Partager via

Créer et exécuter des tâches d’incident dans Microsoft Sentinel à l’aide de playbooks

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article explique comment utiliser des playbooks pour créer et, éventuellement, effectuer des tâches d’incident afin de gérer des processus de flux de travail d’analyste complexes dans Microsoft Sentinel.

Utilisez l’action Ajouter une tâche dans un playbook, dans le connecteur Microsoft Sentinel, pour ajouter automatiquement une tâche à l’incident qui a déclenché le playbook. Les flux de travail Standard et Consommation sont pris en charge.

Conseil / Astuce

Les tâches d’incident peuvent être créées automatiquement non seulement à l’aide de playbooks, mais aussi à l’aide de règles d’automatisation, et également manuellement, ad hoc, à partir d’un incident.

Pour plus d’informations, consultez Utiliser des tâches pour gérer les incidents dans Microsoft Sentinel.

Conditions préalables

  • Le rôle Microsoft Sentinel Responder est requis pour afficher et modifier les incidents, ce qui est nécessaire pour ajouter, afficher et modifier des tâches.

  • Le rôle Contributeur Logic Apps est requis pour créer et modifier des playbooks.

Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Utiliser un playbook pour ajouter une tâche et l’exécuter

Cette section fournit un exemple de procédure pour l’ajout d’une action de playbook qui effectue les opérations suivantes :

  • Ajoute une tâche à l’incident, en réinitialisant le mot de passe d’un utilisateur compromis
  • Ajoute une autre action de playbook pour envoyer un signal à Microsoft Entra ID Protection (AADIP) pour réinitialiser le mot de passe
  • Ajoute une action finale du playbook pour marquer la tâche dans l’incident comme terminée.

Pour ajouter et configurer ces actions, procédez comme suit :

  1. À partir du connecteur Microsoft Sentinel , ajoutez l’action Ajouter une tâche à l’incident , puis procédez comme suit :

    1. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM d’incident .

    2. Entrez Réinitialiser le mot de passe de l’utilisateur comme titre.

    3. Ajoutez une description facultative.

    Par exemple:

    La capture d’écran montre les actions du playbook pour ajouter une tâche de réinitialisation du mot de passe d’un utilisateur.

  2. Ajoutez l’action Entités - Obtenir les comptes (préversion ). Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ de liste Entités . Par exemple:

    La capture d’écran montre les actions du playbook pour obtenir les entités de compte dans l’incident.

  3. Ajoutez une boucle For each à partir de la bibliothèque d’actions de contrôle . Ajoutez l’élément de contenu dynamique Comptes à partir de la sortie Entités - Obtenir des comptes au champ Sélectionner une sortie à partir des étapes précédentes . Par exemple:

    La capture d’écran montre comment ajouter une action de boucle for-each à un playbook afin d’effectuer une action sur chaque compte découvert.

  4. Dans la boucle Pour chaque , sélectionnez Ajouter une action. Ensuite :

    1. Recherchez et sélectionnez le connecteur de protection Microsoft Entra ID
    2. Sélectionnez l’action Confirmer qu’un utilisateur à risque est compromis (préversion ).
    3. Ajoutez l’élément de contenu dynamique ID utilisateur Microsoft Entra Comptes au champ Élément userIds - 1 .

    Cette action déclenche des processus au sein de la protection Microsoft Entra ID pour réinitialiser le mot de passe de l’utilisateur.

    La capture d’écran montre l’envoi d’entités à AADIP pour confirmer la compromission.

    Remarque

    Le champ ID utilisateur Microsoft Entra Comptes permet d’identifier un utilisateur dans AADIP. Ce n’est peut-être pas nécessairement la meilleure façon dans tous les scénarios, mais elle n’est apportée ici qu’à titre d’exemple.

    Pour obtenir de l’aide, consultez d’autres playbooks qui gèrent les utilisateurs compromis ou la documentation sur la protection Microsoft Entra ID.

  5. Ajoutez l’action Marquer une tâche comme terminée à partir du connecteur Microsoft Sentinel et ajoutez l’élément de contenu dynamique ID de tâche d’incident au champ ID ARM de tâche. Par exemple:

    La capture d’écran montre comment ajouter une action de playbook pour marquer une tâche d’incident comme terminée.

Utiliser un playbook pour ajouter une tâche de manière conditionnelle

Cette section fournit un exemple de procédure pour l’ajout d’une action de playbook qui recherche une adresse IP qui apparaît dans un incident.

  • Si les résultats de cette recherche indiquent que l’adresse IP est malveillante, le playbook crée une tâche pour que l’analyste désactive l’utilisateur utilisant cette adresse IP.
  • Si l’adresse IP n’est pas une adresse malveillante connue, le playbook crée une autre tâche, pour que l’analyste contacte l’utilisateur afin de vérifier l’activité.

Pour ajouter et configurer ces actions, procédez comme suit :

  1. À partir du connecteur Microsoft Sentinel, ajoutez l’action Entités - Obtenir les adresses IP . Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ de liste Entités . Par exemple:

    La capture d’écran montre les actions du playbook pour obtenir les entités d’adresse IP dans l’incident.

  2. Ajoutez une boucle For each à partir de la bibliothèque d’actions de contrôle . Ajoutez l’élément de contenu dynamique IP à partir de la sortie Entités - Obtenir les adresses IP au champ Sélectionner une sortie à partir des étapes précédentes . Par exemple:

    La capture d’écran montre comment ajouter une action de boucle for-each à un playbook afin d’effectuer une action sur chaque adresse IP découverte.

  3. Dans la boucle Pour chaque , sélectionnez Ajouter une action, puis :

    1. Recherchez et sélectionnez le connecteur Virus Total .
    2. Sélectionnez l’action Obtenir un rapport IP (préversion).
    3. Ajoutez l’élément de contenu dynamique Adresse IP à partir de la sortie Entités - Obtenir les adresses IP au champ Adresse IP .

    Par exemple:

    La capture d’écran montre l’envoi d’une demande à Virus Total pour le rapport d’adresse IP.

  4. Dans la boucle Pour chaque , sélectionnez Ajouter une action, puis :

    1. Ajoutez une condition à partir de la bibliothèque d’actions de contrôle .
    2. Ajoutez l’élément de contenu dynamique malveillant Statistiques de dernière analyse à partir de la sortie du rapport Obtenir une adresse IP . Vous devrez peut-être sélectionner Voir plus pour le trouver.
    3. Sélectionnez l’opérateur est supérieur à et entrez 0 la valeur.

    Cette condition pose la question suivante : « Le rapport sur l’adresse IP de Virus Total a-t-il donné des résultats ? » Par exemple:

    La capture d’écran montre comment définir une condition vrai-faux dans un playbook.

  5. Dans l’option Vrai , sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident dans le connecteur Microsoft Sentinel .
    2. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM d’incident .
    3. Entrez Marquer l’utilisateur comme compromis comme Titre.
    4. Ajoutez une description facultative.

    Par exemple:

    La capture d’écran montre les actions du playbook pour ajouter une tâche afin de marquer un utilisateur comme compromis.

  6. Dans l’option Faux , sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident dans le connecteur Microsoft Sentinel .
    2. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM d’incident .
    3. Entrez Contacter l’utilisateur pour confirmer l’activité en tant que Titre.
    4. Ajoutez une description facultative.

    Par exemple:

    La capture d’écran montre les actions du playbook pour ajouter une tâche afin que l’utilisateur confirme l’activité.

Contenu connexe

Pour plus d’informations, consultez :

  • Last updated on