Automatize a resposta a ameaças com playbooks no Microsoft Sentinel
Os analistas SOC lidam com inúmeros alertas e incidentes de segurança, e o grande volume pode sobrecarregar as equipes, levando a alertas ignorados e incidentes não investigados. Muitos alertas e incidentes podem ser tratados pelos mesmos conjuntos de ações de correção predefinidas, que podem ser automatizadas para tornar o SOC mais eficiente e liberar os analistas para investigações mais profundas.
Use os playbooks do Microsoft Sentinel para executar conjuntos pré-configurados de ações de correção para ajudar a automatizar e orquestrar sua resposta a ameaças. Execute playbooks automaticamente, em resposta a alertas e incidentes específicos que acionam uma regra de automação configurada, ou manual e sob demanda para uma determinada entidade ou alerta.
Por exemplo, se uma conta e uma máquina forem comprometidas, um manual pode isolar automaticamente a máquina da rede e bloquear a conta no momento em que a equipe SOC for notificada do incidente.
Nota
Como os playbooks usam os Aplicativos Lógicos do Azure, taxas adicionais podem ser aplicadas. Visite a página de preços dos Aplicativos Lógicos do Azure para obter mais detalhes.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Casos de uso recomendados
A tabela a seguir lista casos de uso de alto nível em que recomendamos o uso de playbooks do Microsoft Sentinel para automatizar sua resposta a ameaças:
| Caso de utilização | Description |
|---|---|
| Melhoramento | Colete dados e anexe-os a um incidente para ajudar sua equipe a tomar decisões mais inteligentes. |
| Sincronização bidirecional | Sincronize incidentes do Microsoft Sentinel com outros sistemas de emissão de tíquetes. Por exemplo, crie uma regra de automação para todas as criações de incidentes e anexe um playbook que abra um ticket no ServiceNow. |
| Orquestração | Use a plataforma de chat da equipe SOC para controlar melhor a fila de incidentes. Por exemplo, envie uma mensagem para seu canal de operações de segurança no Microsoft Teams ou no Slack para garantir que seus analistas de segurança estejam cientes do incidente. |
| Response | Responda imediatamente a ameaças, com dependências humanas mínimas, como quando um usuário ou máquina comprometidos é indicado. Como alternativa, acione manualmente uma série de etapas automatizadas durante uma investigação ou durante a caça. |
Para obter mais informações, consulte Casos de uso, modelos e exemplos recomendados de playbook.
Pré-requisitos
As funções a seguir são necessárias para usar os Aplicativos Lógicos do Azure para criar e executar playbooks no Microsoft Sentinel.
| Função | Description |
|---|---|
| Proprietário | Permite conceder acesso a playbooks no grupo de recursos. |
| Colaborador do Aplicativo Lógico | Permite gerenciar aplicativos lógicos e executar playbooks. Não permite que você conceda acesso a playbooks. |
| Operador de aplicativo lógico | Permite ler, ativar e desativar aplicações lógicas. Não permite editar ou atualizar aplicativos lógicos. |
| Colaborador do Microsoft Sentinel | Permite anexar um manual a uma regra de análise ou automação. |
| Respondente do Microsoft Sentinel | Permite que você acesse um incidente para executar um playbook manualmente, mas não permite que você execute o playbook. |
| Operador do Microsoft Sentinel Playbook | Permite executar um playbook manualmente. |
| Colaborador do Microsoft Sentinel Automation | Permite que as regras de automação executem playbooks. Esta função não é usada para qualquer outra finalidade. |
A guia Playbooks ativos na página Automação exibe todos os playbooks ativos disponíveis em todas as assinaturas selecionadas. Por padrão, um playbook só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do playbook.
Permissões extras necessárias para o Microsoft Sentinel executar playbooks
O Microsoft Sentinel usa uma conta de serviço para executar playbooks sobre incidentes, adicionar segurança e habilitar a API de regras de automação para dar suporte a casos de uso de CI/CD. Essa conta de serviço é usada para playbooks acionados por incidentes ou quando você executa um playbook manualmente em um incidente específico.
Além de suas próprias funções e permissões, essa conta de serviço do Microsoft Sentinel deve ter seu próprio conjunto de permissões no grupo de recursos em que o manual reside, na forma da função de Colaborador de Automação do Microsoft Sentinel. Depois que o Microsoft Sentinel tiver essa função, ele poderá executar qualquer manual no grupo de recursos relevante, manualmente ou a partir de uma regra de automação.
Para conceder ao Microsoft Sentinel as permissões necessárias, você deve ter uma função de administrador de acesso de Proprietário ou Usuário . Para executar os playbooks, você também precisará da função Colaborador do Aplicativo Lógico no grupo de recursos que contém os playbooks que deseja executar.
Modelos de playbook (pré-visualização)
Importante
Os modelos de Playbook estão atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Os modelos de playbook são fluxos de trabalho pré-criados, testados e prontos para uso que não podem ser usados como playbooks em si, mas estão prontos para você personalizar para atender às suas necessidades. Também recomendamos que você use modelos de playbook como referência de práticas recomendadas ao desenvolver playbooks do zero ou como inspiração para novos cenários de automação.
Aceda a modelos de playbooks a partir das seguintes fontes:
| Location | Description |
|---|---|
| Página de automação do Microsoft Sentinel | A guia Modelos de Playbook lista todos os playbooks instalados. Crie um ou mais playbooks ativos usando o mesmo modelo. Quando publicamos uma nova versão de um modelo, todos os playbooks ativos criados a partir desse modelo têm um rótulo extra adicionado na guia Playbooks ativos para indicar que uma atualização está disponível. |
| Página do hub de conteúdo do Microsoft Sentinel | Os modelos de Playbook estão disponíveis como parte de soluções de produtos ou conteúdo autônomo instalado a partir do hub de conteúdo. Para mais informações, consulte: Sobre o conteúdo e as soluções do Microsoft Sentinel Descubra e gerencie conteúdo pronto para uso do Microsoft Sentinel |
| GitHub | O repositório GitHub do Microsoft Sentinel contém muitos outros modelos de playbook. Selecione Implantar no Azure para implantar um modelo em sua assinatura do Azure. |
Tecnicamente, um modelo de playbook é um modelo do Azure Resource Manager (ARM), que consiste em vários recursos: um fluxo de trabalho de Aplicativos Lógicos do Azure e conexões de API para cada conexão envolvida.
Para obter mais informações, consulte:
- Crie e personalize playbooks do Microsoft Sentinel a partir de modelos de conteúdo
- Modelos de playbook recomendados
- Manuais das Aplicações Lógicas do Azure para Microsoft Sentinel
Criação de Playbook e fluxo de trabalho de uso
Use o seguinte fluxo de trabalho para criar e executar playbooks do Microsoft Sentinel:
Defina seu cenário de automação. Recomendamos que você revise os playbooks, casos de uso e modelos de playbooks recomendados para começar.
Se você não estiver usando um modelo, crie seu playbook e crie seu aplicativo lógico. Para obter mais informações, consulte Criar e gerenciar playbooks do Microsoft Sentinel.
Teste seu aplicativo lógico executando-o manualmente. Para obter mais informações, consulte Executar um manual manualmente, sob demanda.
Configure seu playbook para ser executado automaticamente em um novo alerta ou criação de incidente, ou execute-o manualmente conforme necessário para seus processos. Para obter mais informações, consulte Responder a ameaças com os playbooks do Microsoft Sentinel.