Pular para o conteúdo principal

Visão geral

A integração do Microsoft Sentinel (INT-009) ingere os incidentes do Sentinel no CaseBender e pode devolver as disposições dos casos ao Sentinel quando um caso é fechado.

Ingestão de entrada

Os incidentes do Sentinel são ingeridos — extraídos automaticamente de forma agendada (recomendado) ou enviados por webhook / Logic App — e então normalizados e convertidos em alertas.

Sincronização de saída

Quando um caso vinculado é fechado no CaseBender, o status e a classificação do incidente do Sentinel são atualizados com um comentário de auditoria.
Recomendado: ative a sondagem automática. O CaseBender pode extrair novos incidentes de forma agendada diretamente do seu workspace do Log Analytics — sem Logic App, conector de dados ou endpoint de entrada. Consulte Sondagem automática.
Esta integração usa a API REST do Azure Security Insights e autentica com um aplicativo do Azure AD (Entra ID) via fluxo client-credentials (escopo management.azure.com).

Recursos

Pré-requisitos

1

Registrar um aplicativo do Azure AD

No centro de administração do Microsoft Entra, registre um aplicativo e crie um client secret. Anote o Directory (tenant) ID, o Application (client) ID e o valor do secret.
2

Atribuir a função no workspace

Conceda ao aplicativo a função Microsoft Sentinel Reader no workspace do Log Analytics com o Sentinel habilitado (para entrada). Para o fechamento de saída, conceda Microsoft Sentinel Responder.
3

Reunir as coordenadas do workspace

Anote o Subscription ID, o Resource Group e o nome do workspace do Log Analytics.
4

Saída de rede

O sondador do CaseBender deve alcançar login.microsoftonline.com e management.azure.com.

Configurar a integração no CaseBender

1

Abrir o catálogo de integrações

Vá em Settings → Integrations → Create e escolha Microsoft Sentinel na categoria SIEM.
2

Inserir as credenciais do Azure e o workspace

3

Ativar a sondagem automática (recomendado)

4

Configurar a criação automática de casos

Entrada (sondagem automática)

1

Extração agendada

A cada intervalo, o CaseBender enumera os incidentes do workspace com properties/lastModifiedTimeUtc maior que o último cursor, em ordem crescente. Na primeira execução, os incidentes modificados dentro de pollingInitialLookbackHours são importados.
2

Cursor + deduplicação

O CaseBender avança um cursor por integração até o lastModifiedTimeUtc mais recente. Os incidentes são deduplicados por nome de incidente, de modo que janelas sobrepostas nunca criam duplicatas.
3

Normalização

Cada incidente é normalizado em um alerta do CaseBender, e o identificador do incidente do Sentinel é preservado para que o fechamento de saída possa encontrá-lo mais tarde.
A sondagem é executada no serviço de sondagem em segundo plano do CaseBender. Certifique-se de que ele consiga alcançar login.microsoftonline.com e management.azure.com (diretamente ou através do seu proxy).

Saída: sincronização de disposições para o Sentinel

Quando um caso vinculado é fechado, o CaseBender atualiza o status do incidente do Sentinel (para Closed) e a classification, e adiciona um comentário de auditoria. A saída requer a função Microsoft Sentinel Responder.

Considerações de segurança

  • Privilégio mínimo — conceda Sentinel Reader apenas para entrada; adicione Sentinel Responder somente se ativar o fechamento de saída.
  • Manejo de segredos — faça a rotação do client secret conforme a política da sua organização.
  • Rede — restrinja a saída a login.microsoftonline.com e management.azure.com.

Solução de problemas

Verifique os IDs de tenant/cliente e o secret, e se o aplicativo tem a função Sentinel Reader no workspace. Confirme que o subscription ID, o resource group e o nome do workspace estão corretos.
Confirme que Enable automatic polling está ativado e que as coordenadas do workspace estão corretas. Verifique se o sondador consegue alcançar management.azure.com. Na primeira execução, apenas os incidentes dentro de pollingInitialLookbackHours são importados.Certifique-se de que todos os serviços do CaseBender estejam em execução — com o Docker, docker compose ps deve mostrar os serviços worker e misp-processor como Up.
Certifique-se de que o aplicativo tem a função Sentinel Responder e que o caso está vinculado a um incidente do Sentinel. Consulte a linha do tempo do caso para o resultado da sincronização.

Documentação relacionada