Compartilhar via

Criar e executar tarefas de incidente no Microsoft Sentinel usando guias estratégicos

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo explica como usar guias estratégicos para criar e, opcionalmente, executar tarefas de incidentes para gerenciar processos complexos de fluxo de trabalho de analistas no Microsoft Sentinel.

Use a ação Adicionar tarefa em um guia estratégico, no conector do Microsoft Sentinel, para adicionar automaticamente uma tarefa ao incidente que disparou o guia estratégico. Há suporte para os fluxos de trabalho Standard e Consumo.

Dica

As tarefas de incidentes podem ser criadas automaticamente não apenas por manuais, mas também por regras de automação e também manualmente, ad-hoc, de dentro de um incidente.

Para obter mais informações, confira Usar tarefas para gerenciar incidentes no Microsoft Sentinel.

Pré-requisitos

  • A função Respondente do Microsoft Sentinel é necessária para exibir e editar incidentes, o que é necessário para adicionar, exibir e editar tarefas.

  • A função de Colaborador dos Aplicativos Lógicos é necessária para criar e editar guias estratégicos.

Para obter mais informações, consulte os pré-requisitos do guia estratégico do Microsoft Sentinel.

Usar um guia estratégico para adicionar uma tarefa e executá-la

Esta seção fornece um procedimento de exemplo para adicionar uma ação de guia estratégico que faz o seguinte:

  • Adiciona uma tarefa ao incidente, redefinindo a senha de um usuário comprometido
  • Adiciona outra ação de guia estratégico para enviar um sinal para a Proteção de ID do Microsoft Entra (AADIP) para realmente redefinir a senha
  • Adiciona uma ação final do guia estratégico para marcar a tarefa no incidente como concluída.

Para adicionar e configurar essas ações, execute as seguintes etapas:

  1. No conector do Microsoft Sentinel , adicione a ação Adicionar tarefa ao incidente e, em seguida:

    1. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .

    2. Digite Redefinir senha de usuário como o Título.

    3. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do guia estratégico para adicionar uma tarefa para redefinir a senha de um usuário.

  2. Adicione a ação Entidades - Obter Contas (Versão Prévia). Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:

    A captura de tela mostra as ações do guia estratégico para obter as entidades de conta no incidente.

  3. Adicione um loop For each da biblioteca de ações de controle . Adicione o item de conteúdo dinâmico Contas da saída Entidades - Obter Contas ao campo Selecionar uma saída das etapas anteriores . Por exemplo:

    A captura de tela mostra como adicionar uma ação de loop for-each a um guia estratégico para executar uma ação em cada conta descoberta.

  4. Dentro do loop Para cada , selecione Adicionar uma ação. Em seguida:

    1. Pesquise e selecione o conector de proteção de ID do Microsoft Entra
    2. Selecione a ação Confirmar um usuário arriscado como comprometido (versão prévia).
    3. Adicione o item de conteúdo dinâmico ID de usuário do Microsoft Entra Contas ao campo Item de IDs de usuário - 1 .

    Essa ação aciona processos dentro do Microsoft Entra ID Protection para redefinir a senha do usuário.

    A captura de tela mostra o envio de entidades para a AADIP para confirmar o comprometimento.

    Observação

    O campo ID de usuário do Microsoft Entra de Contas é uma maneira de identificar um usuário no AADIP. Pode não ser necessariamente a melhor maneira em todos os cenários, mas é trazido aqui apenas como um exemplo.

    Para obter assistência, consulte outros guias estratégicos que lidam com usuários comprometidos ou a documentação da Proteção de ID do Microsoft Entra.

  5. Adicione a ação Marcar uma tarefa como concluída do conector do Microsoft Sentinel e adicione o item de conteúdo dinâmico ID da tarefa do incidente ao campo ID do ARM da tarefa . Por exemplo:

    A captura de tela mostra como adicionar uma ação de guia estratégico para marcar uma tarefa de incidente como concluída.

Usar um guia estratégico para adicionar uma tarefa condicionalmente

Esta seção fornece um procedimento de exemplo para adicionar uma ação de guia estratégico que pesquisa um endereço IP que aparece em um incidente.

  • Se os resultados dessa pesquisa forem que o endereço IP é malicioso, o manual criará uma tarefa para o analista desabilitar o usuário que usa esse endereço IP.
  • Se o endereço IP não for um endereço mal-intencionado conhecido, o guia estratégico criará uma tarefa diferente, para que o analista entre em contato com o usuário para verificar a atividade.

Para adicionar e configurar essas ações, execute as seguintes etapas:

  1. No conector do Microsoft Sentinel, adicione a ação Entidades – Obter IPs . Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:

    A captura de tela mostra as ações do guia estratégico para obter as entidades de endereço IP no incidente.

  2. Adicione um loop For each da biblioteca de ações de controle . Adicione o item de conteúdo dinâmico IPs da saída Entidades - Obter IPs ao campo Selecionar uma saída das etapas anteriores . Por exemplo:

    A captura de tela mostra como adicionar uma ação de loop for-each a um guia estratégico para executar uma ação em cada endereço IP descoberto.

  3. Dentro do loop Para cada , selecione Adicionar uma ação e, em seguida:

    1. Pesquise e selecione o conector Virus Total .
    2. Selecione a ação Obter um relatório de IP (versão prévia).
    3. Adicione o item de conteúdo dinâmico Endereço de IPs da saída Entidades - Obter IPs ao campo Endereço IP .

    Por exemplo:

    A captura de tela mostra o envio da solicitação ao Virus Total para o relatório de endereço IP.

  4. Dentro do loop Para cada , selecione Adicionar uma ação e, em seguida:

    1. Adicione uma Condição da biblioteca de ações de controle .
    2. Adicione o item Conteúdo dinâmico mal-intencionado de estatísticas da última análise da saída do relatório Obter um IP . Talvez seja necessário selecionar Ver mais para encontrá-lo.
    3. Selecione o operador é maior que e insira 0 como o valor.

    Essa condição faz a pergunta "O relatório de IP total do vírus teve algum resultado?" Por exemplo:

    A captura de tela mostra como definir uma condição verdadeiro-falso em um manual.

  5. Dentro da opção Verdadeiro , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa ao incidente no conector do Microsoft Sentinel .
    2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .
    3. Insira Marcar usuário como comprometido como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do guia estratégico para adicionar uma tarefa para marcar um usuário como comprometido.

  6. Dentro da opção False , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa ao incidente no conector do Microsoft Sentinel .
    2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente .
    3. Insira Entrar em contato com o usuário para confirmar a atividade como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do guia estratégico para adicionar uma tarefa para que o usuário confirme a atividade.

Conteúdo relacionado

Para obter mais informações, consulte: