Migrar seus guias estratégicos de gatilho de alerta do Microsoft Sentinel para regras de automação

Recomendamos que você migre guias estratégicos existentes baseados em gatilhos de alerta e migre-os de serem invocados por regras de análise para serem invocados por regras de automação. Este artigo explica por que recomendamos esta ação e como migrar os seus guias estratégicos.

Importante

O Microsoft Sentinel agora está em disponibilidade geral dentro da plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Por que migrar

Os guias estratégicos invocados por regras de automação em vez de regras de análise têm as seguintes vantagens:

  • Gerenciamento de automação em uma exibição unificada, independentemente do tipo ("painel unificado").

  • Use uma única regra de automação disparando guias estratégicos para várias regras de análise, em vez de configurar cada regra de análise separadamente.

  • Defina a ordem na qual os guias estratégicos de alerta devem ser executados.

  • Suporte para cenários que definem uma data de validade para executar um guia estratégico.

A migração do gatilho do guia estratégico não altera o guia estratégico e apenas altera o mecanismo que invoca o guia estratégico para executar alterações.

A capacidade de invocar guias estratégicos de regras de análise será preterida a partir de março de 2026. Até lá, os guias estratégicos já definidos como de regras de análise continuarão a ser executados, mas a partir de junho de 2023 você não poderá mais adicionar guias estratégicos à lista daqueles invocados das regras de análise. A única opção restante será invocá-los a partir das regras de automação.

Pré-requisitos

Você precisará do seguinte:

  • Função Colaborador dos Aplicativos Lógicos para criar e editar guias estratégicos

  • Função Colaborador do Microsoft Sentinel para anexar um guia estratégico a uma regra de automação

Para obter mais informações, confira Pré-requisitos do guia estratégico do Microsoft Sentinel.

Criar uma regra de automação a partir de uma regra de análise

Use este procedimento se você estiver migrando um guia estratégico usado por apenas uma regra de análise. Caso contrário, use Criar uma nova regra de automação na página Automação.

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.

  2. De acordo com as Regras ativas, localize uma regra de análise já configurada para executar um guia estratégico e selecione Editar.

    Captura de tela da localização e seleção de uma regra de análise.

  3. Selecione a guia Resposta Automatizada. Guias estratégicos configurados diretamente para execução a partir dessa regra de análise podem ser encontrados na Automação de alertas (clássica). Preste atenção ao aviso sobre a preterição.

    Captura de tela da tela de regras de automação e guias estratégicos.

  4. Na metade superior da tela, selecione + Adicionar novo nas Regras de automação para criar uma nova regra de automação.

  5. No painel Criar nova regra de automação, em Gatilho, selecione Quando o alerta é criado (versão prévia).

    Captura de tela da criação de regra de automação na tela de regras de análise.

  6. Em Ações, consulte se a ação Executar guia estratégico, sendo o único tipo de ação disponível, é automaticamente selecionada e esmaecida. Selecione seu guia estratégico daqueles disponíveis na lista suspensa na linha abaixo.

    Captura de tela da seleção do guia estratégico como ação no assistente de regras de automação.

  7. Escolha Aplicar. A nova regra é mostrada na grade de regras de automação.

  8. Remova o guia estratégico da seção de Automação de alertas (clássica).

  9. Examine e atualize a regra de análise para salvar suas alterações.

Criar uma nova regra de automação na página Automação

Use este procedimento se você estiver migrando um guia estratégico usado por várias regras de análise. Caso contrário, use Criar uma regra de automação a partir de uma regra de análise

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Análise. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Análise.

  2. Na barra de menus superior, selecione Criar –> Regra de Automação.

  3. No painel Criar nova regra de automação, no menu suspenso do Gatilho, selecione Quando o alerta é criado (versão prévia).

  4. Em Condições, selecione as regras de análise em que você deseja executar um guia estratégico específico ou um conjunto de guias estratégicos.

  5. Em Ações, para cada guia estratégico que você deseja que essa regra invoque, selecione + Adicionar ação. A ação Executar guia estratégico é selecionada automaticamente e esmaecida.

  6. Selecione na lista suspensa de guias estratégicos disponíveis na linha abaixo. Ordene as ações de acordo com a ordem na qual você deseja que os guias estratégicos sejam executados selecionando as setas para cima/para baixo ao lado de cada ação.

  7. Selecione Aplicar para salvar a regra de automação.

  8. Edite a regra ou as regras de análise que invocaram esses guias estratégicos (as regras especificadas em Condições), removendo o guia estratégico da seção automação de alertas (clássica) da guia resposta Automatizada.

Para saber mais, veja: