Tutorial: Responder a ameaças usando playbooks com regras de automação no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este tutorial mostra como usar playbooks juntamente com regras de automação para automatizar sua resposta a incidentes e remediar ameaças de segurança detetadas pelo Microsoft Sentinel. Quando você concluir este tutorial, você será capaz de:

• Criar uma regra de automação
• Criar um playbook
• Adicionar ações a um manual
• Anexe um manual a uma regra de automação ou uma regra de análise para automatizar a resposta a ameaças

Nota

Este tutorial fornece orientação básica para uma tarefa importante do cliente: criar automação para triagem de incidentes. Para obter mais informações, consulte nossa seção Instruções, como Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel e Usar gatilhos e ações nos playbooks do Microsoft Sentinel.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

O que são regras de automação e playbooks?

As regras de automação ajudam a triar incidentes no Microsoft Sentinel. Você pode usá-los para atribuir automaticamente incidentes ao pessoal certo, fechar incidentes barulhentos ou falsos positivos conhecidos, alterar sua gravidade e adicionar tags. Eles também são o mecanismo pelo qual você pode executar playbooks em resposta a incidentes ou alertas.

Os playbooks são conjuntos de procedimentos que podem ser executados a partir do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um manual pode ajudar a automatizar e orquestrar sua resposta e pode ser configurado para ser executado automaticamente quando alertas específicos são gerados ou quando incidentes são criados ou atualizados, sendo anexado a uma regra de automação. Ele também pode ser executado manualmente sob demanda em incidentes, alertas ou entidades específicas.

Os Playbooks no Microsoft Sentinel baseiam-se em fluxos de trabalho criados nas Aplicações Lógicas do Azure, o que significa que obtém toda a potência, capacidade de personalização e modelos incorporados das Aplicações Lógicas. Cada playbook é criado para a assinatura específica à qual pertence, mas a exibição Playbooks mostra todos os playbooks disponíveis em todas as assinaturas selecionadas.

Nota

Como os playbooks usam os Aplicativos Lógicos do Azure, taxas adicionais podem ser aplicadas. Visite a página de preços dos Aplicativos Lógicos do Azure para obter mais detalhes.

Por exemplo, se você quiser impedir que usuários potencialmente comprometidos se movam pela rede e roubem informações, você pode criar uma resposta automatizada e multifacetada a incidentes gerados por regras que detetam usuários comprometidos. Você começa criando um manual que executa as seguintes ações:

1. Quando o playbook é chamado por uma regra de automação passando-o como um incidente, o playbook abre um ticket no ServiceNow ou em qualquer outro sistema de tíquete de TI.

2. Ele envia uma mensagem para seu canal de operações de segurança no Microsoft Teams ou no Slack para garantir que seus analistas de segurança estejam cientes do incidente.

3. Ele também envia todas as informações do incidente em uma mensagem de e-mail para o administrador sênior da rede e administrador de segurança. A mensagem de e-mail incluirá os botões de opção Bloquear e Ignorar usuário.

4. O manual aguarda até que uma resposta seja recebida dos administradores e, em seguida, continua com suas próximas etapas.

5. Se os administradores escolherem Bloquear, ele enviará um comando para o Microsoft Entra ID para desabilitar o usuário e um para o firewall para bloquear o endereço IP.

6. Se os administradores escolherem Ignorar, o playbook fechará o incidente no Microsoft Sentinel e o ticket no ServiceNow.

Para acionar o playbook, você criará uma regra de automação que será executada quando esses incidentes forem gerados. Essa regra tomará as seguintes medidas:

1. A regra altera o status do incidente para Ativo.

2. Ele atribui o incidente ao analista encarregado de gerenciar esse tipo de incidente.

3. Ele adiciona a tag "usuário comprometido".

4. Finalmente, ele chama o manual que você acabou de criar. (Permissões especiais são necessárias para esta etapa.)

Os playbooks podem ser executados automaticamente em resposta a incidentes, criando regras de automação que chamam os playbooks de ações, como no exemplo acima. Eles também podem ser executados automaticamente em resposta a alertas, dizendo à regra de análise para executar automaticamente um ou mais playbooks quando o alerta for gerado.

Você também pode optar por executar um playbook manualmente sob demanda, como resposta a um alerta selecionado.

Obtenha uma introdução mais completa e detalhada para automatizar a resposta a ameaças usando regras de automação e playbooks no Microsoft Sentinel.

Criar um playbook

Siga estas etapas para criar um novo manual no Microsoft Sentinel:

Portal do Azure

Portal do Defender

1. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation.

2. No menu superior, selecione Criar.

3. O menu suspenso que aparece em Criar oferece quatro opções para criar playbooks:

   1. Se você estiver criando um playbook padrão (o novo tipo - consulte Tipos de aplicativos lógicos), selecione Playbook em branco e siga as etapas na guia Logic Apps Standard abaixo.

   2. Se você estiver criando um playbook de consumo (o tipo original, clássico), então, dependendo de qual gatilho você deseja usar, selecione Playbook com gatilho de incidente, Playbook com gatilho de alerta ou Playbook com gatilho de entidade. Em seguida, continue seguindo as etapas na guia Consumo de aplicativos lógicos abaixo.

      Para obter mais informações sobre qual gatilho usar, consulte Usar gatilhos e ações nos playbooks do Microsoft Sentinel.

Consumo de aplicativos lógicos

Preparar o playbook e o aplicativo lógico

Independentemente de qual gatilho você escolheu para criar seu playbook na etapa anterior, o assistente Criar playbook aparecerá.

1. Na guia Noções básicas:

   1. Selecione a Assinatura, o grupo de recursos e a região de sua escolha nas respetivas listas suspensas. A região escolhida é onde as informações do seu Aplicativo Lógico serão armazenadas.

   2. Introduza um nome para o seu playbook em Playbook name.

   3. Se você quiser monitorar a atividade deste manual para fins de diagnóstico, marque a caixa de seleção Habilitar logs de diagnóstico no Log Analytics e escolha seu espaço de trabalho do Log Analytics na lista suspensa.

   4. Se seus playbooks precisarem de acesso a recursos protegidos que estejam dentro ou conectados a uma rede virtual do Azure, talvez seja necessário usar um ISE (ambiente de serviço de integração). Em caso afirmativo, marque a caixa de seleção Associar ao ambiente de serviço de integração e selecione o ISE desejado na lista suspensa.

   5. Selecione Avançar : Conexões >.

2. Na guia Conexões:

   Idealmente, você deve deixar esta seção como está, configurando Aplicativos Lógicos para se conectar ao Microsoft Sentinel com identidade gerenciada. Saiba mais sobre esta e outras alternativas de autenticação.

   Selecione Seguinte : Rever e criar >.

3. No separador Rever e criar:

   Revise as opções de configuração feitas e selecione Criar e continuar para designer.

4. Seu playbook levará alguns minutos para ser criado e implantado, após o qual você verá a mensagem "Sua implantação está concluída" e você será levado para o Logic App Designer do seu novo playbook. O gatilho que você escolheu no início terá sido adicionado automaticamente como a primeira etapa, e você pode continuar projetando o fluxo de trabalho a partir daí.

   

   Se você escolher o gatilho de entidade do Microsoft Sentinel (Visualização), selecione o tipo de entidade que deseja que este manual receba como entrada.

   

Aplicativos lógicos padrão

Preparar o aplicativo lógico e o fluxo de trabalho

Há três etapas para começar a criar um playbook do Logic Apps Standard:

1. Crie um aplicativo lógico.
2. Crie um fluxo de trabalho (este é o manual real).
3. Escolha o gatilho.

Criar uma Aplicação Lógica

Como você selecionou o playbook em branco, uma nova guia do navegador será aberta e levará você ao assistente Criar aplicativo lógico.

1. Na guia Noções básicas:

   1. Selecione o Grupo de Subscrição e Recursos à sua escolha nas respetivas listas pendentes.

   2. Insira um nome para seu aplicativo lógico. Para Publicar, escolha Fluxo de trabalho. Selecione a região onde você deseja implantar o aplicativo lógico.

   3. Para Tipo de plano, escolha Padrão.

   4. Selecione Next : Hosting >.

2. Na guia Hospedagem:

   1. Para Tipo de armazenamento, escolha Armazenamento do Azure e escolha ou crie uma conta de armazenamento.

   2. Escolha um Plano Windows.

3. Selecione Avançar : Monitoramento >.

4. Na guia Monitoramento:

   1. Se você quiser habilitar o monitoramento de desempenho no Azure Monitor para este aplicativo, deixe a alternância em Sim. Caso contrário, alterne para Não.

      Nota

      Este monitoramento não é necessário para o Microsoft Sentinel e custará um custo extra.

   2. Se desejar, você pode selecionar Avançar : Tags > para aplicar tags a este Aplicativo Lógico para fins de categorização de recursos e cobrança. Caso contrário, selecione Rever + criar.

5. No separador Rever + criar:

   Revise as opções de configuração feitas e selecione Criar.

6. Seu playbook levará alguns minutos para ser criado e implantado, durante o qual você verá algumas mensagens de implantação. No final do processo, você será levado para a tela de implantação final, onde verá a mensagem "Sua implantação está concluída".

   Selecione Ir para recurso. Você será direcionado para a página principal do seu novo aplicativo lógico.

   Ao contrário dos manuais clássicos de consumo, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Criar um fluxo de trabalho (playbook)

1. Selecione Fluxos de trabalho no menu de navegação da página do aplicativo lógico.

2. Selecione + Adicionar na barra de botões na parte superior (pode levar alguns segundos para que o botão esteja ativo).

3. O painel Novo fluxo de trabalho será exibido. Insira um nome para seu fluxo de trabalho.

4. Em Tipo de estado, selecione Stateful.

   Nota

   Atualmente, o Microsoft Sentinel não oferece suporte ao uso de fluxos de trabalho sem estado como playbooks.

5. Selecione Criar. Seu fluxo de trabalho será salvo e aparecerá na lista de fluxos de trabalho em seu aplicativo lógico. Selecione o fluxo de trabalho a ser prosseguido.

6. Você entrará na página do seu fluxo de trabalho. Aqui você pode ver todas as informações sobre seu fluxo de trabalho, incluindo um registro de todas as vezes que ele será executado. No menu de navegação, selecione Designer.

7. A tela Designer será aberta e você será imediatamente solicitado a adicionar um gatilho e continuar a projetar o fluxo de trabalho.

   

Escolha o gatilho

1. Selecione a guia Azure e digite "Sentinel" na linha de pesquisa.

2. Na guia Gatilhos abaixo, você verá os três gatilhos oferecidos pelo Microsoft Sentinel:

   • Alerta do Microsoft Sentinel (visualização)
   • Entidade Microsoft Sentinel (visualização)
   • Incidente do Microsoft Sentinel (visualização)

   Selecione o gatilho que corresponde ao tipo de playbook que você está criando.

   

   Se você escolher o gatilho de entidade do Microsoft Sentinel (Visualização), selecione o tipo de entidade que deseja que este manual receba como entrada.

   

Nota

Ao escolher um gatilho ou qualquer ação subsequente, você será solicitado a autenticar em qualquer provedor de recursos com o qual esteja interagindo. Nesse caso, o provedor é o Microsoft Sentinel. Existem algumas abordagens diferentes que você pode adotar para a autenticação. Para obter detalhes e instruções, consulte Autenticar playbooks no Microsoft Sentinel.

Para obter mais informações sobre qual gatilho usar, consulte Usar gatilhos e ações nos playbooks do Microsoft Sentinel

Adicionar ações

Agora você pode definir o que acontece quando você chama o playbook. Você pode adicionar ações, condições lógicas, loops ou alternar condições de caso, tudo selecionando Nova etapa. Essa seleção abre um novo quadro no designer, onde você pode escolher um sistema ou um aplicativo para interagir ou uma condição para definir. Digite o nome do sistema ou aplicativo na barra de pesquisa na parte superior do quadro e escolha entre os resultados disponíveis.

Em cada uma dessas etapas, clicar em qualquer campo exibe um painel com dois menus: Conteúdo dinâmico e Expressão. No menu Conteúdo dinâmico , você pode adicionar referências aos atributos do alerta ou incidente que foi passado para o playbook, incluindo os valores e atributos de todas as entidades mapeadas e detalhes personalizados contidos no alerta ou incidente. No menu Expressão, você pode escolher entre uma grande biblioteca de funções para adicionar lógica adicional às suas etapas.

Esta captura de tela mostra as ações e condições que você adicionaria ao criar o manual descrito no exemplo no início deste documento. Saiba mais sobre como adicionar ações aos seus playbooks.

Consulte Usar gatilhos e ações nos playbooks do Microsoft Sentinel para obter detalhes sobre as ações que você pode adicionar aos playbooks para diferentes fins.

Em particular, observe esta informação importante sobre playbooks com base no gatilho da entidade em um contexto não incidente.

Automatize as respostas a ameaças

Você criou seu manual e definiu o gatilho, definiu as condições e prescreveu as ações que ele tomará e as saídas que produzirá. Agora você precisa determinar os critérios sob os quais ele será executado e configurar o mecanismo de automação que o executará quando esses critérios forem atendidos.

Responder a incidentes e alertas

Para usar um manual para responder automaticamente a um incidente inteiro ou a um alerta individual, crie uma regra de automação que será executada quando o incidente for criado ou atualizado ou quando o alerta for gerado. Essa regra de automação incluirá uma etapa que chama o manual que você deseja usar.

Para criar uma regra de automação:

1. Na página Automação no menu de navegação do Microsoft Sentinel, selecione Criar no menu superior e, em seguida, Regra de automação.

   

2. O painel Criar nova regra de automação é aberto. Introduza um nome para a regra.

   Suas opções diferem dependendo se seu espaço de trabalho está integrado à plataforma unificada de operações de segurança. Por exemplo:

   Espaços de trabalho integrados

   

   Espaços de trabalho que não estão integrados

   

3. Gatilho: selecione o gatilho apropriado de acordo com a circunstância para a qual você está criando a regra de automação — Quando o incidente é criado, Quando o incidente é atualizado ou Quando o alerta é criado.

4. Condições:

   1. Se o seu espaço de trabalho ainda não estiver integrado à plataforma unificada de operações de segurança, os incidentes podem ter duas fontes possíveis:

      • Incidentes podem ser criados dentro do Microsoft Sentinel
      • Os incidentes podem ser importados e sincronizados com o Microsoft Defender XDR.

      Se você selecionou um dos gatilhos de incidente e deseja que a regra de automação entre em vigor somente em incidentes originados no Microsoft Sentinel ou, alternativamente, no Microsoft Defender XDR, especifique a origem na condição Se o provedor de incidente for igual .

      Essa condição será exibida somente se um gatilho de incidente for selecionado e seu espaço de trabalho não estiver integrado à plataforma unificada de operações de segurança.

   2. Para todos os tipos de gatilho, se você quiser que a regra de automação entre em vigor apenas em determinadas regras de análise, especifique quais modificando a condição If Analytics rule name contains .

   3. Adicione quaisquer outras condições que você deseja determinar se essa regra de automação será executada. Selecione + Adicionar e escolha condições ou grupos de condições na lista suspensa. A lista de condições é preenchida por campos de detalhe de alerta e identificador de entidade.

5. Ações:

   1. Como você está usando essa regra de automação para executar um playbook, escolha a ação Executar playbook na lista suspensa. Em seguida, você será solicitado a escolher em uma segunda lista suspensa que mostra os playbooks disponíveis. Uma regra de automação pode executar apenas os playbooks que começam com o mesmo gatilho (incidente ou alerta) que o gatilho definido na regra, portanto, apenas esses playbooks aparecerão na lista.

      Importante

      O Microsoft Sentinel deve receber permissões explícitas para executar playbooks, seja manualmente ou a partir de regras de automação. Se um playbook aparecer "acinzentado" na lista suspensa, isso significa que o Sentinel não tem permissão para o grupo de recursos desse playbook. Clique na ligação Gerir permissões do manual de procedimentos para atribuir permissões.

      No painel Gerenciar permissões que se abre, marque as caixas de seleção dos grupos de recursos que contêm os playbooks que você deseja executar e clique em Aplicar.

      

      • Você mesmo deve ter permissões de proprietário em qualquer grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel e deve ter a função de Colaborador do Aplicativo Lógico em qualquer grupo de recursos que contenha playbooks que deseja executar.

      • Em uma implantação multilocatário, se o playbook que você deseja executar estiver em um locatário diferente, você deverá conceder permissão ao Microsoft Sentinel para executar o playbook no locatário do playbook.

        1. No menu de navegação do Microsoft Sentinel no locatário dos playbooks, selecione Configurações.
        2. Na folha Configurações, selecione a guia Configurações e, em seguida, o expansor de permissões do Playbook.
        3. Clique no botão Configurar permissões para abrir o painel Gerenciar permissões mencionado acima e continue conforme descrito lá.

      • Se, em um cenário MSSP, você quiser executar um playbook em um locatário cliente a partir de uma regra de automação criada enquanto conectado ao locatário do provedor de serviços, deverá conceder permissão ao Microsoft Sentinel para executar o playbook em ambos os locatários. No locatário do cliente , siga as instruções para a implantação multilocatária no marcador anterior. No locatário do provedor de serviços, você deve adicionar o aplicativo Azure Security Insights em seu modelo de integração do Azure Lighthouse:

        1. No Portal do Azure, vá para Microsoft Entra ID.
        2. Clique em Aplicações Empresariais.
        3. Selecione Tipo de aplicativo e filtre em Aplicativos da Microsoft.
        4. Na caixa de pesquisa, digite Azure Security Insights.
        5. Copie o campo ID do objeto. Você precisará adicionar essa autorização adicional à sua delegação existente do Azure Lighthouse.

        A função Microsoft Sentinel Automation Contributor tem um GUID fixo que é f4c81013-99ee-4d62-a7ee-b3f1f648599a. Um exemplo de autorização do Azure Lighthouse teria esta aparência em seu modelo de parâmetros:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Adicione quaisquer outras ações desejadas para esta regra. Você pode alterar a ordem de execução das ações selecionando as setas para cima ou para baixo à direita de qualquer ação.

6. Defina uma data de expiração para sua regra de automação, se quiser que ela tenha uma.

7. Insira um número em Ordem para determinar onde, na sequência de regras de automação, essa regra será executada.

8. Selecione Aplicar. Está feito!

Descubra outras maneiras de criar regras de automação.

Responder a alertas — método herdado

Outra maneira de executar playbooks automaticamente em resposta a alertas é chamá-los a partir de uma regra de análise. Quando a regra gera um alerta, o playbook é executado.

Este método será preterido a partir de março de 2026.

A partir de junho de 2023, você não poderá mais adicionar playbooks às regras de análise dessa maneira. No entanto, você ainda pode ver os playbooks existentes chamados de regras de análise, e esses playbooks ainda serão executados até março de 2026. Você é fortemente encorajado a criar regras de automação para chamar esses playbooks antes disso .

Executar um manual de procedimentos a pedido

Também pode executar manualmente um manual a pedido, seja em resposta a alertas, incidentes (na Pré-visualização) ou entidades (também na Pré-visualização). Isso pode ser útil em situações em que você deseja mais informações humanas e controle sobre os processos de orquestração e resposta.

Executar um playbook manualmente em um alerta

Este procedimento não é suportado na plataforma unificada de operações de segurança.

No portal do Azure, selecione uma das seguintes guias, conforme necessário para seu ambiente:

NOVA página de detalhes do incidente

1. Na página Incidentes, selecione um incidente.

   No portal do Azure, selecione Exibir detalhes completos na parte inferior do painel de detalhes do incidente para abrir a página de detalhes do incidente.

2. Na página de detalhes do incidente, no widget Linha do tempo do incidente, escolha o alerta no qual deseja executar o playbook. Selecione os três pontos no final da linha do alerta e escolha Executar playbook no menu pop-up.

   

3. O painel Playbooks de alerta será aberto. Você verá uma lista de todos os playbooks configurados com o gatilho Microsoft Sentinel Alert Logic Apps ao qual você tem acesso.

4. Selecione Executar na linha de um manual específico para executá-lo imediatamente.

Gráfico de investigação

1. Na página Incidentes, selecione um incidente.

   No portal do Azure, selecione Exibir detalhes completos na parte inferior do painel de detalhes do incidente para abrir a página de detalhes do incidente.

2. Na página de detalhes do incidente, selecione a guia Alertas , escolha o alerta no qual deseja executar o playbook e selecione o link Exibir playbooks no final da linha desse alerta.

3. O painel Playbooks de alerta será aberto. Você verá uma lista de todos os playbooks configurados com o gatilho Microsoft Sentinel Alert Logic Apps ao qual você tem acesso.

4. Selecione Executar na linha de um manual específico para executá-lo imediatamente.

Você pode ver o histórico de execução de playbooks em um alerta selecionando a guia Execuções no painel Playbooks de alerta. Pode levar alguns segundos para que qualquer execução recém-concluída apareça na lista. Selecionar uma execução específica abrirá o log de execução completo em Aplicativos lógicos.

Executar um playbook manualmente em um incidente (Visualização)

Esse procedimento é diferente, dependendo se você está trabalhando no Microsoft Sentinel ou na plataforma unificada de operações de segurança. Selecione a guia relevante para seu ambiente:

Portal do Azure

1. Na página Incidentes, selecione um incidente.

2. No painel de detalhes do incidente que aparece à direita, selecione Manual de execução de ações > (Visualização).
   (Selecionar os três pontos no final da linha do incidente na grade ou clicar com o botão direito do mouse no incidente exibirá a mesma lista que o Botão Ação .)

3. O playbook Executar no painel de incidentes é aberto à direita. Você verá uma lista de todos os playbooks configurados com o gatilho Microsoft Sentinel Incident Logic Apps ao qual você tem acesso.

   Se você não vir o playbook que deseja executar na lista, isso significa que o Microsoft Sentinel não tem permissões para executar playbooks nesse grupo de recursos (consulte a nota acima).

   Para conceder essas permissões, selecione Configurações>Configurações>Permissões>do Playbook Configurar permissões. No painel Gerenciar permissões que se abre, marque as caixas de seleção dos grupos de recursos que contêm os playbooks que você deseja executar e selecione Aplicar.

4. Selecione Executar na linha de um manual específico para executá-lo imediatamente.

   Você deve ter a função de operador de playbook do Microsoft Sentinel em qualquer grupo de recursos que contenha playbooks que deseja executar. Se você não conseguir executar o playbook devido a permissões ausentes, recomendamos que entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, consulte Permissões necessárias para trabalhar com playbooks.

Portal do Microsoft Defender

1. Na página Incidentes, selecione um incidente.

2. No painel de detalhes do incidente que aparece à direita, selecione Executar Playbook.

3. O painel Executar manual de incidentes é aberto à direita, com todos os playbooks relacionados ao incidente selecionado. Na coluna Ação, selecione Executar playbook para o playbook que você deseja executar imediatamente.

A coluna Ações também pode mostrar um dos seguintes status:

Status	Descrição e ação necessárias
Permissões ausentes	Você deve ter a função de operador de playbook do Microsoft Sentinel em qualquer grupo de recursos que contenha playbooks que deseja executar. Se você estiver perdendo permissões, recomendamos que entre em contato com um administrador para conceder as permissões relevantes. Para obter mais informações, consulte Permissões necessárias para trabalhar com playbooks.
Conceder permissão	O Microsoft Sentinel não tem a função de Colaborador de Automação do Microsoft Sentinel, que é necessária para executar playbooks sobre incidentes. Nesses casos, selecione Conceder permissão para abrir o painel Gerenciar permissões. O painel Gerenciar permissões é filtrado por padrão para o grupo de recursos do playbook selecionado. Selecione o grupo de recursos e, em seguida, selecione Aplicar para conceder as permissões necessárias. Você deve ser um Proprietário ou um administrador de acesso de usuário no grupo de recursos ao qual deseja conceder permissões do Microsoft Sentinel. Se você não tiver permissões, o grupo de recursos ficará acinzentado e você não poderá selecioná-lo. Nesses casos, recomendamos que você entre em contato com um administrador para conceder as permissões relevantes. Para mais informações, ver a nota acima.

Exiba o histórico de execução de playbooks sobre um incidente selecionando a guia Execuções no painel Executar manual em incidente. Pode levar alguns segundos para que qualquer execução recém-concluída apareça na lista. Selecionar uma execução específica abrirá o log de execução completo em Aplicativos lógicos.

Executar um playbook manualmente em uma entidade (Visualização)

Este procedimento não é suportado na plataforma unificada de operações de segurança.

1. Selecione uma entidade de uma das seguintes maneiras, dependendo do seu contexto de origem:

   Se você estiver na página de detalhes de um incidente (nova versão):

   1. No widget Entidades na guia Visão geral, localize uma entidade na lista (não a selecione).
   2. Selecione os três pontos à direita da entidade.
   3. Selecione Executar playbook (Pré-visualização) no menu pop-up e continue com o passo 2 abaixo.
      Se você selecionou a entidade e entrou na guia Entidades da página de detalhes do incidente, continue com a próxima linha abaixo.
   4. Encontre uma entidade na lista (não a selecione).
   5. Selecione os três pontos à direita da entidade.
   6. Selecione Executar playbook (Pré-visualização) no menu pop-up.
      Se você selecionou a entidade e inseriu sua página de entidade, selecione o botão Executar playbook (Visualização) no painel esquerdo.

   Se você estiver na página de detalhes de um incidente (versão herdada):

   1. Selecione a guia Entidades do incidente.
   2. Encontre uma entidade na lista (não a selecione).
   3. Selecione o link Executar playbook (Visualização) no final da linha na lista.
      Se você selecionou a entidade e inseriu sua página de entidade, selecione o botão Executar playbook (Visualização) no painel esquerdo.

   Se você estiver no gráfico Investigação:

   1. Selecione uma entidade no gráfico.
   2. Selecione o botão Executar playbook (Pré-visualização) no painel lateral da entidade.
      Para alguns tipos de entidade, talvez seja necessário selecionar o botão Ações da entidade e, no menu resultante, selecionar Executar playbook (Visualização).

   Se você estiver procurando ameaças proativamente:

   1. Na tela Comportamento da entidade, selecione uma entidade nas listas da página ou procure e selecione outra entidade.
   2. Na página da entidade, selecione o botão Executar playbook (Pré-visualização) no painel esquerdo.

2. Independentemente do contexto de onde você veio, as instruções acima abrirão o painel Executar manual no <tipo de> entidade. Você verá uma lista de todos os playbooks aos quais você tem acesso que foram configurados com o gatilho Microsoft Sentinel Entity Logic Apps para o tipo de entidade selecionado.

3. Selecione Executar na linha de um manual específico para executá-lo imediatamente.

Você pode ver o histórico de execução de playbooks em uma determinada entidade selecionando a guia Execuções no painel Executar playbook no <tipo de> entidade. Pode levar alguns segundos para que qualquer execução recém-concluída apareça na lista. Selecionar uma execução específica abrirá o log de execução completo em Aplicativos lógicos.

Próximos passos

Neste tutorial, você aprendeu como usar manuais e regras de automação no Microsoft Sentinel para responder a ameaças.

• Saiba mais sobre como autenticar playbooks no Microsoft Sentinel
• Saiba mais sobre como usar gatilhos e ações nos playbooks do Microsoft Sentinel
• Saiba como procurar ameaças de forma proativa usando o Microsoft Sentinel.