Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Normalmente, as equipes de gerenciamento de informações de segurança e eventos (SIEM) e do centro de operações de segurança (SOC) são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que os funcionários disponíveis ficam sobrecarregados. Muitas vezes isso gera situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
Além de ser um sistema SIEM, o Microsoft Sentinel também é uma plataforma de orquestração de segurança, automação e resposta (SOAR). Uma das principais finalidades é automatizar todas as tarefas recorrentes e previsíveis de enriquecimento, resposta e correção que são de responsabilidade da equipe e do centro de operações de segurança (SOC/SecOps), liberando tempo de atividade e recursos para uma investigação mais aprofundada e para a busca de ameaças avançadas.
Este artigo descreve os recursos SOAR do Microsoft Sentinel e mostra como o uso de regras de automação e manuais em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para saber mais, confira É hora de seguir em frente: desativação do portal do Azure no Microsoft Sentinel para aumentar a segurança.
Regras de automação
O Microsoft Sentinel usa regras de automação para permitir que os usuários gerenciem a automação do tratamento de incidentes a partir de um local central. Use regras de automação para:
- Atribua automação mais avançada a incidentes e alertas, usando guias estratégicos
- Marcar, atribuir ou fechar incidentes automaticamente sem um guia estratégico
- Automatizar respostas para várias regras de análise de uma só vez
- Criar listas de tarefas que os analistas devem realizar ao fazer a triagem, a investigação e a correção de incidentes
- Controlar a ordem das ações realizadas
Recomendamos que você aplique regras de automação quando os incidentes forem criados ou atualizados para agilizar ainda mais a automação e simplificar fluxos de trabalho complexos para seus processos de orquestração de incidentes.
Para saber mais, confira Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Guias estratégicos
Um guia estratégico é uma coleção dessas respostas e ações de correção que podem ser executadas rotineiramente no Microsoft Sentinel. Um guia estratégico pode:
- Ajude a automatizar e orquestrar sua resposta contra ameaças
- Fazer a integração com outros sistemas, internos e externos
- Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, ou ser executado manualmente sob demanda, como em resposta a novos alertas
No Microsoft Sentinel, os manuais são baseados em fluxos de trabalho criados no Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda a programar, automatizar e orquestrar tarefas e fluxos de trabalho nos sistemas da empresa. Isso significa que os guias estratégicos podem aproveitar toda a capacidade e a personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e ferramentas de design fáceis de usar, bem como escalabilidade, confiabilidade e nível de serviço de um serviço do Azure de camada 1.
Para saber mais, confira Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel.
Automação no portal do Microsoft Defender
Observe os detalhes a seguir sobre como a automação funciona para o Microsoft Sentinel no portal do Defender. Se você for um cliente existente que está fazendo a transição do portal do Azure para o portal do Defender, poderá observar diferenças na maneira como a automação funciona em seu workspace após a integração ao portal do Defender.
| Funcionalidade | Descrição |
|---|---|
| Regras de automação com gatilhos de alerta | No portal do Defender, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para mais informações, consulte Gatilho para criar alerta. |
| Regras de automação com gatilhos de incidente | Nos portais Azure e Defender, a propriedade de condição Incident provider é removida, pois todos os incidentes têm Microsoft XDR como o provedor de incidentes (o valor no campo ProviderName). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do Provedor de incidentes é definida apenas para Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente nos incidentes que contêm alertas criados pela regra de análise especificada. Isto significa que você pode definir a propriedade de condição Nome da regra de análise para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada apenas em incidentes no Microsoft Sentinel. Além disso, depois de integrar ao portal do Defender, a tabela SecurityIncident não inclui mais um campo Descrição . Portanto: - Se você estiver usando esse campo Descrição como condição para uma regra de automação com um gatilho de criação de incidentes, essa regra de automação não funcionará após a integração ao portal do Defender. Nesses casos, certifique-se de atualizar a configuração adequadamente. Para obter mais informações, consulte Condições de gatilho de incidente. - Se você tiver uma integração configurada com um sistema de tíquetes externo, como o ServiceNow, a descrição do incidente estará ausente. |
| Latência nos gatilhos de guia estratégico | Pode levar até 5 minutos para que os incidentes do Microsoft Defender apareçam no Microsoft Sentinel. Se esse atraso estiver presente, o gatilho de guia estratégico também será adiado. |
| Alterações nos nomes de incidentes existentes | O portal do Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho ao portal do Defender, os nomes de incidentes existentes poderão ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar os títulos dos incidentes como critérios de condição em suas regras de automação. Em vez disso, sugerimos usar o nome de qualquer regra de análise que criou alertas incluídos no incidente e marcas, se for necessária mais especificidade. |
| Campo Atualizado por | Para obter mais informações, consulte Gatilho de atualização de incidentes. |
| Criar regras de automação diretamente de um incidente | A criação de regras de automação diretamente de um incidente só tem suporte no portal do Azure. Se você estiver trabalhando no portal do Defender, crie suas regras de automação do zero na página Automação. |
| Regra de criação de incidentes da Microsoft | Não há suporte para regras de criação de incidentes da Microsoft no portal do Defender. Para obter mais informações, confira Incidentes do Microsoft Defender XDR e regras de criação de incidentes da Microsoft. |
| Executar regras de automação no portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é disparado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse atraso de tempo ocorre porque o incidente é criado no portal do Defender e encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia dos guias estratégicos ativos | Depois da integração ao portal do Defender, por padrão, a guia Guias estratégicos ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados em outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos. |
| Executar guias estratégicos manualmente sob demanda | No momento, o portal do Defender não dá suporte para os seguintes procedimentos: |
| A execução de guias estratégicos em incidentes requer a sincronização do Microsoft Sentinel | Caso tente executar um guia estratégico em um incidente no portal do Defender e visualizar a mensagem "Não é possível acessar dados relacionados a essa ação. Atualize a tela em alguns minutos"., isso significa que o incidente ainda não está sincronizado com o Microsoft Sentinel. Atualize a página de incidentes depois que o incidente for sincronizado para executar o guia estratégico com êxito. |
|
Incidentes: adicionar alertas a incidentes / Removendo alertas de incidentes |
Como não há suporte para adicionar alertas ou remover alertas de incidentes depois de integrar seu espaço de trabalho ao portal do Defender, essas ações também não têm suporte de dentro de guias estratégicos. Para obter mais informações, consulte Entenda como os alertas são correlacionados e os incidentes são mesclados no portal do Defender. |
| Integração do Microsoft Defender XDR em vários workspaces | Se você integrou dados XDR em mais de uma área de trabalho em um único locatário, os dados agora serão ingeridos apenas na área de trabalho primária no portal do Defender. Transfira regras de automação para o espaço de trabalho relevante para garantir que continuem funcionando. |
| Automação e o mecanismo de correlação | O mecanismo de correlação pode combinar alertas de vários sinais em um único incidente, o que pode resultar em automação recebendo dados que você não previu. Recomendamos revisar suas regras de automação para garantir que você esteja vendo os resultados esperados. |