Microsoft Sentinel–Automações não são executadas

16 maio 2022 msincic Azure, Azure Sentinel, Cloud computing, Cybersecurity, Governança, Microsoft Azure, Segurança

Um erro muito comum quando vejo as implementações de Sentinel em clientes é não executar as automações.

Para entender o problema, é interessante interligar com aplicações Power Platform como o Power Apps, onde o usuário precisa autorizar a conta do Office 365 para que o app execute. Isso é feito na primeira execução e o Power Apps ou Power Automate irá guardar o usuário da conexão.

O mesmo acontece com as automações do Sentinel, elas não estão necessariamente interligadas a uma Automation Account e com isso é necessário autenticar todas as conexões!

Como saber se tenho automações não autenticadas?

Abra o Sentinel e clique em Automações.

Ao abrir clique na opção que irá aparecer no topo da lista do lado direito “API Connections”.

Faça um filtro pelas automações que estão com erros.

PPV ; : - 0 -535F 麟 一 do $ n , • 一 dwpa " 一 凵 SUO!PBUUO) IdV

Para as automações que estão com erro na conexão, abra suas propriedades e vá para a opção “Edit API Connection” e voilá achou o problema 😊

Dashtnand MiUosoft API C.tions API Connections vie" Filter any azuresentinel-RisklQ-Data-Whois-Domain I Edit API connection (Ctrl Activity log Access lags and Edit API connection Edit API connection Edit API lets you update display and refresh autt-KTiutO. fu this "Nide. Display Name SentiN

Lembrando que as conexões de API podem ser diversas, Office 365 se for o envio de email, chave para aplicações, SAS para storage e outro dado especifico que tenha sido usado na automação e precisa ter a credencial.

Agora poderá ver que as mesmas automações com erro irão aparecer como “Connected” indicando que estão agora funcionando.

API Connections C) Refræh to CSV A"ign tags .11 Display Kind Microsoft VI Sen... VI Connected Add API C—tiff'

Tags :
Os comentários estão fechados