Criar e gerenciar guias estratégicos do Microsoft Sentinel

Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Guias estratégicos são coleções de procedimentos que podem ser executados do Microsoft Sentinel em resposta a um incidente inteiro, a um alerta individual ou a uma entidade específica. Um guia estratégico pode ajudar a automatizar e orquestrar sua resposta e pode ser anexado a uma regra de automação para ser executado automaticamente quando alertas específicos são gerados ou quando incidentes são criados ou atualizados. Os guias estratégicos também podem ser executados manualmente sob demanda em incidentes, alertas ou entidades específicos.

Este artigo descreve como criar e gerenciar guias estratégicos do Microsoft Sentinel. Posteriormente, você pode anexar esses guias estratégicos a regras de análise ou regras de automação ou executá-los manualmente em incidentes, alertas ou entidades específicos.

Observação

Os playbooks no Microsoft Sentinel são baseados em fluxos de trabalho criados no Aplicativos Lógicos do Azure, o que significa que você obtém todo o poder, personalização e modelos integrados dos aplicativos lógicos. Encargos adicionais podem ser aplicados. Para obter informações sobre preços, visite a página de preços dos Aplicativos Lógicos do Azure.

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.

Pré-requisitos

Uma conta e uma assinatura do Azure. Se você não tiver uma assinatura, inscreva-se em uma conta gratuita do Azure.

Para criar e gerenciar guias estratégicos, você precisa ter acesso ao Microsoft Sentinel com uma das seguintes funções do Azure:

Aplicativo lógico	Funções do Azure	Descrição
Consumo	Colaborador do Aplicativo Lógico	Editar e gerenciar aplicativos lógicos.
Consumo	Operador de aplicativo lógico	Ler, habilitar e desabilitar aplicativos lógicos.
Standard	Operador Standard de Aplicativos Lógicos	Habilitar, reenviar e desabilitar fluxos de trabalho.
Standard	Desenvolvedor Padrão de Aplicativos Lógicos	Crie e edite fluxos de trabalho.
Standard	Colaborador Padrão dos Aplicativos Lógicos	Gerenciar todos os aspectos de um fluxo de trabalho.

Para saber mais, confira a seguinte documentação:

Antes de criar seu guia estratégico, recomendamos que você leia Aplicativos Lógicos do Azure para guias estratégicos do Microsoft Sentinel.

Criar um Guia estratégico

Siga estas etapas para criar um guia estratégico no Microsoft Sentinel:

No portal do Defender ou no portal do Azure, vá para a área de trabalho do Microsoft Sentinel. No menu do workspace, em Configuração, selecione Automação.
- Portal do Defender
- Portal do Azure
No menu superior, selecione Criar e selecione uma das seguintes opções:
- Se você estiver criando um manual de Consumo, selecione uma das seguintes opções, dependendo do gatilho que deseja usar, e siga as etapas para um aplicativo lógico de Consumo:
  - Manual de instruções com gatilho de incidente
  - Guia estratégico com gatilho de alerta
  - Manual com gatilho de entidade
  Esse guia continua com o Playbook com gatilho de entidade.
- Se você estiver criando um playbook Padrão, selecione Playbook em branco e então siga as etapas para o tipo de aplicativo lógico Padrão.
Para obter mais informações, consulte tipos de aplicativo lógico com suporte e acionadores e ações com suporte nos playbooks do Microsoft Sentinel.

Preparar o aplicativo lógico do seu guia estratégico

Selecione uma das guias a seguir para obter detalhes sobre como criar um aplicativo lógico para seu guia estratégico, dependendo se você está usando um aplicativo lógico de Consumo ou Standard. Para obter mais informações, consulte tipos de aplicativo lógico com suporte.

Dica

Se seus playbooks precisarem de acesso a recursos protegidos que estão dentro ou conectados a uma rede virtual do Azure, crie um fluxo de trabalho de aplicativo lógico padrão.

Os fluxos de trabalho Standard são executados nos Aplicativos Lógicos do Azure de locatário único e dão suporte o uso de pontos de extremidade privados para tráfego de entrada, de modo que seus fluxos de trabalho possam se comunicar de forma privada e segura com redes virtuais. Os fluxos de trabalho padrão também suportam a integração de redes virtuais para o tráfego de saída. Para obter mais informações, veja Tráfego seguro entre redes virtuais e Aplicativos Lógicos do Azure de locatário único usando pontos de extremidade privados.

Consumo
Standard

Depois de selecionar o gatilho, que inclui um incidente, alerta ou gatilho de entidade, o assistente Criar manual é exibido, por exemplo:

Siga estas etapas para criar seu guia estratégico:

Na guia Noções básicas , forneça as seguintes informações:
1. Para assinatura e grupo de recursos, selecione os valores desejados em suas listas respectivas.
  
  O valor da região é definido como a mesma região que o workspace do Log Analytics associado.
2. Em Nome do manual, insira um nome para seu manual.
3. Para monitorar a atividade deste manual para fins de diagnóstico, selecione Habilitar logs de diagnóstico no Log Analytics e selecione um espaço de trabalho do Log Analytics, a menos que você já tenha selecionado um espaço de trabalho.
Selecione Avançar: Conexões >.
Na guia Conexões , recomendamos deixar os valores padrão, que configuram um aplicativo lógico para se conectar ao Microsoft Sentinel com uma identidade gerenciada.

Para obter mais informações, veja Autenticar playbooks no Microsoft Sentinel.
Para continuar, selecione Avançar: Revisar e criar >.
Na guia Revisar e criar, examine suas opções de configuração e selecione Criar playbook.

O Azure leva alguns minutos para criar e implantar seu guia estratégico. Após a conclusão da implantação, seu manual será aberto no Designer de fluxo de trabalho de Consumo para Aplicativos Lógicos do Azure. O gatilho que você selecionou anteriormente aparece automaticamente como a primeira etapa do seu fluxo de trabalho, portanto, agora você pode continuar a criar o fluxo de trabalho a partir daqui.
No designer, selecione o gatilho do Microsoft Sentinel, se ainda não estiver selecionado.

No painel Criar conexão , siga estas etapas para fornecer as informações necessárias para se conectar ao Microsoft Sentinel.

Para Autenticação, selecione entre os seguintes métodos, que afetam os parâmetros de conexão subsequentes:

Método	Descrição
OAuth	Open Authorization (OAuth) é um padrão de tecnologia que permite autorizar um aplicativo ou serviço a se conectar a outro sem expor informações privadas, como senhas. O OAuth 2.0 é o protocolo do setor para autorização e concede acesso limitado a recursos protegidos. Para saber mais, consulte os recursos a seguir: - O que é OAuth? - Autorização do OAuth 2.0 com a ID do Microsoft Entra
Diretor de serviço	Uma entidade de serviço representa uma entidade que requer acesso a recursos que são protegidos por um locatário do Microsoft Entra. Para obter mais informações, consulte o objeto principal de serviço.
Identidade gerenciada	Uma identidade gerenciada automaticamente no Microsoft Entra ID. Os aplicativos podem usar essa identidade para acessar recursos que dão suporte a autenticação do Microsoft Entra e para obter tokens do Microsoft Entra sem precisar gerenciar nenhuma credencial. Para obter segurança ideal, a Microsoft recomenda o uso de uma identidade gerenciada para autenticação quando possível. Essa opção oferece segurança superior e ajuda a manter as informações de autenticação seguras para que você não precise gerenciar essas informações confidenciais. Para saber mais, consulte os recursos a seguir: - O que são identidades gerenciadas para recursos do Azure? - Autenticar acesso e conexões com recursos do Azure com identidades gerenciadas nos Aplicativos Lógicos do Azure.

Para obter mais informações, consulte os prompts de autenticação.

Com base na opção de autenticação selecionada, forneça os valores de parâmetro necessários para a opção correspondente.

Para obter mais informações sobre esses parâmetros, consulte a referência do conector do Microsoft Sentinel.
Para ID do locatário, selecione seu ID de locatário do Microsoft Entra.
Quando terminar, selecione Entrar.

Se você escolheu anteriormente Playbook com gatilho de entidade, selecione o tipo de entidade que você deseja que este playbook receba como entrada.

Os guias estratégicos baseados em um fluxo de trabalho padrão não são compatíveis com modelos de guias estratégicos, portanto, você precisa primeiro criar um aplicativo lógico Standard, depois criar o seu guia estratégico e, por fim, escolher o gatilho para o seu guia estratégico.

Após selecionar Manual em branco, uma nova aba do navegador é aberta e o assistente Criar aplicativo lógico aparece. O assistente mostra as opções de hospedagem disponíveis em que o Standard – Plano de Serviço de Fluxo de Trabalho já está selecionado, por exemplo:

Siga estas etapas para criar o aplicativo lógico Standard:

Criar aplicativo lógico Standard

Na página Criar Aplicativo Lógico , confirme a seleção do plano de hospedagem e selecione Selecionar.
Na guia Noções básicas , forneça as seguintes informações:
1. Para Assinatura e Grupo de Recursos, selecione os valores desejados em suas respectivas listas.
2. Para o nome do Aplicativo Lógico, insira um nome para seu aplicativo lógico.
3. Para Região, selecione a região do Azure para seu aplicativo lógico.
4. Para o Plano do Windows (região selecionada),crie ou selecione um plano existente.
5. Para o plano de preços, selecione os recursos de computação e seus preços para sua aplicação lógica.
6. Em Redundância de zona, você poderá habilitar essa funcionalidade se tiver selecionado uma região do Azure que dê suporte à redundância de zona de disponibilidade.
  
  Para esse exemplo, deixe a opção desabilitada. Para obter mais informações, consulte Proteger aplicativos lógicos contra falhas de região com redundância de zona e zonas de disponibilidade.
7. Selecione Avançar: Armazenamento >.
Na guia Armazenamento , forneça as seguintes informações:
1. Para o tipo de armazenamento, selecione o Armazenamento do Azure e crie ou selecione uma conta de armazenamento.
2. Para configurações de diagnóstico do serviço Blob, deixe a configuração padrão.
Na guia Rede , você pode deixar as opções padrão para este exemplo.

Para seus cenários de produção específicos e reais, certifique-se de revisar e selecionar as opções apropriadas. Você também pode alterar essa configuração depois de implantar seu recurso de aplicativo lógico. Para saber mais, confira a seguinte documentação:
- Criar um exemplo de fluxo de trabalho Standard – portal do Azure
- Proteger o tráfego entre aplicativos lógicos Standard e redes virtuais do Azure usando pontos de extremidade privados.
Na guia Monitoramento , siga estas etapas:
1. Em Application Insights, defina Enable Application Insights como No.
  
  Essa configuração desabilita ou habilita o monitoramento de desempenho com o Application Insights no Azure Monitor. No entanto, para o Microsoft Sentinel, esse recurso não é necessário e tem um custo adicional.
2. Para aplicar marcas a este aplicativo lógico para fins de categorização e cobrança de recursos, selecione Avançar: Marcas >. Caso contrário, selecione Examinar + criar.
Na guia Revisar + criar , examine suas opções de configuração e selecione Criar.

O Azure leva alguns minutos para criar e implantar seu aplicativo lógico.
Após a conclusão da implantação, selecione Ir para o recurso, que abre o recurso do aplicativo lógico.

Ao contrário dos guias estratégicos de consumo clássicos, você ainda não terminou. Agora você deve criar um fluxo de trabalho.

Criar um fluxo de trabalho para o seu guia estratégico

No menu do aplicativo lógico, em Fluxos de Trabalho, selecione Fluxos de Trabalho.
Na barra de ferramentas da página Fluxos de Trabalho , selecione Adicionar.

No painel Novo fluxo de trabalho , forneça as seguintes informações:

Propriedade	Descrição
Nome do fluxo de trabalho	Um nome significativo para seu fluxo de trabalho.
Tipo de estado	Selecione Stateful. O Microsoft Sentinel não dá suporte ao uso de fluxos de trabalho sem estado como guias estratégicos.

Quando terminar, selecione Criar.

Depois que o Azure salva seu fluxo de trabalho, a página Fluxos de Trabalho mostra seu fluxo de trabalho.
Selecione o fluxo de trabalho para abrir a página Visão geral do fluxo de trabalho.

Essa página mostra todas as informações sobre o fluxo de trabalho, inclusive o histórico de todas as vezes em que o fluxo de trabalho foi executado.
No menu fluxo de trabalho, em Desenvolvedor, selecione Designer.

O designer do fluxo de trabalho é aberto para que você comece a criar o fluxo de trabalho adicionando um gatilho.

Adicionar o gatilho do fluxo de trabalho

No designer, selecione Adicionar um gatilho para abrir o painel Adicionar um gatilho , por exemplo:
Siga estas etapas gerais para localizar os gatilhos do Microsoft Sentinel, que incluem estes gatilhos:
- Entidade Microsoft Sentinel
- Alerta do Microsoft Sentinel
- Incidente do Microsoft Sentinel
Selecione o gatilho que deseja usar em seu guia estratégico.

Esse exemplo continua com o gatilho da entidade Microsoft Sentinel.
No designer, selecione o gatilho, se ainda não estiver selecionado.

No painel Criar conexão , forneça as informações necessárias para se conectar ao Microsoft Sentinel.

Para Autenticação, selecione entre os seguintes métodos, que afetam os parâmetros de conexão subsequentes:

Método	Descrição
OAuth	Open Authorization (OAuth) é um padrão de tecnologia que permite autorizar um aplicativo ou serviço a se conectar a outro sem expor informações privadas, como senhas. O OAuth 2.0 é o protocolo do setor para autorização e concede acesso limitado a recursos protegidos. Para saber mais, consulte os recursos a seguir: - O que é OAuth? - Autorização do OAuth 2.0 com a ID do Microsoft Entra
Diretor de serviço	Uma entidade de serviço representa uma entidade que requer acesso a recursos que são protegidos por um locatário do Microsoft Entra. Para obter mais informações, consulte o objeto principal de serviço.
Identidade gerenciada	Uma identidade gerenciada automaticamente no Microsoft Entra ID. Os aplicativos podem usar essa identidade para acessar recursos que dão suporte a autenticação do Microsoft Entra e para obter tokens do Microsoft Entra sem precisar gerenciar nenhuma credencial. Para obter segurança ideal, a Microsoft recomenda o uso de uma identidade gerenciada para autenticação quando possível. Essa opção oferece segurança superior e ajuda a manter as informações de autenticação seguras para que você não precise gerenciar essas informações confidenciais. Para saber mais, consulte os recursos a seguir: - O que são identidades gerenciadas para recursos do Azure? - Autenticar acesso e conexões com recursos do Azure com identidades gerenciadas nos Aplicativos Lógicos do Azure.

Para obter mais informações, consulte os prompts de autenticação.

Com base na opção de autenticação selecionada, forneça os valores de parâmetro necessários para a opção correspondente.

Para obter mais informações sobre esses parâmetros, consulte a referência do conector do Microsoft Sentinel.
Para ID do locatário, selecione seu ID de locatário do Microsoft Entra.
Quando terminar, selecione Entrar.

Se você escolher Playbook com gatilho de entidade, selecione o tipo de entidade que você deseja que este playbook receba como entrada.

Para obter mais informações, veja Gatilhos e ações com suporte nos manuais do Microsoft Sentinel.

Prompts de autenticação

Quando você adiciona um gatilho ou uma ação subsequente que requer autenticação, pode ser solicitado que você escolha entre os tipos de autenticação disponíveis com suporte para o provedor de recursos correspondente. Neste exemplo, um gatilho do Microsoft Sentinel é a primeira operação que você adiciona ao seu fluxo de trabalho. Portanto, o provedor de recursos é o Microsoft Sentinel, que dá suporte a várias opções de autenticação. Para saber mais, confira a seguinte documentação:

Adicionar ações ao seu guia estratégico

Agora que você tem um fluxo de trabalho para o seu guia estratégico, defina o que acontece quando você chama o guia estratégico. Adicione ações, condições lógicas, loops ou condições de caso de alternância, tudo isso selecionando o sinal de adição (+) no designer. Para obter mais informações, consulte Criar um fluxo de trabalho com um gatilho ou ação.

Essa seleção abre o painel Adicionar uma ação em que você pode procurar ou pesquisar serviços, aplicativos, sistemas, ações de fluxo de controle e muito mais. Depois de inserir os termos da pesquisa ou selecionar o recurso desejado, a lista de resultados mostra as ações disponíveis.

Em cada ação, quando você seleciona dentro de um campo, obtém as seguintes opções:

Conteúdo dinâmico (ícone relâmpago): escolha entre uma lista de saídas disponíveis das ações anteriores no fluxo de trabalho, incluindo o gatilho do Microsoft Sentinel. Por exemplo, essas saídas podem incluir os atributos de um alerta ou incidente que foi passado para o guia estratégico, incluindo os valores e atributos de todas as entidades mapeadas e detalhes personalizados no alerta ou incidente. Você pode adicionar referências à ação atual selecionando essas saídas.

Para exemplos que mostram o uso de conteúdo dinâmico, consulte as seções a seguir:
- Use manuais de entidades sem ID de incidente
- Trabalhar com detalhes personalizados
Editor de expressão (ícone de função): escolha entre uma grande biblioteca de funções para adicionar mais lógica ao seu fluxo de trabalho.

Para obter mais informações, veja Gatilhos e ações com suporte nos manuais do Microsoft Sentinel.

Conteúdo dinâmico: Guias estratégicos de entidade sem ID de incidente

Os manuais criados com o gatilho entidade Microsoft Sentinel geralmente usam o campo ID do ARM do incidente, por exemplo, para atualizar um incidente após executar uma ação na entidade. Se esse guia estratégico for disparado em um cenário que não esteja conectado a um incidente, como na busca a ameaças, não haverá ID de incidente para preencher esse campo. Em vez disso, o campo é preenchido com um valor nulo. Como resultado, o guia estratégico pode falhar ao ser executado até a conclusão.

Para evitar essa falha, recomendamos que você crie uma condição que verifique se há um valor no campo ID do incidente antes que o fluxo de trabalho execute qualquer outra ação. Você pode prescrever um conjunto diferente de ações a serem executadas se o campo tiver um valor nulo, devido ao fato de o guia estratégico não estar sendo executado a partir de um incidente.

No seu fluxo de trabalho, antes da primeira ação que se refere ao campo Incidente ARM ID, siga estas etapas gerais para adicionar uma Condição ação.
No painel Condição , na linha de condição, selecione a esquerda Escolher um campo de valor e, em seguida, selecione a opção de conteúdo dinâmico (ícone relâmpago).
Na lista de conteúdo dinâmico, em Incidente do Microsoft Sentinel, use a caixa de pesquisa para localizar e selecionar ID do incidente ARM.

Dica

Se a saída não aparecer na lista, ao lado do nome do gatilho, selecione Ver mais.
No campo do meio, na lista de operadores, a seleção não é igual a.
À direita , escolha um campo de valor e selecione a opção editor de expressão (ícone de função).
No editor, insira nulo e selecione Adicionar.

Quando terminar, sua condição terá uma aparência semelhante à do exemplo a seguir:

Conteúdo dinâmico: trabalhar com detalhes personalizados

No gatilho incidente do Microsoft Sentinel, a saída Detalhes personalizados do alerta é uma matriz de objetos JSON onde cada um representa um detalhe personalizado de um alerta. Os detalhes personalizados são pares de chave-valor que permitem que você exiba informações de eventos no alerta para que possam ser representados, rastreados e analisados como parte do incidente.

Esse campo no alerta é personalizável, portanto, seu esquema depende do tipo de evento que é apresentado. Para gerar o esquema que determina como analisar a saída de detalhes personalizados, forneça os dados de uma instância desse evento:

No menu do workspace do Microsoft Sentinel, em Configuração, selecione Análise.
Siga as etapas para criar ou abrir uma regra de consulta agendada existente ou uma regra de consulta NRT.

Na guia Definir lógica de regra, expanda a seção Detalhes personalizados, por exemplo:

A tabela a seguir fornece mais informações sobre esses pares de chave-valor:

Elemento	Location	Descrição
Chave	Coluna da esquerda	Representa os campos personalizados que você cria.
Valor	Coluna da direita	Representa os campos dos dados do evento que preenchem os campos personalizados.

Para gerar o esquema, forneça o seguinte exemplo de código JSON:
```
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
```
O código mostra os nomes de chave como matrizes e os valores como itens nas matrizes. Os valores são mostrados como os valores reais, não a coluna que contém os valores.

Para usar campos personalizados para gatilhos de incidentes, siga estas etapas para seu fluxo de trabalho:

No designer de fluxo de trabalho, no gatilho do incidente Microsoft Sentinel, adicione a ação interna chamada Analisar JSON.
Selecione dentro do parâmetro Conteúdo da ação e selecione a opção de lista de conteúdo dinâmico (ícone relâmpago).
Na lista, na seção gatilho de incidente, localize e selecione Detalhes Personalizados do Alerta, por exemplo:

Essa seleção adiciona automaticamente um loop For each ao redor de Parse JSON porque um incidente contém uma matriz de alertas.
No painel de informações Analisar JSON, selecione Usar carga útil de amostra para gerar esquema, por exemplo:
Na caixa Inserir ou colar uma amostra de payload JSON, forneça uma amostra de payload e selecione Concluído.

Por exemplo, você pode encontrar um payload de amostra procurando no Log Analytics por outra instância desse alerta e, em seguida, copiando o objeto de detalhes personalizado, que você pode encontrar em Propriedades estendidas. Para acessar os dados do Log Analytics, vá para a página Logs no portal do Azure ou para a página de busca avançada no portal do Defender.

O exemplo a seguir mostra o código JSON de amostra anterior:

Quando você terminar, a caixa Esquema agora contém o esquema gerado com base no exemplo que você forneceu. A ação Analisar JSON cria campos personalizados que agora podem ser usados como campos dinâmicos com o tipo Matriz nas ações subsequentes do fluxo de trabalho.

O exemplo a seguir mostra uma matriz e seus itens, tanto no esquema quanto na lista de conteúdo dinâmico para uma ação subsequente chamada Redigir:

Gerenciar seus guias estratégicos

Selecione a aba Automação > Playbooks ativos para visualizar todos os playbooks aos quais você tem acesso, filtrados pela sua visualização de assinatura.

Após integrar o portal do Microsoft Defender, por padrão a guia Manuais ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, edite as assinaturas que você está mostrando no menu Diretório + assinatura no cabeçalho de página global do Azure.

Embora a guia Playbooks ativos exiba todos os playbooks ativos disponíveis em todas as assinaturas selecionadas, por padrão, um playbook só pode ser usado dentro da assinatura à qual pertence, a menos que você conceda especificamente permissões do Microsoft Sentinel ao grupo de recursos do playbook.

A aba Playbooks ativos mostra seus playbooks com os seguintes detalhes:

Nome da coluna	Descrição
Estado	Indica se o guia estratégico está habilitado ou desabilitado.
Plano	Indica se o manual usa o tipo de recurso Padrão ou Consumo do Aplicativos Lógicos do Azure. Os roteiros do tipo Standard usam a `LogicApp/Workflow` convenção de nomenclatura, que reflete como um roteiro Standard representa um fluxo de trabalho que existe junto com outros fluxos de trabalho em um único aplicativo lógico. Para obter mais informações, veja Manuais do Aplicativos Lógicos do Azure para Microsoft Sentinel.
Tipo de gatilho	Indica o gatilho no Aplicativos Lógicos do Azure que inicia esse guia estratégico: - Incidente/Alerta/Entidade do Microsoft Sentinel: O manual é iniciado com um dos gatilhos do Sentinel, incluindo incidente, alerta ou entidade - Usando a ação do Microsoft Sentinel: o manual é iniciado com um gatilho que não é do Microsoft Sentinel, mas usa uma ação do Microsoft Sentinel - Outro: o guia estratégico não inclui nenhum componente do Microsoft Sentinel - Não inicializado: o guia estratégico foi criado, mas não contém componentes, nem dispara nenhuma ação.

Selecione um guia estratégico para abrir sua página dos Aplicativos Lógicos do Azure, que mostra mais detalhes sobre o guia estratégico. Na página dos Aplicativos Lógicos do Azure:

Exibir um log de todas as vezes em que o guia estratégico foi executado
Exibir resultados da execução, incluindo êxitos, falhas e outros detalhes
Se você tiver as permissões relevantes, abra o designer de fluxo de trabalho nos Aplicativos Lógicos do Azure para editar o guia estratégico diretamente

Depois de criar seu guia estratégico, anexe-o a regras a serem acionadas por eventos em seu ambiente ou execute seus guias estratégicos manualmente em incidentes, alertas ou entidades específicos.

Para obter mais informações, consulte:

Comentários

Esta página foi útil?

Last updated on 2025-04-30