Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As equipes de gerenciamento de informações e eventos de segurança (SIEM) e do centro de operações de segurança (SOC) normalmente são inundadas com alertas e incidentes de segurança regularmente, em volumes tão grandes que o pessoal disponível fica sobrecarregado. Isso resulta muitas vezes em situações em que muitos alertas são ignorados e muitos incidentes não são investigados, deixando a organização vulnerável a ataques que passam despercebidos.
O Microsoft Sentinel, além de ser um sistema SIEM, também é uma plataforma para orquestração, automação e resposta de segurança (SOAR). Um de seus principais objetivos é automatizar quaisquer tarefas recorrentes e previsíveis de enriquecimento, resposta e remediação que sejam de responsabilidade do seu centro de operações de segurança e pessoal (SOC/SecOps), liberando tempo e recursos para uma investigação mais aprofundada e caça a ameaças avançadas.
Este artigo descreve os recursos SOAR do Microsoft Sentinel e mostra como o uso de regras de automação e playbooks em resposta a ameaças à segurança aumenta a eficácia do SOC e economiza tempo e recursos.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Regras de automatização
O Microsoft Sentinel usa regras de automação para permitir que os usuários gerenciem a automação de tratamento de incidentes a partir de um local central. Use regras de automação para:
- Atribua automação mais avançada a incidentes e alertas, usando playbooks
- Marque, atribua ou feche incidentes automaticamente sem um manual
- Automatize respostas para várias regras de análise ao mesmo tempo
- Crie listas de tarefas para seus analistas executarem ao triar, investigar e remediar incidentes
- Controlar a ordem das ações que são executadas
Recomendamos que você aplique regras de automação quando incidentes são criados ou atualizados para agilizar ainda mais a automação e simplificar fluxos de trabalho complexos para seus processos de orquestração de incidentes.
Para obter mais informações, consulte Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação.
Manuais de Procedimentos
Um manual é uma coleção de ações e lógicas de resposta e correção que podem ser executadas a partir do Microsoft Sentinel como rotina. Um manual pode:
- Ajude a automatizar e orquestrar sua resposta a ameaças
- Integração com outros sistemas, internos e externos
- Ser configurado para ser executado automaticamente em resposta a alertas ou incidentes específicos, ou executar manualmente sob demanda, como em resposta a novos alertas
No Microsoft Sentinel, os playbooks são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda você a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa. Isso significa que os playbooks podem aproveitar todo o poder e a capacidade de personalização dos recursos de integração e orquestração dos Aplicativos Lógicos e das ferramentas de design fáceis de usar, além da escalabilidade, confiabilidade e nível de serviço de um serviço Azure de Nível 1.
Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel.
Automação no portal do Microsoft Defender
Observe os seguintes detalhes sobre como a automação funciona para o Microsoft Sentinel no portal do Defender. Se você for um cliente existente que está fazendo a transição do portal do Azure para o portal do Defender, poderá notar diferenças na maneira como a automação funciona em seu espaço de trabalho após a integração ao portal do Defender.
| Funcionalidade | Descrição |
|---|---|
| Regras de automação com gatilhos de alerta | No portal do Defender, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para obter mais informações, consulte Alerta criar gatilho. |
| Regras de automação com gatilhos para incidentes | No portal do Azure e no portal do Defender, a propriedade de condição do provedor de incidentes é removida, pois todos os incidentes têm o Microsoft XDR como o provedor de incidentes (o valor no campo ProviderName ). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do provedor de incidentes está definida apenas como Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente em incidentes que contêm alertas criados pela regra de análise especificada. Isso significa que você pode definir a propriedade de condição do nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada em incidentes somente no Microsoft Sentinel. Além disso, após a integração no portal do Defender, a tabela SecurityIncident não inclui mais um campo Descrição . Por conseguinte: - Se você estiver usando este campo Descrição como condição para uma regra de automação com um gatilho de criação de incidente, essa regra de automação não funcionará após a integração ao portal do Defender. Nesses casos, certifique-se de atualizar a configuração adequadamente. Para obter mais informações, consulte Condições que desencadeiam incidentes. - Se você tiver uma integração configurada com um sistema de tíquete externo, como o ServiceNow, a descrição do incidente estará faltando. |
| Latência nos gatilhos do manual | Pode levar até 5 minutos para que os incidentes do Microsoft Defender apareçam no Microsoft Sentinel. Se esse atraso estiver presente, o acionamento do playbook também será atrasado. |
| Alterações aos nomes de incidentes existentes | O portal Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho ao portal do Defender, os nomes de incidentes existentes podem ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes como critérios de condição em suas regras de automação e sugerimos, em vez disso, usar o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e tags se for necessária mais especificidade. |
| Atualizado por campo | Para obter mais informações, consulte Gatilho de atualização de incidente. |
| Criação de regras de automação diretamente de um incidente | A criação de regras de automação diretamente a partir de um incidente é suportada apenas no portal do Azure. Se você estiver trabalhando no portal do Defender, crie suas regras de automação do zero na página Automação . |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas no portal do Defender. Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft. |
| Executando regras de automação a partir do portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse intervalo de tempo ocorre porque o incidente é criado no portal do Defender e, em seguida, encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia de Playbooks ativos | Após a integração no portal do Defender, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados para outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar playbooks do Microsoft Sentinel a partir de modelos. |
| Executando playbooks manualmente conforme necessário | Atualmente, os seguintes procedimentos não são suportados no portal do Defender: |
| A execução de playbooks em incidentes requer sincronização com o Microsoft Sentinel | Se você tentar executar um manual sobre um incidente no portal do Defender e vir a mensagem "Não é possível acessar os dados relacionados a esta ação. Atualize a tela em alguns minutos.", isso significa que o incidente ainda não está sincronizado com o Microsoft Sentinel. Atualize a página do incidente depois que o incidente for sincronizado para executar o playbook com êxito. |
|
Incidentes: Adicionar alertas a incidentes / Remoção de alertas de incidentes |
Como não há suporte para adicionar alertas ou remover alertas de incidentes após a integração do seu espaço de trabalho no portal do Defender, essas ações também não são suportadas nos playbooks. Para obter mais informações, consulte Entender como os alertas são correlacionados e os incidentes são mesclados no portal do Defender. |
| Integração do Microsoft Defender XDR em vários espaços de trabalho | Se tiver integrado dados XDR com mais de um espaço de trabalho num único tenant, agora os dados serão ingeridos apenas no espaço de trabalho principal no portal Defender. Transfira regras de automação para o espaço de trabalho relevante para mantê-las em execução. |
| Automação e o mecanismo de correlação | O mecanismo de correlação pode combinar alertas de vários sinais em um único incidente, o que pode resultar na automação do recebimento de dados que você não previu. Recomendamos rever suas regras de automação para garantir que você esteja vendo os resultados esperados. |