Compartilhar via

Tutorial: extrair as entidades de incidente com ações não nativas

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

O mapeamento de entidades enriquece os alertas e incidentes com informações essenciais para todos os processos investigativos e ações corretivas a seguir.

Os guias estratégicos do Microsoft Sentinel incluem essas ações nativas para extrair informações da entidade:

  • Contas
  • DNS
  • Hashes de arquivo
  • Anfitriões
  • Endereços de IP
  • URLs

Além dessas ações, o mapeamento de entidades de regra analítica contém tipos de entidade que não são ações nativas, como malware, processo, chave do Registro, caixa de correio e muito mais. Neste tutorial, você aprenderá a trabalhar com as ações não nativas usando diferentes ações internas para extrair os valores relevantes.

Neste tutorial, você aprenderá como:

  • Criar um guia estratégico com um gatilho de incidente e execute-o manualmente no incidente.
  • Inicializar uma variável de matriz.
  • Filtrar o tipo de entidade necessário de outros tipos de entidade.
  • Analisar os resultados em um arquivo JSON.
  • Criar os valores como conteúdo dinâmico para uso futuro.

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.

Pré-requisitos

Para concluir este tutorial, verifique se você tem:

Criar um guia estratégico com um gatilho de incidente

  1. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação. Para o Microsoft Sentinel no portal do Azure, selecione a páginaAutomação de >.

  2. Na página Automação, selecione Criar>guia estratégico com gatilho de incidente.

  3. No assistente Criar playbook, em Noções Básicas, selecione a assinatura e o grupo de recursos e dê um nome ao playbook.

  4. Selecione Avançar: Conexões >.

    Em Conexões, o Microsoft Sentinel – Conectar-se à conexão de identidade gerenciada deve estar visível. Por exemplo:

    Captura de tela da criação de um novo manual com um gatilho de incidente.

  5. Selecione Próximo: Revisar e criar>.

  6. Em Revisar e criar, selecione Criar e continuar para o designer.

    O Designer de aplicativo lógico abre um aplicativo lógico com o nome do seu guia estratégico.

    Captura de tela da visualização do manual no designer do aplicativo lógico.

Inicializar uma variável de matriz

  1. No designer de aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Em Escolher uma operação, na caixa de pesquisa, digite variáveis como seu filtro. Na lista de ações, selecione Inicializar variável.

  3. Forneça estas informações sobre a sua variável:

    1. Para o nome da variável, use Entidades.

    2. Para o tipo, selecione Matriz.

    3. Para o valor, passe o mouse sobre o campo Valor e selecione fx no grupo de ícones azul à esquerda.

      Captura de tela da inicialização de uma variável no designer de aplicativo lógico.

    4. Na caixa de diálogo que é aberta, selecione a guia Conteúdo dinâmico e, na caixa de pesquisa, digite entidades.

    5. Selecione Entidades na lista e selecione Adicionar.

      Captura de tela da seleção do valor entidades no designer de aplicativo lógico.

Selecionar um incidente existente

  1. No Microsoft Sentinel, navegue até Incidentes e selecione um incidente no qual você deseja executar o guia estratégico.

  2. Na página de incidentes à direita, selecione Ações > Executar manual (Versão prévia).

  3. Em Playbooks, ao lado do playbook que você criou, selecione Executar.

    Quando o manual é acionado, a mensagem Guia estratégico foi acionado com sucesso fica visível no canto superior direito.

  4. Selecione Execuções e, ao lado do seu manual, selecione Exibir Execução.

    A página de execução do aplicativo lógico fica visível.

  5. Em Inicializar variável, a carga de exemplo fica visível em Valor. Anote o conteúdo de exemplo para uso posterior.

    Captura de tela da visualização da carga útil de amostra no campo Valor.

Filtrar o tipo de entidade necessário de outros tipos de entidade

  1. Volte para a página Automação e selecione seu manual.

  2. Na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  3. Em Escolher uma ação, na caixa de pesquisa, insira filtrar matriz como seu critério. Na lista de ações, selecione Operações de dados.

    Captura de tela da filtragem de uma matriz e da seleção de operações de dados.

  4. Forneça estas informações sobre sua matriz de filtros:

    1. Em De>Conteúdo Dinâmico, selecione a variável Entidades que você inicializou anteriormente.

    2. Selecione o primeiro campo Escolher um valor (à esquerda) e selecione Expressão.

    3. Cole o valor item()?['kind'], e então selecione OK.

      Captura de tela do preenchimento de uma expressão de matriz de filtro.

    4. Deixe o valor igual a (não modifique-o).

    5. No segundo , escolha um campo de valor (à direita), digite Processo. Isso precisa ser uma correspondência exata com o valor no sistema.

      Observação

      Essa consulta diferencia maiúsculas de minúsculas. Verifique se o valor kind corresponde ao valor no conteúdo de exemplo. Veja o exemplo de carga útil quando você cria um guia estratégico.

      Captura de tela do preenchimento das informações da matriz de filtro.

Analisar os resultados para um arquivo JSON

  1. Em seu aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Selecione Operações de Dados>Analisar JSON.

    Captura de tela da seleção da opção Analisar JSON em Operações de Dados.

  3. Forneça estas informações sobre sua operação:

    1. Selecione Conteúdo e, em Matrizde Filtro de > Dinâmico, selecione Corpo.

      Captura de tela da seleção de conteúdo dinâmico em Conteúdo.

    2. Em Esquema, cole um esquema JSON para que você possa extrair valores de uma matriz. Copie a carga útil de amostra que você gerou ao criar o guia estratégico.

      Captura de tela da cópia da carga útil de amostra.

    3. Retorne ao manual e selecione Usar carga útil de amostra para gerar esquema.

      Captura de tela da seleção de Usar carga útil de amostra para gerar esquema.

    4. Cole o conteúdo. Adicione um colchete de abertura ([) no início do esquema e feche-o no final do esquema ].

      Captura de tela da colagem da carga útil de amostra.

      Captura de tela da segunda parte da carga útil de amostra colado.

    5. Selecione Concluído.

Usar os novos valores como conteúdo dinâmico para uso futuro

Agora você pode usar os valores criados como conteúdo dinâmico para outras ações. Por exemplo, se você quiser enviar um email com dados do processo, poderá encontrar a ação Analisar JSON em conteúdo dinâmico, se não tiver alterado o nome da ação.

Captura de tela do envio de um email com dados do processo.

Certifique-se de que o guia estratégico foi salvo

Certifique-se de que o guia estratégico foi salvo, e agora você pode usar seu guia estratégico para as operações SOC.

Próximas etapas

Avance para o próximo artigo para saber como criar e executar as tarefas de incidentes no Microsoft Sentinel usando os guias estratégicos.

Criar e executar tarefas de incidentes no Microsoft Sentinel usando playbooks

  • Last updated on