Criar e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos
Um modelo de guia estratégico é um fluxo de trabalho de automação predefinido, testado e pronto para uso para o Microsoft Sentinel que pode ser personalizado para atender às suas necessidades. Os modelos também podem servir como referência para práticas recomendadas ao desenvolver os guias estratégicos do zero ou como inspiração para novos cenários de automação.
Os modelos de guia estratégico não são guias estratégicos ativos e você deve criar uma cópia editável para suas necessidades.
Muitos modelos de guias estratégicos são desenvolvidos pela comunidade do Microsoft Sentinel, por fornecedores de software independentes (ISVs) e pelos próprios especialistas da Microsoft, com base em cenários de automação populares utilizados por centros de operações de segurança em todo o mundo.
Importante
Os Modelos de guias estratégicos estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Para criar e gerenciar guias estratégicos, você precisa ter acesso ao Microsoft Sentinel com uma das seguintes funções do Azure:
- Colaborador do Aplicativo Lógico, para editar e gerenciar aplicativos lógicos
- Operador do Aplicativo Lógico, para ler, habilitar e desabilitar aplicativos lógicos
Para obter mais informações, confira Pré-requisitos do guia estratégico do Microsoft Sentinel.
Recomendamos que você leia Guias estratégicos dos Aplicativos Lógicos do Azure para Microsoft Sentinel antes de criar seu guia estratégico.
Acessar modelos de guia estratégico
Acesse modelos de guia estratégico das seguintes fontes:
Localidade | Descrição |
---|---|
Página automação do Microsoft Sentinel | A guia Modelos de guia estratégico lista todos os guias estratégicos instalados. Crie um ou mais guias estratégicos ativos usando o mesmo modelo. Quando publicamos uma nova versão de um modelo, todos os guias estratégicos ativos criados com base nesse modelo têm um rótulo extra adicionado na guia Guias estratégicos ativos para indicar que uma atualização está disponível. |
Página do Hub de Conteúdo do Microsoft Sentinel | Os modelos de guia estratégico estão disponíveis como parte de soluções de produtos ou conteúdo autônomo que você instala a partir do Hub de conteúdo. Para obter mais informações, consulte: Sobre o conteúdo e as soluções do Microsoft Azure Sentinel Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel |
GitHub | O repositório do GitHub do Microsoft Sentinel contém muitos outros modelos de guia estratégico. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure. |
Tecnicamente, um modelo de guia estratégico é um modelo do ARM (Azure Resource Manager), que consiste de vários recursos: um fluxo de trabalho dos Aplicativos Lógicos do Azure e conexões de API para cada conexão envolvida.
Este artigo se concentra na implantação de um modelo de guia estratégico da guia modelos de Guia estratégico em Automação.
Explorar modelos de guia estratégico
Para o Microsoft Sentinel no portal do Azure, selecione página Gerenciamento de conteúdo>Hub de conteúdo. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.
Na página Hub de conteúdo, selecione o Tipo de conteúdo a ser filtrado para o Guia estratégico. Esse modo de exibição filtrado lista todas as soluções e conteúdo autônomo que incluem um ou mais modelos de guia estratégico. Instale a solução ou o conteúdo autônomo para obter o modelo.
Em seguida, selecione o guia Configuração>Automação>modelos de Guia estratégico, para exibir os modelos instalados. Por exemplo:
Para encontrar um modelo de guia estratégico que atenda aos seus requisitos, filtre a lista pelos seguintes critérios:
Filtro | Descrição |
---|---|
Gatilho | Filtre como o guia estratégico é disparado, incluindo incidentes, alertas ou entidades. Para obter mais informações, consulte gatilhos do Microsoft Sentinel com suporte. |
Conectores de Aplicativos Lógicos | Filtrar pelos serviços externos com os quais os guias estratégicos interagem. Durante o processo de implantação, cada conector precisa assumir uma identidade para se autenticar no serviço externo. |
Entidades | Filtre pelos tipos de entidade que o guia estratégico espera encontrar no incidente. Por exemplo, um guia estratégico que informa a um firewall para bloquear um endereço IP espera encontrar endereços IP no incidente. Esses incidentes podem ser criados por uma regra de análise de ataque da Força Bruta. |
Marcas | Filtre pelos rótulos aplicados ao guia estratégico, relacionando o guia estratégico a um cenário específico ou indicando uma característica especial. Por exemplo: - Enriquecimento – Guias estratégicos que buscam informações de outro serviço para adicionar contexto a um incidente. Essas informações normalmente são adicionadas como um comentário ao incidente ou enviadas ao SOC. - Correção – Guias estratégicos que tomam uma ação sobre as entidades afetadas para eliminar uma ameaça em potencial. - Sincronização – Guia estratégico que ajuda a manter um serviço externo, como um serviço de gerenciamento de incidentes, atualizado com as propriedades do incidente. - Notificação – Guias estratégicos que enviam um email ou mensagem. - Resposta do Teams – Guias estratégicos que permitem que os analistas executem uma ação manual do Teams usando cartões interativos. |
Por exemplo:
Personalizar um guia estratégico de um modelo
Este procedimento descreve como implantar modelos de guia estratégico e pode ser repetido para criar vários guias estratégicos do mesmo modelo.
Embora a maioria dos modelos de guia estratégico possa ser usada como estão, recomendamos que você os ajuste conforme necessário para ajustar seu guia estratégico às suas necessidades do SOC.
Na guia Modelos de Guia estratégico, selecione um guia estratégico do qual começar.
Se o guia estratégico tiver pré-requisitos, siga as instruções. Por exemplo:
Alguns guias estratégicos chamam outros guias estratégicos como ações. Este segundo guia estratégico é conhecido como um guia estratégico aninhado. Nesse caso, um dos pré-requisitos é implantar primeiro o guia estratégico aninhado.
Alguns guias estratégicos exigem a implantação de um conector personalizado dos Aplicativos Lógicos ou de uma Função do Azure. Nesses casos, há um link Implantar no Azure que leva você ao processo geral de implantação do modelo ARM.
Selecione Criar guia estratégico para abrir o assistente de criação de guia estratégico com base no modelo selecionado. O assistente tem quatro guias:
Noções básicas: Localize seu novo guia estratégico, que é um recurso de Aplicativos Lógicos, e dê um nome a ele. Você pode usar o padrão. Por exemplo:
Parâmetros: insira os valores específicos do cliente que o guia estratégico usa. Por exemplo, se o guia estratégico enviar um email para o SOC, defina o endereço do destinatário. Se o guia estratégico tiver um conector personalizado em uso, ele deverá ser implantado no mesmo grupo de recursos e você deverá inserir seu nome na guia Parâmetros.
A guia Parâmetros será exibida somente se o guia estratégico tiver parâmetros. Por exemplo:
Conexões: Expanda cada ação para ver as conexões existentes que você criou para guias estratégicos de ação anteriores. Você pode optar por usar conexões existentes ou criar uma nova. Por exemplo:
Para criar uma nova conexão, selecione Criar nova conexão após a implantação. Esta opção leva você ao designer de Aplicativos Lógicos após a conclusão do processo de implantação.
Conectores personalizados são listados pelo nome do conector personalizado inserido na guia Parâmetros.
Para conectores que oferecem suporte à conexão com identidade gerenciada, como o Microsoft Sentinel, a identidade gerenciada é o método de conexão padrão.
Para obter mais informações, consulte Autenticar guias estratégicos no Microsoft Sentinel.
Revisar e criar: Veja um resumo do processo e aguarde a validação de sua entrada antes de criar o guia estratégico.
Depois de seguir as etapas do assistente de criação de guia estratégico até o fim, você será levado ao design do fluxo de trabalho do novo guia estratégico no designer do Aplicativos Lógicos. Por exemplo:
Para cada conector escolhido, crie uma nova conexão para após a implantação:
No menu de navegação, selecione conexões de API e selecione o nome da conexão. Por exemplo:
Selecione Editar conexão de API no menu de navegação.
Preencha os parâmetros necessários e selecione Salvar. Por exemplo:
Como alternativa, crie uma nova conexão de dentro das etapas relevantes no designer de Aplicativos Lógicos:
Para cada etapa exibida com um sinal de erro, selecione-a para expandir e selecione Adicionar novo.
Autenticar de acordo com as instruções relevantes. Para obter mais informações, consulte Autenticar guias estratégicos no Microsoft Sentinel.
Se houver outras etapas usando esse mesmo conector, expanda suas caixas. Na lista de conexões exibida, selecione a conexão que você acabou de criar.
Se você optou por usar uma conexão de identidade gerenciada para o Microsoft Sentinel ou para outras conexões com suporte, conceda permissões ao novo guia estratégico no workspace do Microsoft Sentinel ou nos recursos de destino relevantes para outros conectores.
Salve o guia estratégico. O guia estratégico é exibido na guia Guias Estratégicos Ativos.
Para executar seu guia estratégico, defina uma resposta automatizada ou execute-a manualmente. Para obter mais informações, consulte Responder a ameaças com guias estratégicos do Microsoft Sentinel.
Relatar um problema em um modelo de guia estratégico
Para relatar um bug ou solicitar uma melhoria para um guia estratégico, selecione o linkCom suporte no painel de detalhes do guia estratégico. Se esse for um guia estratégico com suporte da comunidade, o link levará você a abrir um problema no GitHub. Caso contrário, você será direcionado para a página do apoiador, com informações sobre como enviar seus comentários.