Usar um guia estratégico do Microsoft Sentinel para deter usuários potencialmente comprometidos

Este artigo descreve um cenário de exemplo de como você pode usar um guia estratégico e uma regra de automação para automatizar a resposta a incidentes e corrigir ameaças à segurança. As regras de automação ajudam você a fazer triagem de incidentes no Microsoft Sentinel e também são usadas para executar guias estratégicos em resposta a incidentes ou alertas. Para obter mais informações, confira Automação no Microsoft Sentinel: orquestração de segurança, automação e resposta (SOAR).

O cenário de exemplo descrito neste artigo descreve como usar uma regra de automação e um guia estratégico para interromper um usuário potencialmente comprometido quando um incidente é criado.

Observação

Como os guias estratégicos fazem uso de Aplicativos Lógicos do Azure, encargos adicionais podem ser aplicados. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.

Importante

O Microsoft Sentinel agora está em disponibilidade geral dentro da plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

As funções a seguir são necessárias para usar os Aplicativos Lógicos do Azure para criar e executar guias estratégicos no Microsoft Sentinel.

Função Descrição
Proprietário Permite que você conceda acesso a guias estratégicos no grupo de recursos.
Colaborador de Aplicativo Lógico Permite gerenciar aplicativos lógicos e executar guias estratégicos. Não permite que você conceda acesso a guias estratégicos.
Operador de Aplicativo Lógico Permite ler, habilitar e desabilitar aplicativos lógicos. Não permite que você edite ou atualize aplicativos lógicos.
Colaborador do Microsoft Sentinel Permite anexar um guia estratégico a uma regra de análise ou automação.
Respondente do Microsoft Sentinel Permite que você acesse um incidente para executar um guia estratégico manualmente, mas não permite que você execute o guia estratégico.
Operador de Guia Estratégico do Microsoft Sentinel Permite executar um guia estratégico manualmente.
Colaborador de automação do Microsoft Sentinel Permite que as regras de automação executem guias estratégicos. Esta função não é usada para nenhuma outra finalidade.

A guia Guias estratégicos ativos na página Automação exibe todos os guias estratégicos ativos disponíveis em todas as assinaturas selecionadas. Por padrão, um guia estratégico só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do guia estratégico.

Permissões extras necessárias para executar guias estratégicos em incidentes

O Microsoft Sentinel usa uma conta de serviço para executar manuais sobre incidentes, para adicionar segurança e permitir que a API de regras de automação dê suporte a casos de uso de CI/CD. Essa conta de serviço é usada para manuais acionados por incidentes ou quando você executa um manual manualmente em um incidente específico.

Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos onde o guia estratégico reside, na forma da função Microsoft Sentinel Automation Contributor . Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer guia estratégico no grupo de recursos relevante, manualmente ou com uma regra de automação.

Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de Proprietário ou Administrador de acesso de usuário. Para executar os guias estratégicos, você também precisará da função Colaborador do Aplicativo Lógico no grupo de recursos que contém os guias estratégicos que deseja executar.

Deter usuários potencialmente comprometidos

As equipes do SOC querem garantir que os usuários potencialmente comprometidos não possam navegar pela rede e roubar informações. Recomendamos que você crie uma resposta automatizada e multifacetada a incidentes gerados por regras que detectam usuários comprometidos para lidar com esses cenários.

Configure sua regra de automação e o guia estratégico para usar o seguinte fluxo:

  1. Um incidente é criado para um usuário potencialmente comprometido e uma regra de automação é disparada para chamar o seu guia estratégico.

  2. O guia estratégico abre um tíquete em seu sistema de tíquetes de TI, como o ServiceNow.

  3. O guia estratégico também envia uma mensagem ao canal de operações de segurança no Microsoft Teams ou no Slack para garantir que os analistas de segurança estejam cientes do incidente.

  4. O guia estratégico também envia todas as informações do incidente em uma mensagem de email para o seu administrador de rede sênior e administrador de segurança. A mensagem de email inclui os botões de opção Bloquear e Ignorar usuário.

  5. O guia estratégico aguarda até que uma resposta seja recebida dos administradores e, depois, continua com as próximas etapas.

    • Se os administradores escolherem Bloquear, o guia estratégico enviará um comando para o Microsoft Entra ID para desabilitar o usuário, e um para o firewall para bloquear o endereço IP.

    • Se os administradores escolherem Ignorar, o guia estratégico fechará o incidente no Microsoft Sentinel e o tíquete no ServiceNow.

A captura de tela a seguir mostra as ações e as condições que você adicionaria na criação deste guia estratégico de exemplo:

Captura de tela de um Aplicativo Lógico mostrando as ações e condições do guia estratégico.