anexe um guia estratégico que abra um tíquete no ServiceNow. |
| Orquestração | Use a plataforma de chat da equipe SOC para gerenciar a fila de incidentes. Por exemplo, envie uma mensagem para o canal de operações de segurança no Microsoft Teams ou slack para que seus analistas de segurança saibam sobre o incidente. |
| Resposta | Responda a ameaças imediatamente com o mínimo de envolvimento humano, como quando um usuário ou computador comprometido é detectado. Ou dispare manualmente as etapas automatizadas durante uma investigação ou durante a busca. |
Para obter mais informações, consulte Casos de uso, modelos e exemplos recomendados do guia estratégico.
Pré-requisitos
Você precisa das funções a seguir para usar os Aplicativos Lógicos do Azure para criar e executar guias estratégicos no Microsoft Sentinel.
| Função | Descrição |
|---|---|
| Proprietário | Permite-lhe conceder acesso aos manuais no grupo de recursos. |
| Colaborador do Microsoft Sentinel | Permite anexar um guia estratégico a uma regra de análise ou automação. |
| Respondente do Microsoft Sentinel | Permite que você acesse um incidente para executar um guia estratégico manualmente, mas não permite que você execute o guia estratégico. |
| Operador de Guia Estratégico do Microsoft Sentinel | Permite executar um guia estratégico manualmente. |
| Colaborador de automação do Microsoft Sentinel | Permite que as regras de automação executem guias estratégicos. Esta função não é usada para nenhuma outra finalidade. |
A tabela a seguir descreve as funções necessárias com base em se você seleciona um aplicativo lógico de Consumo ou Standard para criar seu guia estratégico:
| Aplicativo lógico | Funções do Azure | Descrição |
|---|---|---|
| Consumo | Colaborador de Aplicativo Lógico | Editar e gerenciar aplicativos lógicos. Executar guias estratégicos. Não permite que você conceda acesso a guias estratégicos. |
| Consumo | Operador de Aplicativo Lógico | Ler, habilitar e desabilitar aplicativos lógicos. Não permite que você edite ou atualize aplicativos lógicos. |
| Standard | Operador Standard dos Aplicativos Lógicos | Habilitar, reenviar e desabilitar fluxos de trabalho em um aplicativo lógico. |
| Standard | Desenvolvedor Standard dos Aplicativos Lógicos | Criar e editar aplicativos lógicos. |
| Standard | Colaborador Standard dos Aplicativos Lógicos | Gerenciar todos os aspectos de um aplicativo lógico. |
A guia Guias estratégicos ativos na página Automação exibe todos os guias estratégicos ativos disponíveis em todas as assinaturas selecionadas. Por padrão, um guia estratégico só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.
Permissões extras necessárias para o Microsoft Sentinel executar guias estratégicos
O Microsoft Sentinel usa uma conta de serviço para executar guias estratégicos em incidentes, para adicionar segurança e habilitar a API de regras de automação para dar suporte a casos de uso de CI/CD. Essa conta de serviço é usada para manuais acionados por incidentes ou quando você executa um manual manualmente em um incidente específico.
Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos onde o guia estratégico reside, na forma da função Microsoft Sentinel Automation Contributor . Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer guia estratégico no grupo de recursos relevante, manualmente ou com uma regra de automação.
Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de Proprietário ou Administrador de acesso de usuário. Para executar os guias estratégicos, você também precisará da função de Colaborador do Aplicativo Lógico no grupo de recursos que contém os guias estratégicos que você deseja executar.
Modelos de guia estratégico (versão prévia)
Importante
Os modelos de guias estratégicos estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Os modelos de playbook são fluxos de trabalho predefinidos, testados e prontos para uso que não podem ser usados como playbooks em si, mas estão prontos para que você os personalize de acordo com suas necessidades. Também recomendamos que você use modelos de guia estratégico como referência de práticas recomendadas ao desenvolver guias estratégicos do zero ou como inspiração para novos cenários de automação.
Obtenha modelos de guia estratégico destas fontes:
| Location | Descrição |
|---|---|
| Página automação do Microsoft Sentinel | A aba Modelos de Playbook mostra todos os playbooks instalados. Crie um ou mais guias estratégicos ativos usando o mesmo modelo. Quando uma nova versão de um modelo é publicada, todos os guias estratégicos ativos criados a partir desse modelo recebem um rótulo extra na guia Guias estratégicos ativos para mostrar que uma atualização está disponível. |
| Página de Hub de conteúdo do Microsoft Sentinel | Os modelos de guia estratégico fazem parte de soluções de produtos ou conteúdo autônomo que você instala no Hub de Conteúdo. Para obter mais informações, consulte: Sobre o conteúdo e as soluções do Microsoft Sentinel Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel |
| GitHub | O repositório GitHub do Microsoft Sentinel tem muitos outros modelos de playbook. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure. |
Um modelo de playbook é um modelo do Azure Resource Manager (ARM) que inclui vários recursos: um fluxo de trabalho do Azure Logic Apps e conexões de API para cada conexão envolvida.
Para obter mais informações, consulte:
- Criar e personalizar os guias estratégicos do Microsoft Sentinel com base em modelos de conteúdo
- Modelos de guia estratégico recomendados
- Aplicativos Lógicos do Azure para os guias estratégicos do Microsoft Sentinel
Criação de guia estratégico e fluxo de trabalho de uso
Siga estas etapas para criar e executar guias estratégicos do Microsoft Sentinel:
Defina o seu cenário de automação. Examine as recomendações de casos de uso de guias estratégicos e os modelos de guia estratégico para começar.
Se você não estiver usando um modelo, crie o seu guia estratégico e compile o seu aplicativo lógico. Para obter mais informações, confira Criar e gerenciar guias estratégicos do Microsoft Sentinel.
Teste seu aplicativo lógico executando-o manualmente. Para obter mais informações, confira Executar um guia estratégico manualmente sob demanda.
Configure seu guia estratégico para ser executado automaticamente quando um novo alerta ou incidente for criado ou execute-o manualmente conforme necessário para o processo. Para obter mais informações, veja Responder a ameaças com os manuais do Microsoft Sentinel.