Tutorial: Configurar respostas de ameaças automatizadas no Azure SentinelTutorial: Set up automated threat responses in Azure Sentinel

Este tutorial ajuda você a usar os Guias estratégicos de segurança no Azure Sentinel para definir as respostas de ameaças automatizadas para problemas relacionados à segurança detectados pelo Azure Sentinel.This tutorial helps you to use security playbooks in Azure Sentinel to set automated threat responses to security-related issues detected by Azure Sentinel.

  • Entender os Guias estratégicosUnderstand playbooks
  • Criar um Guia estratégicoCreate a playbook
  • Executar um Guia estratégicoRun a playbook
  • Automatizar as respostas a ameaçasAutomate threat responses

O que é um Guia estratégico de segurança no Azure Sentinel?What is a security playbook in Azure Sentinel?

Um Guia estratégico de segurança é uma coleção de procedimentos que podem ser executados em resposta a um alerta.A security playbook is a collection of procedures that can be run from Azure Sentinel in response to an alert. Um guia estratégico de segurança pode ajudar a automatizar e coordenar a resposta e pode ser executado manualmente ou definido para ser executado automaticamente quando os alertas específicos forem disparados.A security playbook can help automate and orchestrate your response, and can be run manually or set to run automatically when specific alerts are triggered. Guias estratégicos de segurança no Azure Sentinel se baseiam em Aplicativos Lógicos do Azure, o que significa que você obtém toda a potência, capacidade de personalização e modelos internos de aplicativos lógicos.Security playbooks in Azure Sentinel are based on Azure Logic Apps, which means that you get all the power, customizability, and built-in templates of Logic Apps. Cada Guia estratégico é criado para a assinatura específica que você escolher, mas quando você examinar a página Guias estratégicos, você verá todos os Guias estratégicos em nenhuma assinatura selecionada.Each playbook is created for the specific subscription you choose, but when you look at the Playbooks page, you will see all the playbooks across any selected subscriptions.

Observação

O Guia estratégico aproveita os Aplicativos Lógicos do Azure e, portanto, geram encargos.Playbooks leverage Azure Logic Apps, therefore charges apply. Visite a página Aplicativos Lógicos do Azure para obter mais detalhes de preços.Visit Azure Logic Apps pricing page for more details.

Por exemplo, se você estiver preocupado com invasores mal-intencionados acessando os recursos de rede, você pode definir um alerta que procura endereços IP mal-intencionados acessando sua rede.For example, if you're worried about malicious attackers accessing your network resources, you can set an alert that looks for malicious IP addresses accessing your network. Em seguida, você pode criar um guia estratégico que faz o seguinte:Then, you can create a playbook that does the following:

  1. Quando o alerta for disparado, abra um tíquete no ServiceNow ou qualquer outro sistema de tíquete de TI.When the alert is triggered, open a ticket in ServiceNow or any other IT ticketing system.
  2. Envie uma mensagem para o canal de operações de segurança no Microsoft Teams ou Slack para certificar-se de que os analistas de segurança estão cientes do incidente.Send a message to your security operations channel in Microsoft Teams or Slack to make sure your security analysts are aware of the incident.
  3. Envie todas as informações no alerta para o administrador de rede sênior e administrador de segurança. A mensagem de email também inclui dois botões de opção do usuário Bloquear ou Ignorar.Send all the information in the alert to your senior network admin and security admin. The email message also includes two user option buttons Block or Ignore.
  4. O Guia estratégico continuará a ser executado depois que uma resposta é recebida dos administradores.The playbook continues to run after a response is received from the admins.
  5. Se os administradores escolher Bloquear, o endereço IP é bloqueado no firewall e o usuário está desabilitado no Azure Active Directory.If the admins choose Block, the IP address is blocked in the firewall and the user is disabled in Azure AD.
  6. Se os administradores escolherem Ignorar, o alerta será fechado no Azure Sentinel e o incidente será fechado no ServiceNow.If the admins choose Ignore, the alert is closed in Azure Sentinel and the incident is closed in ServiceNow.

Os Guias estratégicos de segurança podem ser executados manual ou automaticamente.Security playbooks can be run either manually or automatically. Executá-los manualmente significa que, quando você receber um alerta, você pode optar por executar uma guia estratégico sob demanda como uma resposta para o alerta selecionado.Running them manually means that when you get an alert, you can choose to run a playbook on-demand as a response to the selected alert. Executá-los automaticamente significa que ao criar a regra de correlação, você a definiu para executar um ou mais Guias estratégicos quando o alerta for disparado.Running them automatically means that while authoring the correlation rule, you set it to automatically run one or more playbooks when the alert is triggered.

Criar Guias Estratégicos de SegurançaCreate a security playbook

Siga estas etapas para criar um novo guia estratégico de segurança no Azure Sentinel:Follow these steps to create a new security playbook in Azure Sentinel:

  1. Abra o painel Azure Sentinel.Open the Azure Sentinel dashboard.

  2. Em Gerenciamento, selecione Guias estratégicos.Under Management, select Playbooks.

    Aplicativo Lógico

  3. Na página Azure Sentinel - Guias Estratégicos (versão prévia) , clique no botão Adicionar.In the Azure Sentinel - Playbooks (Preview) page, click Add button.

    Criar aplicativo lógico

  4. Na página Criar aplicativo lógico, digite as informações solicitadas para criar seu novo aplicativo lógico e clique no botão Criar.In the Create Logic app page, type the requested information to create your new logic app, and click Create.

  5. Em Designer de aplicativo lógico, selecione o modelo que você deseja usar.In the Logic App Designer, select the template you want to use. Se você selecionar um modelo que exige credenciais, você precisará fornecê-las.If you select a template that necessitates credentials, you will have to provide them. Como alternativa, você pode criar um novo Guia estratégico em branco do zero.Alternatively, you can create a new blank playbook from scratch. Selecione Aplicativo lógico em branco.Select Blank Logic App.

    Designer de aplicativo lógico

  6. Você será direcionado para o Designer do aplicativo lógico no qual você pode criar novo ou editar o modelo.You are taken to the Logic App Designer where you can either build new or edit the template. Para obter mais informações sobre como criar um Guia estratégico com Aplicativos Lógicos do Azure.For more information on creating a playbook with Logic Apps.

  7. Se você estiver criando um Guia estratégico em branco, no campo Pesquisar todos os conectores e gatilhos, digite Azure Sentinel e selecione Quando uma resposta a um alerta do Azure Sentinel é acionada.If you are creating a blank playbook, in the Search all connectors and triggers field, type Azure Sentinel, and select When a response to an Azure Sentinel alert is triggered.
    Depois que é criado, o novo Guia estratégico aparecerá na lista de Guias estratégicos.After it is created, the new playbook appears in the Playbooks list. Se isso não aparecer, clique no botão Atualizar.If it doesn’t appear, click Refresh.

  8. Use as funções Obter entidades, que permitem que você obtenha as entidades relevantes na lista Entidades, como contas, endereços IP e hosts.Use the Get entities functions, which enable you to get the relevant entities from inside the Entities list, such as accounts, IP addresses and hosts. Isso permitirá executar ações em entidades específicas.This will enable you to run actions on specific entities.

  9. Agora você pode definir o que acontece ao adicionar o manual.Now you can define what happens when you trigger the playbook. Você pode adicionar uma ação, uma condição lógica, condições de caso de alternância ou loops.You can add an action, logical condition, switch case conditions, or loops.

    Designer de aplicativo lógico

Como executar um Guia estratégico de segurançaHow to run a security playbook

Você pode executar um Guia estratégico sob demanda.You can run a playbook on demand.

Executar um Guia estratégico sob demanda:To run a playbook on-demand:

  1. Na página incidentes, selecione um incidente e clique em Exibir detalhes completos.In the incidents page, select an incident and click on View full details.

  2. Na guia Alertas, clique no alerta que você deseja executar o Guia estratégico e role até a direita e clique em Exibir Guias estratégicos e selecione um Guia estratégico para Executar das lista de Guias estratégicos disponíveis na assinatura.In the Alerts tab, click on the alert you want to run the playbook on, and scroll all the way to the right and click View playbooks and select a playbook to run from the list of available playbooks on the subscription.

Automatizar as respostas a ameaçasAutomate threat responses

As equipes SIEM/SOC podem ser inundadas com alertas de segurança regularmente.SIEM/SOC teams can be inundated with security alerts on a regular basis. O volume de alertas gerados é tão grande que os administradores de segurança disponíveis estão sobrecarregados.The volume of alerts generated is so huge, that available security admins are overwhelmed. Muito frequentemente, isso gera situações em que muitos alertas não podem ser investigados, deixando a organização vulnerável a ataques que passam despercebidos.This results all too often in situations where many alerts can't be investigated, leaving the organization vulnerable to attacks that go unnoticed.

Muitos desses alertas, se não a maioria, estão em conformidade com os padrões recorrentes que podem ser resolvidos por ações de correção específicas e definidas.Many, if not most, of these alerts conform to recurring patterns that can be addressed by specific and defined remediation actions. O Azure Sentinel já permite que você defina sua correção nos guias estratégicos.Azure Sentinel already enables you to define your remediation in playbooks. Também é possível definir a automação em tempo real como parte da definição de guia estratégico para permitir a automatização completa de uma resposta definida a alertas de segurança específicos.It is also possible to set real-time automation as part of your playbook definition to enable you to fully automate a defined response to particular security alerts. Com a automação em tempo real, as equipes de resposta podem reduzir significativamente a carga de trabalho automatizando completamente as respostas de rotina a tipos recorrentes de alertas, permitindo que você se concentre mais em alertas exclusivos, análise de padrões, busca de ameaças e muito mais.Using real-time automation, response teams can significantly reduce their workload by fully automating the routine responses to recurring types of alerts, allowing you to concentrate more on unique alerts, analyzing patterns, threat hunting, and more.

Para automatizar as respostas:To automate responses:

  1. Selecione o alerta para o qual deseja automatizar a resposta.Select the alert for which you want to automate the response.

  2. Na página Editar regra de alerta, em Automação em tempo real, escolha o Guia estratégico disparado que deve ser executado quando a regra de alerta for correspondente.In the Edit alert rule page, under Real-time automation, choose the Triggered playbook you want to run when this alert rule is matched.

  3. Clique em Salvar.Select Save.

    automação em tempo real

Próximas etapasNext steps

Neste tutorial, você aprendeu a executar um manual no Azure Sentinel.In this tutorial, you learned how to run a playbook in Azure Sentinel. Continue para o Como buscar ameaças proativamente usando o Azure Sentinel.Continue to the how to proactively hunt for threats using Azure Sentinel.