SOAR (Orquestração de Segurança, Automação e Resposta) no Microsoft Sentinel
Este artigo descreve os recursos de Orquestração de Segurança, Automação e Resposta (SOAR) do Microsoft Sentinel e mostra como o uso das regras de automação e guias estratégicos em resposta a ameaças de segurança aumenta a eficácia do SOC e poupa tempo e recursos.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Microsoft Sentinel como uma solução SOAR
O problema
As equipes SIEM (gerenciamento de eventos e informações de segurança)/SOC (centro de operações de segurança) normalmente são inundadas com alertas de segurança e incidentes, em volumes tão grandes que a equipe disponível fica sobrecarregada. Muitas vezes isso gera situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
A solução
O Microsoft Sentinel, além de ser um sistema SIEM (gerenciamento de eventos e informações de segurança), também é uma plataforma para Orquestração de segurança, Automação e Resposta (SOAR). Uma das suas principais finalidades é automatizar qualquer tarefa recorrente e previsível, de reversão e de remediação, que seja responsabilidade do seu Centro de operações de segurança e pessoal (SOC/SecOps), liberando tempo e recursos para uma investigação mais aprofundada e procurando ameaças avançadas. A automação usa algumas formas diferentes no Microsoft Sentinel, de regras de automação que gerenciam centralmente a automação de tratamento e resposta de incidentes, para os guias estratégicos que executam sequências de ações predeterminadas para fornecer automação avançada e flexível para suas tarefas de resposta a ameaças.
Regras de automação
As regras de automação permitem que os usuários gerenciem centralmente a automação do tratamento de incidentes. Além de permitir que você atribua guias estratégicos a incidentes e alertas, as regras de automação também permitem automatizar respostas para várias regras de análise de uma só vez, marcar, atribuir ou fechar incidentes automaticamente sem precisar de guias estratégicos, criar listas de tarefas a serem realizadas por analistas durante a triagem, investigar e corrigir incidentes e controlar a ordem das ações executadas. As regras de automação também permitem aplicar as automações quando um incidente é atualizado, assim como quando ele é criado. Essa nova capacidade facilitará o uso da automação no Microsoft Sentinel e permitirá simplificar fluxos de trabalho complexos para processos de orquestração de incidentes.
Saiba mais com esta explicação completa das regras de automação.
Guias estratégicos
Um guia estratégico é uma coleção dessas respostas e ações de correção que podem ser executadas rotineiramente no Microsoft Sentinel. Um guia estratégico pode ajudar a automatizar e orquestrar a reação à ameaça. Pode ser integrado a outros sistemas internos e externos, e pode ser executado automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra analítica ou uma regra de automação, respectivamente. Ele também pode ser executado manualmente sob demanda, em resposta a alertas, na página incidentes.
Os guias estratégicos no Microsoft Sentinel se baseiam em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço em nuvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa. Isso significa que os guias estratégicos podem aproveitar toda a capacidade e a personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e ferramentas de design fáceis de usar, bem como escalabilidade, confiabilidade e nível de serviço de um serviço do Azure de camada 1.
Saiba mais com esta explicação completa dos guias estratégicos.
Automação com a plataforma de operações de segurança unificada
Depois de integrar seu workspace do Microsoft Sentinel à plataforma de operações de segurança unificada, observe as seguintes diferenças na maneira como a automação funciona em seu workspace:
| Funcionalidade | Descrição |
|---|---|
| Regras de automação com gatilhos de alerta | Na plataforma de operações de segurança unificada, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para mais informações, consulte Gatilho para criar alerta. |
| Regras de automação com gatilhos de incidente | No portal do Azure e na plataforma de operações de segurança unificada, a propriedade de condição do Provedor de incidentes foi removida, pois todos os incidentes têm o Microsoft Defender XDR como o provedor de incidentes (o valor no campo ProviderName). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do Provedor de incidentes é definida apenas para Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico serão executadas somente nos incidentes que foram criados pela regra de análise especificada. Isto significa que você pode definir a propriedade de condição Nome da regra de análise para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada apenas em incidentes no Microsoft Sentinel. Para obter mais informações, consulte Condições de gatilho de incidente. |
| Alterações nos nomes de incidentes existentes | Na plataforma unificada de operações SOC, o portal do Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu workspace à plataforma unificada de operações SOC, os nomes de incidentes existentes poderão ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes em suas regras de automação; em vez disso, sugerimos o uso de marcas. |
| Campo Atualizado por | Para obter mais informações, consulte Gatilho de atualização de incidentes. |
| Regras de automação que adicionam tarefas de incidente | Se uma regra de automação adicionar uma tarefa de incidente, a tarefa será mostrada somente no portal do Azure. |
| Regra de criação de incidentes da Microsoft | Não há suporte para regras de criação de incidentes da Microsoft na plataforma de operações de segurança unificada. Para obter mais informações, confira Incidentes do Microsoft Defender XDR e regras de criação de incidentes da Microsoft. |
| Executar regras de automação no portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é disparado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse atraso de tempo ocorre porque o incidente é criado no portal do Defender e encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia dos guias estratégicos ativos | Após a integração à plataforma de operações de segurança unificada, por padrão, a guia Guias estratégicos ativos mostra um filtro predefinido com a assinatura do workspace integrado. Adicione dados para outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos de conteúdo. |
| Executar guias estratégicos manualmente sob demanda | Atualmente, não há suporte para os procedimentos a seguir na plataforma de operações de segurança unificada: |
| A execução de guias estratégicos em incidentes requer a sincronização do Microsoft Sentinel | Se você tentar executar um guia estratégico em um incidente da plataforma de operações de segurança unificada e vir a mensagem "Não é possível acessar dados relacionados a esta ação. Atualize a tela em alguns minutos.", isso significa que o incidente ainda não foi sincronizado com o Microsoft Sentinel. Atualize a página de incidentes depois que o incidente for sincronizado para executar o guia estratégico com êxito. |
Próximas etapas
Neste documento, você aprendeu como o Microsoft Sentinel usa a automação para ajudar o SOC a operar de forma mais eficiente.
- Para saber mais sobre a automação da manipulação de incidentes, veja Automatizar o tratamento de incidentes no Microsoft Sentinel.
- Para saber mais sobre opções de automação avançadas, veja Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
- Para começar a criar regras de automação, consulte Criar e usar regras de automação do Microsoft Sentinel para gerenciar incidentes
- Para obter ajuda com a implementação da automação avançada com guias estratégicos, confira Tutorial: Usar guias estratégicos para automatizar respostas a ameaças no Microsoft Sentinel.