Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Um dos fatores mais importantes na execução das operações de segurança (SecOps) de forma eficaz e eficiente é a uniformização dos processos. Espera-se que os analistas do SecOps executem uma lista de passos ou tarefas no processo de triagem, investigação ou remediação de um incidente. Uniformizar e formalizar a lista de tarefas pode ajudar a manter o SOC a funcionar sem problemas, garantindo que os mesmos requisitos se aplicam a todos os analistas. Desta forma, independentemente de quem está no turno, um incidente receberá sempre o mesmo tratamento e SLAs. Os analistas não precisam de passar tempo a pensar no que fazer ou a preocupar-se com a falta de um passo crítico. Estes passos são definidos pelo gestor do SOC ou analistas seniores (camada 2/3) com base em conhecimentos de segurança comuns (como NIST), na sua experiência com incidentes anteriores ou em recomendações fornecidas pelo fornecedor de segurança que detetou o incidente.
Casos de utilização
Os analistas do SOC podem utilizar uma única lista de verificação central para processar os processos de triagem, investigação e resposta de incidentes, tudo sem se preocupar com a falta de um passo crítico.
Os seus engenheiros do SOC ou analistas seniores podem documentar, atualizar e alinhar os padrões de resposta a incidentes entre as equipas e os turnos dos analistas. Também podem criar listas de verificação de tarefas para preparar novos analistas ou analistas que se deparem com novos tipos de incidentes.
Enquanto gestor do SOC ou como MSSP, pode certificar-se de que os incidentes são tratados de acordo com os SLAs/SOPs relevantes.
Pré-requisitos
A função Microsoft Sentinel Responder é necessária para criar regras de automatização e para ver e editar incidentes, ambos necessários para adicionar, ver e editar tarefas.
A função Contribuidor do Logic Apps é necessária para criar e editar manuais de procedimentos.
Cenários
Analista
Seguir tarefas ao processar um incidente
Quando seleciona um incidente e Vê todos os detalhes, na página de detalhes do incidente, verá no painel direito todas as tarefas que foram adicionadas a esse incidente, manualmente ou por regras de automatização.
Expanda uma tarefa para ver a descrição completa, incluindo o utilizador, a regra de automatização ou o manual de procedimentos que a criou.
Marque uma tarefa como concluída ao selecionar o respetivo círculo "caixa de verificação".
Adicionar tarefas a um incidente no local
Pode adicionar tarefas a um incidente aberto em que está a trabalhar, para se lembrar das ações que detetou serem necessárias ou para registar ações que tomou por iniciativa própria que não aparecem na lista de tarefas. As tarefas adicionadas desta forma só serão aplicadas ao incidente aberto.
Criador do fluxo de trabalho
Adicionar tarefas a incidentes com regras de automatização
Utilize a ação Adicionar tarefa nas regras de automatização para fornecer automaticamente todos os incidentes com uma lista de verificação de tarefas para os seus analistas. Defina a condição de nome da regra de análise na regra de automatização para determinar o âmbito:
Aplique a regra de automatização a todas as regras de análise para definir um conjunto padrão de tarefas a aplicar a todos os incidentes.
Ao aplicar a regra de automatização a um conjunto limitado de regras de análise, pode atribuir tarefas específicas a incidentes específicos, de acordo com as ameaças detetadas pela regra de análise ou pelas regras que geraram esses incidentes.
Considere que a ordem pela qual as tarefas aparecem no incidente é determinada pela hora de criação das tarefas. Pode definir a ordem das regras de automatização para que as regras que adicionam tarefas necessárias para todos os incidentes sejam executadas primeiro e apenas posteriormente quaisquer regras que adicionem tarefas necessárias para incidentes gerados por regras de análise específicas. Dentro de uma única regra, a ordem pela qual as ações são definidas rege a ordem pela qual aparecem num incidente.
Veja quais os incidentes abrangidos pelas regras e tarefas de automatização existentes, antes de criar uma nova regra de automatização.
Utilize o filtro Ação na lista regras de Automatização para ver apenas as regras que adicionam tarefas a incidentes e ver a que regras de análise essas regras de automatização se aplicam para compreender a que incidentes essas tarefas serão adicionadas.
Adicionar tarefas a incidentes com manuais de procedimentos
Utilize a ação Adicionar tarefa num manual de procedimentos (no conector Microsoft Sentinel) para adicionar automaticamente uma tarefa ao incidente que acionou o manual de procedimentos.
Em seguida, utilize outras ações do manual de procedimentos (nos respetivos conectores do Logic Apps) para concluir o conteúdo da tarefa.
Por fim, utilize a tarefa Marcar como ação concluída (novamente no conector Microsoft Sentinel) para marcar automaticamente a tarefa como concluída.
Considere os seguintes cenários como exemplos:
Permitir que os manuais de procedimentos adicionem e concluam tarefas: Quando um incidente é criado, aciona um manual de procedimentos que faz o seguinte:
- Adiciona uma tarefa ao incidente para repor a palavra-passe de um utilizador.
- Executa a tarefa ao emitir uma chamada à API para o sistema de aprovisionamento de utilizadores para repor a palavra-passe do utilizador.
- Aguarda uma resposta do sistema quanto ao êxito ou falha da reposição.
- Se a reposição da palavra-passe tiver sido efetuada com êxito, o manual de procedimentos marca a tarefa que acabou de criar no incidente como concluída.
- Se a reposição da palavra-passe falhar, o manual de procedimentos não marcará a tarefa como concluída, deixando-a para um analista a executar.
Permita que o manual de procedimentos avalie se as tarefas condicionais devem ser adicionadas: Quando um incidente é criado, aciona um manual de procedimentos que pede um relatório de endereço IP a partir de uma origem de informações sobre ameaças externas.
- Se o endereço IP for malicioso, o manual de procedimentos adiciona uma determinada tarefa (por exemplo, "Bloquear este endereço IP").
- Caso contrário, o manual de procedimentos não efetua mais nenhuma ação.
Utilizar regras de automatização ou manuais de procedimentos para adicionar tarefas?
Que considerações devem ditar quais destes métodos devem ser utilizados para criar tarefas de incidentes?
- Regras de automatização: utilize sempre que possível. Utilize para tarefas estáticas simples que não necessitam de interatividade.
- Manuais de procedimentos: utilize para casos de utilização avançados — a criação de tarefas com base em condições ou de tarefas com ações automatizadas integradas.
Passos seguintes
- Saiba como os analistas podem utilizar tarefas para lidar com o fluxo de trabalho de incidentes no Microsoft Sentinel.
- Saiba mais sobre como investigar incidentes no Microsoft Sentinel.
- Saiba como adicionar tarefas a grupos de incidentes automaticamente através de regras de automatização ou manuais de procedimentos.
- Saiba mais sobre as regras de automatização e como criá-las.
- Saiba mais sobre manuais de procedimentos e como criá-los.