Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

This commit is contained in:
Translator
2025-03-21 09:33:15 +00:00
parent d6a1eedfe9
commit c05f8814d2
3 changed files with 181 additions and 0 deletions
@@ -0,0 +1,35 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud é uma solução abrangente de gerenciamento de segurança que abrange ambientes Azure, on-premises e multi-cloud. É categorizado como uma Plataforma de Proteção de Aplicações Nativas da Nuvem (CNAPP), combinando capacidades de Gerenciamento de Postura de Segurança em Nuvem (CSPM) e Proteção de Carga de Trabalho em Nuvem (CWPP). Seu objetivo é ajudar as organizações a encontrar **configurações incorretas e pontos fracos nos recursos da nuvem**, fortalecer a postura de segurança geral e proteger cargas de trabalho contra ameaças em evolução em Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), configurações híbridas on-premises e mais.
Em termos práticos, o Defender for Cloud **avalia continuamente seus recursos em relação às melhores práticas e padrões de segurança**, fornece um painel unificado para visibilidade e usa detecção avançada de ameaças para alertá-lo sobre ataques. Os principais benefícios incluem uma **visão unificada da segurança em nuvens**, recomendações acionáveis para prevenir violações e proteção integrada contra ameaças que pode reduzir o risco de incidentes de segurança. Ao suportar AWS e GCP e outras plataformas SaaS nativamente e usar Azure Arc para servidores on-premises, garante que você possa **gerenciar a segurança em um só lugar** para todos os ambientes.
### Key Features
- **Recomendações**: Esta seção apresenta uma lista de recomendações de segurança acionáveis com base em avaliações contínuas. Cada recomendação explica as configurações incorretas ou vulnerabilidades identificadas e fornece etapas de remediação, para que você saiba exatamente o que corrigir para melhorar sua pontuação de segurança.
- **Análise de Caminho de Ataque**: A Análise de Caminho de Ataque mapeia visualmente as rotas de ataque potenciais em seus recursos de nuvem. Ao mostrar como as vulnerabilidades se conectam e podem ser exploradas, ajuda você a entender e quebrar esses caminhos para prevenir violações.
- **Alertas de Segurança**: A página de Alertas de Segurança notifica você sobre ameaças em tempo real e atividades suspeitas. Cada alerta inclui detalhes como severidade, recursos afetados e ações recomendadas, garantindo que você possa responder rapidamente a problemas emergentes.
- As técnicas de detecção são baseadas em **inteligência de ameaças, análises comportamentais e detecção de anomalias**.
- É possível encontrar todos os alertas possíveis em https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Com base no nome e na descrição, é possível saber **o que o alerta está procurando** (para contorná-lo).
- **Inventário**: Na seção de Inventário, você encontra uma lista abrangente de todos os ativos monitorados em seus ambientes. Ela fornece uma visão geral do status de segurança de cada recurso, ajudando você a identificar rapidamente ativos desprotegidos ou arriscados que precisam de remediação.
- **Explorador de Segurança em Nuvem**: O Explorador de Segurança em Nuvem oferece uma interface baseada em consultas para pesquisar e analisar seu ambiente de nuvem. Ele permite descobrir riscos de segurança ocultos e explorar relacionamentos complexos entre recursos, aprimorando suas capacidades gerais de caça a ameaças.
- **Workbooks**: Workbooks são relatórios interativos que visualizam seus dados de segurança. Usando modelos pré-construídos ou personalizados, eles ajudam você a monitorar tendências, acompanhar conformidade e revisar mudanças em sua pontuação de segurança ao longo do tempo, facilitando decisões de segurança baseadas em dados.
- **Comunidade**: A seção Comunidade conecta você a colegas, fóruns de especialistas e guias de melhores práticas. É um recurso valioso para aprender com as experiências de outros, encontrar dicas de solução de problemas e se manter atualizado sobre os últimos desenvolvimentos do Defender for Cloud.
- **Diagnosticar e Resolver Problemas**: Este hub de solução de problemas ajuda você a identificar e resolver rapidamente questões relacionadas à configuração ou coleta de dados do Defender for Cloud. Ele fornece diagnósticos guiados e soluções para garantir que a plataforma opere de forma eficaz.
- **Postura de Segurança**: A página de Postura de Segurança agrega seu status geral de segurança em uma única pontuação de segurança. Ela fornece insights sobre quais áreas de sua nuvem são fortes e onde melhorias são necessárias, servindo como um rápido check-up de saúde do seu ambiente.
- **Conformidade Regulatória**: Este painel avalia quão bem seus recursos aderem a padrões da indústria e requisitos regulatórios. Ele mostra pontuações de conformidade em relação a benchmarks como PCI DSS ou ISO 27001, ajudando você a identificar lacunas e acompanhar a remediação para auditorias.
- **Proteções de Carga de Trabalho**: Proteções de Carga de Trabalho se concentram em proteger tipos específicos de recursos (como servidores, bancos de dados e contêineres). Indica quais planos do Defender estão ativos e fornece alertas e recomendações personalizadas para cada carga de trabalho para aprimorar sua proteção. É capaz de encontrar comportamentos maliciosos em recursos específicos.
- Esta também é a opção para **`Habilitar Microsoft Defender for X`** que você pode encontrar em certos serviços.
- **Segurança de Dados e IA (Prévia)**: Nesta seção de prévia, o Defender for Cloud estende sua proteção a armazenamentos de dados e serviços de IA. Ele destaca lacunas de segurança e monitora dados sensíveis, garantindo que tanto seus repositórios de dados quanto suas plataformas de IA estejam protegidos contra ameaças.
- **Gerenciador de Firewall**: O Gerenciador de Firewall se integra ao Azure Firewall para fornecer uma visão centralizada de suas políticas de segurança de rede. Ele simplifica o gerenciamento e monitoramento de implantações de firewall, garantindo a aplicação consistente de regras de segurança em suas redes virtuais.
- **Segurança em DevOps**: A Segurança em DevOps se integra aos seus pipelines de desenvolvimento e repositórios de código para incorporar segurança desde o início do ciclo de vida do software. Ajuda a identificar vulnerabilidades em código e configurações, garantindo que a segurança seja incorporada ao processo de desenvolvimento.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM) continuamente **escaneia e mapeia os ativos voltados para a internet da sua organização**—incluindo domínios, subdomínios, endereços IP e aplicações web—para fornecer uma visão abrangente e em tempo real de sua pegada digital externa. Ele utiliza técnicas avançadas de rastreamento, começando a partir de sementes de descoberta conhecidas, para descobrir automaticamente tanto ativos gerenciados quanto de TI sombra que poderiam permanecer ocultos. O EASM identifica **configurações arriscadas** como interfaces administrativas expostas, buckets de armazenamento acessíveis publicamente e serviços vulneráveis a diferentes CVEs, permitindo que sua equipe de segurança aborde essas questões antes que sejam exploradas. Além disso, o monitoramento contínuo também pode mostrar **mudanças na infraestrutura exposta** comparando diferentes resultados de escaneamento, para que o administrador esteja ciente de cada mudança realizada. Ao fornecer insights em tempo real e inventários detalhados de ativos, o Defender EASM capacita as organizações a **monitorar continuamente e rastrear mudanças em sua exposição externa**. Ele utiliza análise baseada em risco para priorizar descobertas com base na severidade e fatores contextuais, garantindo que os esforços de remediação sejam focados onde mais importam. Essa abordagem proativa não apenas ajuda a descobrir vulnerabilidades ocultas, mas também apoia a melhoria contínua de sua postura de segurança geral, alertando você sobre novas exposições à medida que surgem.
{{#include ../../../banners/hacktricks-training.md}}
@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Logs
Existem 3 tipos de logs disponíveis no Entra ID:
- **Sign-in Logs**: Os logs de sign-in documentam cada tentativa de autenticação, seja bem-sucedida ou falhada. Eles oferecem detalhes como endereços IP, localizações, informações do dispositivo e políticas de acesso condicional aplicadas, que são essenciais para monitorar a atividade do usuário e detectar comportamentos de login suspeitos ou potenciais ameaças à segurança.
- **Audit Logs**: Os logs de auditoria fornecem um registro de todas as alterações feitas dentro do seu ambiente Entra ID. Eles capturam atualizações de usuários, grupos, funções ou políticas, por exemplo. Esses logs são vitais para investigações de conformidade e segurança, pois permitem que você revise quem fez qual alteração e quando.
- **Provisioning Logs**: Os logs de provisionamento fornecem informações sobre usuários provisionados em seu tenant através de um serviço de terceiros (como diretórios locais ou aplicações SaaS). Esses logs ajudam você a entender como as informações de identidade são sincronizadas.
> [!WARNING]
> Observe que esses logs são armazenados apenas por **7 dias** na versão gratuita, **30 dias** na versão P1/P2 e 60 dias adicionais em sinais de segurança para atividades de sign-in arriscadas. No entanto, nem mesmo um administrador global seria capaz de **modificá-los ou excluí-los antes**.
## Entra ID - Log Systems
- **Diagnostic Settings**: Uma configuração de diagnóstico especifica uma lista de categorias de logs de plataforma e/ou métricas que você deseja coletar de um recurso, e um ou mais destinos para os quais você os transmitirá. Ocorrerão cobranças normais de uso para o destino. Saiba mais sobre as diferentes categorias de logs e o conteúdo desses logs.
- **Destinations**:
- **Analytics Workspace**: Investigação através do Azure Log Analytics e criação de alertas.
- **Storage account**: Análise estática e backup.
- **Event hub**: Transmitir dados para sistemas externos como SIEMs de terceiros.
- **Monitor partner solutions**: Integrações especiais entre o Azure Monitor e outras plataformas de monitoramento que não são da Microsoft.
- **Workbooks**: Workbooks combinam texto, consultas de log, métricas e parâmetros em relatórios interativos ricos.
- **Usage & Insights**: Útil para ver as atividades mais comuns no Entra ID.
## Azure Monitor
Estas são as principais características do Azure Monitor:
- **Activity Logs**: Os logs de atividade do Azure capturam eventos e operações de gerenciamento em nível de assinatura, fornecendo uma visão geral das mudanças e ações realizadas em seus recursos.
- **Activily logs** não podem ser modificados ou excluídos.
- **Change Analysis**: A Análise de Mudanças detecta e visualiza automaticamente mudanças de configuração e estado em seus recursos do Azure para ajudar a diagnosticar problemas e rastrear modificações ao longo do tempo.
- **Alerts**: Alertas do Azure Monitor são notificações automatizadas acionadas quando condições ou limites especificados são atendidos em seu ambiente Azure.
- **Workbooks**: Workbooks são painéis interativos e personalizáveis dentro do Azure Monitor que permitem combinar e visualizar dados de várias fontes para uma análise abrangente.
- **Investigator**: O Investigator ajuda você a aprofundar-se nos dados de log e alertas para realizar análises profundas e identificar a causa de incidentes.
- **Insights**: Insights fornecem análises, métricas de desempenho e recomendações acionáveis (como aquelas no Application Insights ou VM Insights) para ajudar você a monitorar e otimizar a saúde e eficiência de suas aplicações e infraestrutura.
### Log Analytics Workspaces
Os workspaces de Log Analytics são repositórios centrais no Azure Monitor onde você pode **coletar, analisar e visualizar dados de log e desempenho** de seus recursos do Azure e ambientes locais. Aqui estão os pontos principais:
- **Centralized Data Storage**: Eles servem como o local central para armazenar logs de diagnóstico, métricas de desempenho e logs personalizados gerados por suas aplicações e serviços.
- **Powerful Query Capabilities**: Você pode executar consultas usando a Kusto Query Language (KQL) para analisar os dados, gerar insights e solucionar problemas.
- **Integration with Monitoring Tools**: Os workspaces de Log Analytics se integram com vários serviços do Azure (como Azure Monitor, Azure Sentinel e Application Insights), permitindo que você crie painéis, configure alertas e obtenha uma visão abrangente do seu ambiente.
Em resumo, um workspace de Log Analytics é essencial para monitoramento avançado, solução de problemas e análise de segurança no Azure.
Você pode configurar um recurso para enviar dados para um workspace de análise a partir das **configurações de diagnóstico** do recurso.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}
@@ -0,0 +1,42 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel é uma solução **SIEM** (Gerenciamento de Informações e Eventos de Segurança) e **SOAR** (Orquestração, Automação e Resposta de Segurança) nativa da nuvem no Azure.
Ele agrega dados de segurança de toda uma organização (local e na nuvem) em uma única plataforma e usa **análises integradas e inteligência de ameaças** para identificar ameaças potenciais.
Sentinel aproveita serviços do Azure como Log Analytics (para armazenamento e consulta massiva de logs) e Logic Apps (para fluxos de trabalho automatizados) isso significa que pode escalar sob demanda e integrar-se com as capacidades de IA e automação do Azure.
Em essência, o Sentinel coleta e analisa logs de várias fontes, **detecta anomalias ou atividades maliciosas**, e permite que as equipes de segurança investiguem e respondam rapidamente a ameaças, tudo através do portal do Azure, sem precisar de infraestrutura SIEM local.
### Configuração do Microsoft Sentinel
Você começa ativando o Sentinel em um espaço de trabalho do Azure Log Analytics (o espaço de trabalho é onde os logs serão armazenados e analisados). Abaixo estão os passos de alto nível para começar:
1. **Ativar o Microsoft Sentinel em um Espaço de Trabalho**: No portal do Azure, crie ou use um espaço de trabalho Log Analytics existente e adicione o Microsoft Sentinel a ele. Isso implanta as capacidades do Sentinel em seu espaço de trabalho.
2. **Conectar Fontes de Dados (Conectores de Dados)**: Uma vez que o Sentinel está ativado, conecte suas fontes de dados usando conectores de dados integrados. Seja logs do Entra ID, Office 365 ou até logs de firewall, o Sentinel começa a ingerir logs e alertas automaticamente. Isso é comumente feito criando configurações de diagnóstico para enviar logs para o espaço de trabalho de logs em uso.
3. **Aplicar Regras de Análise e Conteúdo**: Com os dados fluindo, ative regras de análise integradas ou crie regras personalizadas para detectar ameaças. Use o Content Hub para modelos de regras pré-embalados e workbooks que aceleram suas capacidades de detecção.
4. **(Opcional) Configurar Automação**: Configure automação com playbooks para responder automaticamente a incidentes—como enviar alertas ou isolar contas comprometidas—melhorando sua resposta geral.
## Principais Recursos
- **Logs**: A aba Logs abre a interface de consulta do Log Analytics, onde você pode mergulhar **profundamente em seus dados usando Kusto Query Language (KQL)**. Esta área é crucial para solução de problemas, análise forense e relatórios personalizados. Você pode escrever e executar consultas para filtrar eventos de log, correlacionar dados de diferentes fontes e até criar painéis ou alertas personalizados com base em suas descobertas. É o centro de exploração de dados brutos do Sentinel.
- **Pesquisa**: A ferramenta de Pesquisa oferece uma interface unificada para **localizar rapidamente eventos de segurança, incidentes e até entradas de log específicas**. Em vez de navegar manualmente por várias abas, você pode digitar palavras-chave, endereços IP ou nomes de usuários para puxar instantaneamente todos os eventos relacionados. Este recurso é particularmente útil durante uma investigação quando você precisa conectar rapidamente diferentes peças de informação.
- **Incidentes**: A seção Incidentes centraliza todos os **alertas agrupados em casos gerenciáveis**. O Sentinel agrega alertas relacionados em um único incidente, fornecendo contexto como severidade, cronologia e recursos afetados. Dentro de um incidente, você pode visualizar um gráfico de investigação detalhado que mapeia a relação entre alertas, facilitando a compreensão do escopo e impacto de uma ameaça potencial. O gerenciamento de incidentes também inclui opções para atribuir tarefas, atualizar status e integrar-se a fluxos de trabalho de resposta.
- **Workbooks**: Workbooks são painéis e relatórios personalizáveis que ajudam você a **visualizar e analisar seus dados de segurança**. Eles combinam vários gráficos, tabelas e consultas para oferecer uma visão abrangente de tendências e padrões. Por exemplo, você pode usar um workbook para exibir uma linha do tempo de atividades de login, mapeamento geográfico de endereços IP ou a frequência de alertas específicos ao longo do tempo. Workbooks são tanto pré-construídos quanto totalmente personalizáveis para atender às necessidades específicas de monitoramento de sua organização.
- **Hunting**: O recurso Hunting fornece uma abordagem proativa para **encontrar ameaças que podem não ter acionado alertas padrão**. Ele vem com consultas de hunting pré-construídas que se alinham a estruturas como MITRE ATT&CK, mas também permite que você escreva consultas personalizadas. Esta ferramenta é ideal para **analistas avançados que buscam descobrir ameaças furtivas ou emergentes** explorando dados históricos e em tempo real, como padrões de rede incomuns ou comportamento anômalo de usuários.
- **Notebooks**: Com a integração de Notebooks, o Sentinel aproveita **Jupyter Notebooks para análises avançadas de dados e investigações automatizadas**. Este recurso permite que você execute código Python diretamente contra seus dados do Sentinel, tornando possível realizar análises de aprendizado de máquina, construir visualizações personalizadas ou automatizar tarefas investigativas complexas. É particularmente útil para cientistas de dados ou analistas de segurança que precisam realizar análises aprofundadas além de consultas padrão.
- **Comportamento de Entidade**: A página Comportamento de Entidade usa **Análise de Comportamento de Usuário e Entidade (UEBA)** para estabelecer linhas de base para atividades normais em seu ambiente. Ela exibe perfis detalhados para usuários, dispositivos e endereços IP, **destacando desvios do comportamento típico**. Por exemplo, se uma conta normalmente de baixa atividade de repente exibe transferências de dados em alto volume, esse desvio será sinalizado. Esta ferramenta é crítica para identificar ameaças internas ou credenciais comprometidas com base em anomalias comportamentais.
- **Inteligência de Ameaças**: A seção de Inteligência de Ameaças permite que você **gerencie e correlacione indicadores de ameaças externas**—como endereços IP maliciosos, URLs ou hashes de arquivos—com seus dados internos. Ao integrar-se a feeds de inteligência externos, o Sentinel pode sinalizar automaticamente eventos que correspondem a ameaças conhecidas. Isso ajuda você a detectar e responder rapidamente a ataques que fazem parte de campanhas conhecidas mais amplas, adicionando mais uma camada de contexto aos seus alertas de segurança.
- **MITRE ATT&CK**: Na aba MITRE ATT&CK, o Sentinel **mapeia seus dados de segurança e regras de detecção para a amplamente reconhecida estrutura MITRE ATT&CK**. Esta visão ajuda você a entender quais táticas e técnicas estão sendo observadas em seu ambiente, identificar possíveis lacunas na cobertura e alinhar sua estratégia de detecção com padrões de ataque reconhecidos. Ela fornece uma maneira estruturada de analisar como os adversários podem estar atacando seu ambiente e ajuda a priorizar ações defensivas.
- **Content Hub**: O Content Hub é um repositório centralizado de **soluções pré-embaladas, incluindo conectores de dados, regras de análise, workbooks e playbooks**. Essas soluções são projetadas para acelerar sua implantação e melhorar sua postura de segurança, fornecendo configurações de melhores práticas para serviços comuns (como Office 365, Entra ID, etc.). Você pode navegar, instalar e atualizar esses pacotes de conteúdo, facilitando a integração de novas tecnologias ao Sentinel sem uma configuração manual extensa.
- **Repositórios**: O recurso Repositórios (atualmente em pré-visualização) permite controle de versão para seu conteúdo do Sentinel. Ele se integra a sistemas de controle de versão como GitHub ou Azure DevOps, permitindo que você **gerencie suas regras de análise, workbooks, playbooks e outras configurações como código**. Essa abordagem não apenas melhora o gerenciamento de mudanças e a colaboração, mas também facilita o retorno a versões anteriores, se necessário.
- **Gerenciamento de Espaço de Trabalho**: O gerenciador de Espaço de Trabalho do Microsoft Sentinel permite que os usuários **gerenciem centralmente vários espaços de trabalho do Microsoft Sentinel** dentro de um ou mais locatários do Azure. O espaço de trabalho Central (com o gerenciador de Espaço de Trabalho ativado) pode consolidar itens de conteúdo a serem publicados em escala para os espaços de trabalho Membros.
- **Conectores de Dados**: A página Conectores de Dados lista todos os conectores disponíveis que trazem dados para o Sentinel. Cada conector é **pré-configurado para fontes de dados específicas** (tanto da Microsoft quanto de terceiros) e mostra seu status de conexão. Configurar um conector de dados geralmente envolve alguns cliques, após os quais o Sentinel começa a ingerir e analisar logs dessa fonte. Esta área é vital porque a qualidade e a abrangência de seu monitoramento de segurança dependem da variedade e configuração de suas fontes de dados conectadas.
- **Análises**: Na aba Análises, você **cria e gerencia as regras de detecção que alimentam os alertas do Sentinel**. Essas regras são essencialmente consultas que são executadas em um cronograma (ou quase em tempo real) para identificar padrões suspeitos ou violações de limite em seus dados de log. Você pode escolher entre modelos integrados fornecidos pela Microsoft ou elaborar suas próprias regras personalizadas usando KQL. As regras de análise determinam como e quando os alertas são gerados, impactando diretamente como os incidentes são formados e priorizados.
- **Watchlist**: A watchlist do Microsoft Sentinel permite a **coleta de dados de fontes de dados externas para correlação contra os eventos** em seu ambiente do Microsoft Sentinel. Uma vez criada, aproveite as watchlists em sua pesquisa, regras de detecção, hunting de ameaças, workbooks e playbooks de resposta.
- **Automação**: As regras de automação permitem que você **gerencie centralmente toda a automação do tratamento de incidentes**. As regras de automação simplificam o uso da automação no Microsoft Sentinel e permitem que você simplifique fluxos de trabalho complexos para seus processos de orquestração de incidentes.
{{#include ../../../banners/hacktricks-training.md}}