Visão geral
A integração do Microsoft Sentinel (INT-009) ingere os incidentes do Sentinel no CaseBender e pode devolver as disposições dos casos ao Sentinel quando um caso é fechado.Ingestão de entrada
Os incidentes do Sentinel são ingeridos — extraídos automaticamente de forma
agendada (recomendado) ou enviados por webhook / Logic App — e então
normalizados e convertidos em alertas.
Sincronização de saída
Quando um caso vinculado é fechado no CaseBender, o status e a classificação do
incidente do Sentinel são atualizados com um comentário de auditoria.
Esta integração usa a API REST do Azure Security Insights e autentica com um
aplicativo do Azure AD (Entra ID) via fluxo client-credentials (escopo
management.azure.com).Recursos
Pré-requisitos
1
Registrar um aplicativo do Azure AD
No centro de administração do Microsoft Entra, registre um
aplicativo e crie um client secret. Anote o Directory (tenant) ID, o
Application (client) ID e o valor do secret.
2
Atribuir a função no workspace
Conceda ao aplicativo a função Microsoft Sentinel Reader no workspace do Log Analytics com
o Sentinel habilitado (para entrada). Para o fechamento de saída, conceda Microsoft Sentinel
Responder.
3
Reunir as coordenadas do workspace
Anote o Subscription ID, o Resource Group e o nome do workspace do Log Analytics.
4
Saída de rede
O sondador do CaseBender deve alcançar
login.microsoftonline.com e management.azure.com.Configurar a integração no CaseBender
1
Abrir o catálogo de integrações
Vá em Settings → Integrations → Create e escolha Microsoft Sentinel na categoria
SIEM.
2
Inserir as credenciais do Azure e o workspace
3
Ativar a sondagem automática (recomendado)
4
Configurar a criação automática de casos
Entrada (sondagem automática)
1
Extração agendada
A cada intervalo, o CaseBender enumera os incidentes do workspace com
properties/lastModifiedTimeUtc maior que o último cursor, em ordem crescente. Na primeira
execução, os incidentes modificados dentro de pollingInitialLookbackHours são importados.2
Cursor + deduplicação
O CaseBender avança um cursor por integração até o
lastModifiedTimeUtc mais recente. Os
incidentes são deduplicados por nome de incidente, de modo que janelas sobrepostas nunca
criam duplicatas.3
Normalização
Cada incidente é normalizado em um alerta do CaseBender, e o identificador do incidente do
Sentinel é preservado para que o fechamento de saída possa encontrá-lo mais tarde.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que
ele consiga alcançar
login.microsoftonline.com e management.azure.com (diretamente ou através
do seu proxy).Saída: sincronização de disposições para o Sentinel
Quando um caso vinculado é fechado, o CaseBender atualiza ostatus do incidente do Sentinel (para
Closed) e a classification, e adiciona um comentário de auditoria. A saída requer a função
Microsoft Sentinel Responder.
Considerações de segurança
- Privilégio mínimo — conceda Sentinel Reader apenas para entrada; adicione Sentinel Responder somente se ativar o fechamento de saída.
- Manejo de segredos — faça a rotação do client secret conforme a política da sua organização.
- Rede — restrinja a saída a
login.microsoftonline.comemanagement.azure.com.
Solução de problemas
A autenticação falha
A autenticação falha
Verifique os IDs de tenant/cliente e o secret, e se o aplicativo tem a função Sentinel Reader no
workspace. Confirme que o subscription ID, o resource group e o nome do workspace estão corretos.
A sondagem está ativada, mas nenhum incidente aparece
A sondagem está ativada, mas nenhum incidente aparece
Confirme que Enable automatic polling está ativado e que as coordenadas do workspace estão
corretas. Verifique se o sondador consegue alcançar
management.azure.com. Na primeira execução,
apenas os incidentes dentro de pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker,
docker compose ps deve mostrar os serviços worker e misp-processor como Up.O fechamento do caso não atualiza o Sentinel
O fechamento do caso não atualiza o Sentinel
Certifique-se de que o aplicativo tem a função Sentinel Responder e que o caso está vinculado a
um incidente do Sentinel. Consulte a linha do tempo do caso para o resultado da sincronização.