Freigeben über

Erstellen und Ausführen von Vorfallaufgaben in Microsoft Sentinel mithilfe von Playbooks

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird erläutert, wie Sie mithilfe von Playbooks Vorfallaufgaben erstellen und optional ausführen, um komplexe Analystenworkflowprozesse in Microsoft Sentinel zu verwalten.

Verwenden Sie die Aktion Aufgabe hinzufügen in einem Playbook im Microsoft Sentinel-Connector, um dem Vorfall, der das Playbook ausgelöst hat, automatisch eine Aufgabe hinzuzufügen. Sowohl Standard- als auch Verbrauchsworkflows werden unterstützt.

Tipp

Incident-Aufgaben können nicht nur durch Playbooks, sondern auch durch Automatisierungsregeln automatisch und auch manuell ad-hoc aus einem Incident heraus erstellt werden.

Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben.

Voraussetzungen

  • Die Microsoft Sentinel Responder-Rolle ist erforderlich, um Vorfälle anzuzeigen und zu bearbeiten, was zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich ist.

  • Die Logic Apps-Mitwirkendenrolle ist erforderlich, um Playbooks zu erstellen und zu bearbeiten.

Weitere Informationen finden Sie in den Voraussetzungen für Microsoft Sentinel-Playbooks.

Verwenden eines Playbooks zum Hinzufügen und Ausführen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbook-Aktion, die Folgendes ausführt:

  • Fügt dem Vorfall eine Aufgabe hinzu, die das Kennwort eines kompromittierten Benutzers zurücksetzt
  • Fügt eine weitere Playbook-Aktion hinzu, um ein Signal an Microsoft Entra ID Protection (AADIP) zu senden, um das Kennwort tatsächlich zurückzusetzen
  • Fügt eine letzte Playbook-Aktion hinzu, um die Aufgabe im Incident als abgeschlossen zu markieren.

Führen Sie die folgenden Schritte aus, um diese Aktionen hinzuzufügen und zu konfigurieren:

  1. Fügen Sie im Microsoft Sentinel-Connector die Aktion Aufgabe zu Vorfall hinzufügen hinzu, und gehen Sie dann wie folgt vor:

    1. Wählen Sie das dynamische Inhaltselement Incident ARM-ID für das Feld Incident ARM-ID aus.

    2. Geben Sie Benutzerkennwort zurücksetzen als Titel ein.

    3. Fügen Sie optional eine Beschreibung hinzu.

    Beispiel:

    Der Screenshot zeigt Playbook-Aktionen zum Hinzufügen einer Aufgabe zum Zurücksetzen des Passworts eines Benutzers.

  2. Fügen Sie die Aktion Entitäten – Konten abrufen (Vorschau) hinzu. Fügen Sie dem Listenfeld Entitäten das Element Entitäten dynamischer Inhalt (aus dem Microsoft Sentinel-Vorfallschema) hinzu. Beispiel:

    Der Screenshot zeigt Playbook-Aktionen zum Abrufen der Kontoentitäten im Incident.

  3. Fügen Sie eine For each-Schleifeaus der Bibliothek für Steuerungsaktionen hinzu. Fügen Sie das dynamische Inhaltselement "Konten " aus der Ausgabe "Entitäten – Konten abrufen " dem Feld "Ausgabe aus vorherigen Schritten auswählen " hinzu. Beispiel:

    Der Screenshot zeigt, wie Sie einem Playbook eine For-Each-Schleifenaktion hinzufügen, um eine Aktion für jedes erkannte Konto auszuführen.

  4. Wählen Sie in der For each-Schleife die Option Aktion hinzufügen aus. Führen Sie dann folgende Schritte aus:

    1. Suchen Sie nach dem Microsoft Entra ID Protection-Konnektor, und wählen Sie ihn aus
    2. Wählen Sie die Aktion Einen riskanten Benutzer als kompromittiert bestätigen (Vorschau) aus.
    3. Fügen Sie dem Feld userIds Item - 1 das dynamische Inhaltselement "Accounts" Microsoft Entra user ID hinzu.

    Diese Aktion setzt Prozesse in Microsoft Entra ID Protection in Gang, um das Kennwort des Benutzers zurückzusetzen.

    Der Screenshot zeigt, wie Entitäten an AADIP gesendet werden, um die Kompromittierung zu bestätigen.

    Hinweis

    Das Feld "Accounts Microsoft Entra user ID" ist eine Möglichkeit, einen Benutzer in AADIP zu identifizieren. Es ist vielleicht nicht unbedingt in jedem Szenario der beste Weg, aber es wird hier nur als Beispiel angeführt.

    Weitere Informationen finden Sie in anderen Playbooks, die sich mit kompromittierten Benutzern befassen, oder in der Microsoft Entra ID Protection-Dokumentation.

  5. Fügen Sie die Aktion Aufgabe als abgeschlossen markieren aus dem Microsoft Sentinel-Connector hinzu, und fügen Sie dem Feld Aufgaben-ARM-ID der Aufgabe das dynamische Inhaltselement Vorfallaufgaben-ID hinzu. Beispiel:

    Der Screenshot zeigt, wie Sie eine Playbook-Aktion hinzufügen, um eine Vorfallaufgabe als abgeschlossen zu markieren.

Verwenden eines Playbooks zum bedingten Hinzufügen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbook-Aktion, die eine IP-Adresse untersucht, die in einem Vorfall angezeigt wird.

  • Wenn die Ergebnisse dieser Untersuchung ergeben, dass die IP-Adresse bösartig ist, erstellt das Playbook eine Aufgabe für den Analysten, um den Benutzer zu deaktivieren, der diese IP-Adresse verwendet.
  • Wenn es sich bei der IP-Adresse nicht um eine bekannte bösartige Adresse handelt, erstellt das Playbook eine andere Aufgabe, bei der der Analyst den Benutzer kontaktiert, um die Aktivität zu überprüfen.

Führen Sie die folgenden Schritte aus, um diese Aktionen hinzuzufügen und zu konfigurieren:

  1. Fügen Sie im Microsoft Sentinel-Connector die Aktion Entitäten – IP-Adressen abrufen hinzu. Fügen Sie dem Listenfeld Entitäten das Element Entitäten dynamischer Inhalt (aus dem Microsoft Sentinel-Vorfallschema) hinzu. Beispiel:

    Der Screenshot zeigt Playbook-Aktionen zum Abrufen der IP-Adressentitäten im Vorfall.

  2. Fügen Sie eine For each-Schleifeaus der Bibliothek für Steuerungsaktionen hinzu. Fügen Sie das Element "IPs" mit dynamischem Inhalt aus dem Feld " Entitäten – Ausgabe abrufen von IPS" dem Feld "Ausgabe aus vorherigen Schritten auswählen " hinzu. Beispiel:

    Der Screenshot zeigt, wie Sie einem Playbook eine For-Each-Schleifenaktion hinzufügen, um eine Aktion für jede erkannte IP-Adresse auszuführen.

  3. Wählen Sie in der For each-Schleife die Option Aktion hinzufügen aus, und gehen Sie dann wie folgt vor:

    1. Suchen Sie nach dem Virus Total-Konnektor, und wählen Sie ihn aus.
    2. Wählen Sie die Aktion IP-Bericht abrufen (Vorschau) aus.
    3. Fügen Sie dem Feld IP-Adresse das dynamische Inhaltselement "IP-Adresse" aus der Ausgabe "Entitäten – IP-Adressen abrufen" hinzu.

    Beispiel:

    Der Screenshot zeigt das Senden einer Anfrage an den Bericht

  4. Wählen Sie in der For each-Schleife die Option Aktion hinzufügen aus, und gehen Sie dann wie folgt vor:

    1. Fügen Sie eine Bedingungaus der Bibliothek für Steuerelementaktionen hinzu.
    2. Fügen Sie das Element Letzte Analysestatistik Schädlicher dynamischer Inhalt aus der Ausgabe des Berichts "IP-Adresse abrufen " hinzu. Möglicherweise müssen Sie Mehr anzeigen auswählen, um es zu finden.
    3. Wählen Sie den Operator ist größer als aus, und geben Sie den Wert ein 0 .

    Diese Bedingung stellt die Frage "Hat der Bericht "Virus Total IP" Ergebnisse geliefert? Zum Beispiel:

    Der Screenshot zeigt, wie Sie eine Richtig-Falsch-Bedingung in einem Playbook festlegen.

  5. Wählen Sie in der Option Wahr die Option Aktion hinzufügen aus, und gehen Sie dann wie folgt vor:

    1. Wählen Sie die Aktion Aufgabe zu Vorfall hinzufügen aus dem Microsoft Sentinel-Connector aus.
    2. Wählen Sie das dynamische Inhaltselement Incident ARM-ID für das Feld Incident ARM-ID aus.
    3. Geben Sie Benutzer als kompromittiert markieren wie den Titel ein.
    4. Fügen Sie optional eine Beschreibung hinzu.

    Beispiel:

    Der Screenshot zeigt Playbook-Aktionen zum Hinzufügen einer Aufgabe, um einen Benutzer als kompromittiert zu markieren.

  6. Wählen Sie in der Option Falsch die Option Aktion hinzufügen aus, und gehen Sie dann wie folgt vor:

    1. Wählen Sie die Aktion Aufgabe zu Vorfall hinzufügen aus dem Microsoft Sentinel-Connector aus.
    2. Wählen Sie das dynamische Inhaltselement Incident ARM-ID für das Feld Incident ARM-ID aus.
    3. Geben Sie Reach out to the user to confirm the activity als Titel ein.
    4. Fügen Sie optional eine Beschreibung hinzu.

    Beispiel:

    Der Screenshot zeigt Playbook-Aktionen zum Hinzufügen einer Aufgabe, damit der Benutzer die Aktivität bestätigen kann.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

  • Last updated on