Partilhar via

Tutorial: Extrair entidades de incidentes com ações não nativas

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

O mapeamento de entidades enriquece alertas e incidentes com informações essenciais para quaisquer processos de investigação e ações corretivas que se seguem.

Os playbooks do Microsoft Sentinel incluem estas ações nativas para extrair informações da entidade:

  • Contas
  • DNS
  • Hashes de arquivo
  • Anfitriões
  • Endereços IP
  • URLs

Além dessas ações, o mapeamento de entidade de regra analítica contém tipos de entidade que não são ações nativas, como malware, processo, chave do Registro, caixa de correio e muito mais. Neste tutorial, você aprenderá a trabalhar com ações não nativas usando diferentes ações internas para extrair os valores relevantes.

Neste tutorial, irá aprender a:

  • Crie um manual com um gatilho de incidente e execute-o manualmente no incidente.
  • Inicialize uma variável de matriz.
  • Filtre o tipo de entidade necessário de outros tipos de entidade.
  • Analise os resultados em um arquivo JSON.
  • Crie os valores como conteúdo dinâmico para uso futuro.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Para concluir este tutorial, confirme que tem:

  • Uma subscrição do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um usuário do Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

Criar um manual com um gatilho de incidente

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>.

  2. Na página Automação , selecione Criar>Playbook com gatilho de incidente.

  3. No assistente Criar playbook, sob Noções básicas, selecione a subscrição e o grupo de recursos e dê um nome ao playbook.

  4. Selecione Próximo: Conexões >.

    Em Conexões, a conexão Microsoft Sentinel - Connect with managed identity deve estar visível. Por exemplo:

    Captura de ecrã da criação de um novo playbook com um gatilho de incidente.

  5. Selecione Seguinte: Rever e criar >.

  6. Em Rever e criar, selecione Criar e prosseguir para o designer.

    O designer do aplicativo lógico abre um aplicativo lógico com o nome do seu playbook.

    Captura de ecrã a mostrar a exibição do playbook no editor da aplicação Logic.

Inicializar uma variável Array

  1. No designer do aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Em Escolha uma operação, na caixa de pesquisa, digite variáveis como filtro. Na lista de ações, selecione Inicializar variável.

  3. Forneça estas informações sobre a sua variável:

    1. Para o nome da variável, use Entidades.

    2. Para o tipo, selecione Matriz.

    3. Para o valor, passe o mouse sobre o campo Valor e selecione fx no grupo de ícones azuis à esquerda.

      Captura de tela da inicialização de uma variável no designer do aplicativo lógico.

    4. Na caixa de diálogo que se abre, selecione a guia Conteúdo dinâmico e, na caixa de pesquisa, digite entidades.

    5. Selecione Entidades na lista e selecione Adicionar.

      Captura de ecrã mostrando a seleção do valor de Entidades no designer da aplicação lógica.

Selecione um incidente existente

  1. No Microsoft Sentinel, navegue até Incidentes e selecione um incidente no qual você deseja executar o manual.

  2. Na página do incidente à direita, selecione Manual de execução de ações > (Visualização).

  3. Em Playbooks, ao lado do playbook que você criou, selecione Executar.

    Quando o playbook é acionado, uma mensagem Playbook é acionada com êxito é visível no canto superior direito.

  4. Selecione Execuções e, ao lado do seu playbook, selecione Exibir execução.

    A página de execução do aplicativo lógico está visível.

  5. Em Inicializar variável, a carga útil de amostra é visível em Valor. Observe a carga útil da amostra para uso posterior.

    Captura de ecrã da visualização do exemplo de carga útil no campo Valor.

Filtrar o tipo de entidade necessário de outros tipos de entidade

  1. Navegue de volta para a página Automação e selecione o seu playbook.

  2. Na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  3. Em Escolha uma ação, na caixa de pesquisa, insira a matriz de filtros como seu filtro. Na lista de ações, selecione Operações de dados.

    Captura de tela da filtragem de uma matriz e da seleção de operações de dados.

  4. Forneça estas informações sobre sua matriz de filtros:

    1. Em Do>conteúdo dinâmico, selecione a variável Entidades inicializada anteriormente.

    2. Selecione o primeiro campo Escolha um valor (à esquerda) e selecione Expressão.

    3. Cole o valor item()?[' kind'], e selecione OK.

      Captura de tela do preenchimento da expressão de matriz de filtro.

    4. Deixe o valor é igual a (não o modifique).

    5. No segundo campo Escolha um valor (à direita), digite Processo. Isso precisa ser uma correspondência exata com o valor no sistema.

      Nota

      Esta consulta diferencia maiúsculas de minúsculas. Certifique-se de que o kind valor corresponde ao valor na carga útil da amostra. Veja a carga útil de exemplo de quando você cria um playbook.

      Captura de tela do preenchimento das informações da matriz de filtros.

Analise os resultados em um arquivo JSON

  1. No seu aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Selecione Operações> de dadosAnalisar JSON.

    Captura de tela mostrando a seleção da opção Analisar JSON em Operações de Dados.

  3. Forneça estas informações sobre a sua operação:

    1. Selecione Conteúdo e, em Conteúdo dinâmico>Filtro da matriz, selecione Corpo.

      Captura de ecrã a mostrar a seleção de Conteúdo dinâmico em Conteúdo.

    2. Em Esquema, cole um esquema JSON para que você possa extrair valores de uma matriz. Copie o payload de amostra que foi gerado quando criou o Playbook.

      Captura de ecrã da cópia de amostra de carga útil.

    3. Volte ao manual e selecione Usar carga útil de exemplo para gerar esquema.

      Captura de tela mostrando a seleção Usar carga útil de exemplo para gerar esquema.

    4. Cole a carga útil. Adicione um colchete de abertura ([) no início do esquema e feche-os no final do esquema ].

      Captura de ecrã de inserção da carga útil de amostra.

      Captura de ecrã da segunda parte da amostra de carga útil colada.

    5. Selecione Concluído.

Use os novos valores como conteúdo dinâmico para uso futuro

Agora você pode usar os valores criados como conteúdo dinâmico para outras ações. Por exemplo, se você quiser enviar um e-mail com dados do processo, poderá encontrar a ação Analisar JSON em Conteúdo dinâmico, se não tiver alterado o nome da ação.

Captura de tela do envio de um e-mail com dados do processo.

Certifique-se de que o seu manual está guardado

Certifique-se de que o playbook está salvo, e agora você pode usar seu playbook para operações SOC.

Próximos passos

Avance para o próximo artigo para saber como criar e executar tarefas incidentes no Microsoft Sentinel usando playbooks.

Criar e executar tarefas de incidentes no Microsoft Sentinel usando playbooks

  • Last updated on