Criar e executar tarefas de incidentes no Microsoft Sentinel usando livros de estratégias

Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo explica como usar os guias de execução para criar e, opcionalmente, executar tarefas relacionadas com incidentes para gerir processos de fluxo de trabalho complexos dos analistas no Microsoft Sentinel.

Use a ação Adicionar tarefa em um playbook, no conector do Microsoft Sentinel, para adicionar automaticamente uma tarefa ao incidente que disparou o playbook. Os fluxos de trabalho Padrão e Consumo são suportados.

Sugestão

As tarefas de incidentes podem ser criadas automaticamente não apenas por playbooks, mas também por regras de automação, e também manualmente, ad-hoc, a partir de um incidente.

Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel.

Pré-requisitos

A função Microsoft Sentinel Responder é necessária para exibir e editar incidentes, o que é necessário para adicionar, exibir e editar tarefas.
A função Logic Apps Contributor é necessária para criar e editar guias.

Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.

Usar um roteiro para adicionar uma tarefa e executá-la.

Esta secção fornece um procedimento de exemplo para adicionar uma ação de um manual de jogo que faz o seguinte:

Adiciona uma tarefa ao incidente, redefinindo a senha de um usuário comprometido
Adiciona outra ação de playbook para enviar um sinal para o Microsoft Entra ID Protection (AADIP) para realmente redefinir a senha
Adiciona uma ação final do manual para marcar a tarefa no incidente como concluída.

Para adicionar e configurar essas ações, execute as seguintes etapas:

No conector do Microsoft Sentinel , adicione a ação Adicionar tarefa ao incidente e, em seguida:
1. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente.
2. Insira Redefinir senha do utilizador como o Título.
3. Adicione uma descrição opcional.
Por exemplo:
Adicione a ação Entidades - Obter Contas (Pré-visualização). Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:
Adicione um loop Para cada da biblioteca de ações de controlo. Adicione o item de conteúdo dinâmico Contas da saída Entidades - Obter Contas ao campo Selecione uma saída das etapas anteriores . Por exemplo:
Dentro do Para cada loop, selecione Adicionar uma ação. Em seguida:
1. Procure e selecione o conector Microsoft Entra ID Protection
2. Selecione a ação Confirmar um usuário arriscado como comprometido (Visualização ).
3. Adicione o item de conteúdo dinâmico ID de usuário Contas do Microsoft Entra ao campo userIds Item - 1 .
Esta ação aciona processos dentro do Microsoft Entra ID Protection para redefinir a senha do usuário.

A captura de ecrã mostra o envio de entidades ao AADIP para confirmar a violação.

Observação

O campo Contas Microsoft Entra ID de usuário é uma maneira de identificar um usuário no AADIP. Pode não ser necessariamente a melhor maneira em todos os cenários, mas é trazido aqui apenas como um exemplo.

Para obter assistência, consulte outros manuais que lidam com usuários comprometidos ou a documentação do Microsoft Entra ID Protection.
Adicione a ação Marcar uma tarefa como concluída do conector Microsoft Sentinel e adicione o item de conteúdo dinâmico ID da tarefa do incidente ao campo ID do ARM da tarefa. Por exemplo:

Usar um manual para adicionar uma tarefa condicionalmente

Esta seção fornece um exemplo de procedimento para adicionar uma ação de playbook que investiga um endereço IP que aparece num incidente.

Se os resultados desta pesquisa são que o endereço IP é malicioso, o manual cria uma tarefa para o analista desativar o usuário usando esse endereço IP.
Se o endereço IP não for um endereço malicioso conhecido, o manual cria uma tarefa diferente, para o analista entrar em contato com o usuário para verificar a atividade.

Para adicionar e configurar essas ações, execute as seguintes etapas:

No conector do Microsoft Sentinel, adicione a ação Entidades - Obter IPs . Adicione o item de conteúdo dinâmico Entidades (do esquema de incidente do Microsoft Sentinel) ao campo Lista de entidades . Por exemplo:
Adicione um loop Para cada da biblioteca de ações de controlo. Adicione o item de conteúdo dinâmico IPs da saída de Entidades - Obter IPs ao campo Selecione uma saída de etapas anteriores. Por exemplo:
Dentro do Para cada loop, selecione Adicionar uma ação e, em seguida:
1. Procure e selecione o conector Virus Total.
2. Selecione a ação Obter um relatório IP (Visualização).
3. Adicione o item de conteúdo dinâmico Endereços IP da saída de Entidades - Obter IPs ao campo Endereço IP.
Por exemplo:
Dentro do Para cada loop, selecione Adicionar uma ação e, em seguida:
1. Adicione uma condição da biblioteca de ações de controlo.
2. Adicione o item de conteúdo dinâmico Estatísticas da última análise de maliciosidade da saída Obter um relatório de IP. Talvez seja necessário selecionar Ver mais para encontrá-lo.
3. Selecione o operador é maior que e insira 0 como valor.
Esta condição faz a pergunta "O relatório de IP total de vírus teve algum resultado?" Por exemplo:
Dentro da opção Verdadeiro , selecione Adicionar uma ação e, em seguida:
1. Selecione a ação Adicionar tarefa a incidente no conector do Microsoft Sentinel .
2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente.
3. Insira 'Marcar utilizador como comprometido' como o Título.
4. Adicione uma descrição opcional.
Por exemplo:
Dentro da opção False , selecione Adicionar uma ação e, em seguida:
1. Selecione a ação Adicionar tarefa a incidente no conector do Microsoft Sentinel .
2. Selecione o item de conteúdo dinâmico ID do ARM do Incidente para o campo ID do ARM do Incidente.
3. Introduza "Contactar o utilizador para confirmar a atividade" como o Título.
4. Adicione uma descrição opcional.
Por exemplo: