Microsoft Sentinel–Automações não são executadas

Um erro muito comum quando vejo as implementações de Sentinel em clientes é não executar as automações.

Para entender o problema, é interessante interligar com aplicações Power Platform como o Power Apps, onde o usuário precisa autorizar a conta do Office 365 para que o app execute. Isso é feito na primeira execução e o Power Apps ou Power Automate irá guardar o usuário da conexão.

O mesmo acontece com as automações do Sentinel, elas não estão necessariamente interligadas a uma Automation Account e com isso é necessário autenticar todas as conexões!

Como saber se tenho automações não autenticadas?

Abra o Sentinel e clique em Automações.

Ao abrir clique na opção que irá aparecer no topo da lista do lado direito “API Connections”.

Faça um filtro pelas automações que estão com erros.

PPV 
; : - 0 -535F 
麟 一 do $ n , • 一 dwpa " 一 凵 
SUO!PBUUO) IdV

Para as automações que estão com erro na conexão, abra suas propriedades e vá para a opção “Edit API Connection” e voilá achou o problema 😊

Dashtnand MiUosoft API C.tions 
API Connections 
vie" 
Filter any 
azuresentinel-RisklQ-Data-Whois-Domain I Edit API connection 
(Ctrl 
Activity log 
Access 
lags 
and 
Edit API connection 
Edit API connection 
Edit API lets you update display and refresh autt-KTiutO. fu this "Nide. 
Display Name 
SentiN

Lembrando que as conexões de API podem ser diversas, Office 365 se for o envio de email, chave para aplicações, SAS para storage e outro dado especifico que tenha sido usado na automação e precisa ter a credencial.

Agora poderá ver que as mesmas automações com erro irão aparecer como “Connected” indicando que estão agora funcionando.