Criar e executar tarefas de incidentes no Microsoft Sentinel usando playbooks

Este artigo explica como usar playbooks para criar e, opcionalmente, executar tarefas de incidentes para gerenciar processos complexos de fluxo de trabalho de analistas no Microsoft Sentinel.

Use a ação Adicionar tarefa em um playbook, no conector do Microsoft Sentinel, para adicionar automaticamente uma tarefa ao incidente que disparou o playbook. Os fluxos de trabalho Padrão e Consumo são suportados.

Gorjeta

As tarefas de incidentes podem ser criadas automaticamente não apenas por playbooks, mas também por regras de automação, e também manualmente, ad-hoc, a partir de um incidente.

Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel.

Pré-requisitos

  • A função Microsoft Sentinel Responder é necessária para exibir e editar incidentes, o que é necessário para adicionar, exibir e editar tarefas.

  • A função de Colaborador de Aplicativos Lógicos é necessária para criar e editar playbooks.

Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.

Usar um manual para adicionar uma tarefa e executá-la

Esta seção fornece um procedimento de exemplo para adicionar uma ação de playbook que faz o seguinte:

  • Adiciona uma tarefa ao incidente, redefinindo a senha de um usuário comprometido
  • Adiciona outra ação de playbook para enviar um sinal para o Microsoft Entra ID Protection (AADIP) para realmente redefinir a senha
  • Adiciona uma ação final do manual para marcar a tarefa no incidente como concluída.

Para adicionar e configurar essas ações, execute as seguintes etapas:

  1. No conector do Microsoft Sentinel , adicione a ação Adicionar tarefa ao incidente e, em seguida:

    1. Selecione o item de conteúdo dinâmico ID do ARM do incidente para o campo ID do ARM do incidente.

    2. Digite Redefinir senha do usuário como o Título.

    3. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do playbook para adicionar uma tarefa para redefinir a senha de um usuário.

  2. Adicione a ação Entidades - Obter Contas (Pré-visualização). Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:

    A captura de tela mostra as ações do playbook para obter as entidades da conta no incidente.

  3. Adicione um Para cada loop da biblioteca de ações de controle . Adicione o item de conteúdo dinâmico Contas da saída Entidades - Obter Contas ao campo Selecione uma saída das etapas anteriores. Por exemplo:

    A captura de tela mostra como adicionar uma ação de loop para cada um a um playbook para executar uma ação em cada conta descoberta.

  4. Dentro do Para cada loop, selecione Adicionar uma ação. Em seguida:

    1. Procure e selecione o conector Microsoft Entra ID Protection
    2. Selecione a ação Confirmar um usuário arriscado como comprometido (Visualização ).
    3. Adicione o item de conteúdo dinâmico ID de usuário Contas do Microsoft Entra ao campo userIds Item - 1 .

    Esta ação aciona processos dentro do Microsoft Entra ID Protection para redefinir a senha do usuário.

    A captura de tela mostra o envio de entidades para o AADIP para confirmar o comprometimento.

    Nota

    O campo Contas Microsoft Entra ID de usuário é uma maneira de identificar um usuário no AADIP. Pode não ser necessariamente a melhor maneira em todos os cenários, mas é trazido aqui apenas como um exemplo.

    Para obter assistência, consulte outros manuais que lidam com usuários comprometidos ou a documentação do Microsoft Entra ID Protection.

  5. Adicione a ação Marcar uma tarefa como concluída a partir do conector do Microsoft Sentinel e adicione o item de conteúdo dinâmico ID da tarefa do incidente ao campo ID do ARM da tarefa. Por exemplo:

    A captura de tela mostra como adicionar uma ação de playbook para marcar uma tarefa de incidente concluída.

Usar um manual para adicionar uma tarefa condicionalmente

Esta seção fornece um procedimento de exemplo para adicionar uma ação de playbook que pesquisa um endereço IP que aparece em um incidente.

  • Se os resultados desta pesquisa são que o endereço IP é malicioso, o manual cria uma tarefa para o analista desativar o usuário usando esse endereço IP.
  • Se o endereço IP não for um endereço malicioso conhecido, o manual cria uma tarefa diferente, para o analista entrar em contato com o usuário para verificar a atividade.

Para adicionar e configurar essas ações, execute as seguintes etapas:

  1. No conector do Microsoft Sentinel, adicione a ação Entidades - Obter IPs . Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:

    A captura de tela mostra as ações do playbook para obter as entidades de endereço IP no incidente.

  2. Adicione um Para cada loop da biblioteca de ações de controle . Adicione o item de conteúdo dinâmico IPs da saída Entidades - Obter IPs ao campo Selecione uma saída das etapas anteriores. Por exemplo:

    A captura de tela mostra como adicionar uma ação de loop para cada um a um playbook para executar uma ação em cada endereço IP descoberto.

  3. Dentro do Para cada loop, selecione Adicionar uma ação e, em seguida:

    1. Procure e selecione o conector Total de Vírus.
    2. Selecione a ação Obter um relatório IP (Visualização).
    3. Adicione o item de conteúdo dinâmico Endereço IPs da saída Entidades - Obter IPs ao campo Endereço IP .

    Por exemplo:

    A captura de tela mostra o envio de solicitação para o relatório Total de Vírus para endereço IP.

  4. Dentro do Para cada loop, selecione Adicionar uma ação e, em seguida:

    1. Adicione uma condição da biblioteca de ações de controle .
    2. Adicione o item Última análise de estatísticas Conteúdo dinâmico mal-intencionado da saída Obter um relatório IP. Talvez seja necessário selecionar Ver mais para encontrá-lo.
    3. Selecione o operador é maior que e insira 0 como o valor.

    Esta condição faz a pergunta "O relatório de IP total de vírus teve algum resultado?" Por exemplo:

    A captura de tela mostra como definir uma condição verdadeiro-falso em um playbook.

  5. Dentro da opção Verdadeiro , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa a incidente no conector do Microsoft Sentinel .
    2. Selecione o item de conteúdo dinâmico ID do ARM do incidente para o campo ID do ARM do incidente.
    3. Digite Marcar usuário como comprometido como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do manual para adicionar uma tarefa para marcar um usuário como comprometido.

  6. Dentro da opção False , selecione Adicionar uma ação e, em seguida:

    1. Selecione a ação Adicionar tarefa a incidente no conector do Microsoft Sentinel .
    2. Selecione o item de conteúdo dinâmico ID do ARM do incidente para o campo ID do ARM do incidente.
    3. Digite Entrar em contato com o usuário para confirmar a atividade como o Título.
    4. Adicione uma descrição opcional.

    Por exemplo:

    A captura de tela mostra as ações do manual para adicionar uma tarefa para que o usuário confirme a atividade.

Para obter mais informações, consulte: