Udostępnij przez

Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź i dołączyć ją do reguły automatyzacji w celu automatycznego uruchamiania po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń. Podręczniki można również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.

W tym artykule opisano sposób tworzenia podręczników usługi Microsoft Sentinel i zarządzania nimi. Te podręczniki można później dołączyć do reguł analizy lub reguł automatyzacji albo uruchomić je ręcznie na określonych zdarzeniach, alertach lub jednostkach.

Uwaga

Scenariusze działań w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w Azure Logic Apps, co oznacza, że uzyskasz pełną moc, możliwość dostosowywania oraz wbudowane szablony aplikacji logiki. Mogą obowiązywać dodatkowe opłaty. Aby uzyskać informacje o cenach, odwiedź stronę cennika usługi Azure Logic Apps.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

  • Konto i subskrypcja platformy Azure. Jeśli nie masz subskrypcji, utwórz bezpłatne konto platformy Azure.

  • Aby utworzyć podręczniki i zarządzać nimi, musisz mieć dostęp do usługi Microsoft Sentinel z jedną z następujących ról platformy Azure:

    Aplikacja logiki Role na platformie Azure opis
    Zużycie Współautor aplikacji logiki Edytowanie aplikacji logiki i zarządzanie nimi.
    Zużycie Operator aplikacji logiki Odczytywanie, włączanie i wyłączanie aplikacji logiki.
    Standard Operator usługi Logic Apps w warstwie Standardowa Włącz, prześlij ponownie i wyłącz przepływy pracy.
    Standard Deweloper usługi Logic Apps w warstwie Standardowa Tworzenie i edytowanie przepływów pracy.
    Standard Współtwórca standardu Logic Apps Zarządzanie wszystkimi aspektami przepływu pracy.

    Więcej informacji można znaleźć w następującej dokumentacji:

  • Przed utworzeniem podręcznika zalecamy przeczytanie podręczników usługi Azure Logic Apps for Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

  1. W portalu usługi Defender lub w witrynie Azure Portal przejdź do obszaru roboczego usługi Microsoft Sentinel. W menu obszaru roboczego w obszarze Konfiguracja wybierz pozycję Automatyzacja.

  2. W górnym menu wybierz pozycję Utwórz, a następnie wybierz jedną z następujących opcji:

    • Jeśli tworzysz podręcznik Zużycie, wybierz jedną z następujących opcji, w zależności od wyzwalacza, którego chcesz użyć, a następnie wykonaj kroki dla aplikacji logiki Zużycie:

      • Scenariusz z wyzwalaczem zdarzenia
      • Podręcznik z wyzwalaczem alertu
      • Element playbook z wyzwalaczem jednostki

      Ten przewodnik kontynuuje się z Playbook z wyzwalaczem jednostki.

    • Jeśli tworzysz podręcznik Standard, wybierz pozycję Pusty podręcznik, a następnie wykonaj kroki dla typu Standard aplikacji logiki.

    Aby uzyskać więcej informacji, zobacz Obsługiwane typy aplikacji logiki i Obsługiwane wyzwalacze i akcje w zestawach narzędzi Microsoft Sentinel.

Przygotowywanie aplikacji logiki podręcznika

Wybierz jedną z poniższych kart, aby uzyskać szczegółowe informacje na temat tworzenia aplikacji logiki dla podręcznika, w zależności od tego, czy używasz aplikacji logiki Zużycie, czy Standardowa. Aby uzyskać więcej informacji, zobacz Obsługiwane typy aplikacji logiki.

Napiwek

Jeśli playbooki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej Azure lub są z nią połączone, utwórz Standardowy przepływ pracy logicznej aplikacji.

Standardowe przepływy pracy działają w usłudze Azure Logic Apps z jedną dzierżawą i obsługują używanie prywatnych punktów końcowych dla ruchu przychodzącego, aby przepływy pracy mogły komunikować się prywatnie i bezpiecznie z sieciami wirtualnymi. Standardowe przepływy pracy obsługują również integrację sieci wirtualnej dla ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Zabezpieczanie ruchu między sieciami wirtualnymi a Azure Logic Apps w jedno-dzierżawowym środowisku z wykorzystaniem prywatnych punktów końcowych.

Po wybraniu wyzwalacza, który obejmuje zdarzenie, alert lub wyzwalacz jednostki, zostanie wyświetlony kreator tworzenia podręcznika, na przykład:

Zrzut ekranu pokazuje kreator tworzenia podręcznika i zakładkę Podstawy dla podręcznika opartego na przepływie pracy dotyczącym konsumpcji.

Wykonaj następujące kroki, aby utworzyć podręcznik:

  1. Na karcie Podstawowe podaj następujące informacje:

    1. W obszarze Subskrypcja i Grupa zasobów wybierz żądane wartości z odpowiednich list.

      Wartość Region jest ustawiona na ten sam region co skojarzony obszar roboczy usługi Log Analytics.

    2. W polu Nazwa podręcznika wprowadź nazwę podręcznika.

    3. Aby monitorować aktywność tego podręcznika do celów diagnostycznych, wybierz pozycję Włącz dzienniki diagnostyczne w usłudze Log Analytics, a następnie wybierz obszar roboczy usługi Log Analytics , chyba że wybrano już obszar roboczy.

  2. Wybierz pozycję Następne: Połączenia >.

  3. Na karcie Połączenia zalecamy pozostawienie wartości domyślnych, które umożliwiają skonfigurowanie aplikacji logiki w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej.

    Aby uzyskać więcej informacji, zobacz Uwierzytelnianie podręczników w usłudze Microsoft Sentinel.

  4. Aby kontynuować, wybierz Dalej: Przejrzyj i utwórz >.

  5. Na karcie Przeglądanie i tworzenie przejrzyj wybrane opcje konfiguracji i wybierz pozycję Utwórz podręcznik.

    Tworzenie i wdrażanie podręcznika na platformie Azure trwa kilka minut. Po zakończeniu wdrażania podręcznik zostanie otwarty w projektancie przepływu pracy Zużycie dla usługi Azure Logic Apps. Wyzwalacz wybrany wcześniej automatycznie jest wyświetlany jako pierwszy krok w przepływie pracy, więc teraz możesz kontynuować tworzenie przepływu pracy z tego miejsca.

    Zrzut ekranu przedstawiający projektanta przepływu pracy Zużycie z wybranym wyzwalaczem.

  6. W projektancie wybierz wyzwalacz usługi Microsoft Sentinel, jeśli nie został jeszcze wybrany.

  7. W okienku Tworzenie połączenia wykonaj następujące kroki, aby podać wymagane informacje, aby połączyć się z usługą Microsoft Sentinel.

    1. W obszarze Uwierzytelnianie wybierz spośród następujących metod, które mają wpływ na kolejne parametry połączenia:

      Metoda opis
      OAuth Open Authorization (OAuth) to standard technologiczny, który pozwala autoryzować aplikację lub usługę do logowania się do innego bez ujawniania informacji prywatnych, takich jak hasła. Protokół OAuth 2.0 jest branżowym protokołem autoryzacji i udziela ograniczonego dostępu do chronionych zasobów. Aby uzyskać więcej informacji, zobacz następujące zasoby:

      - Co to jest OAuth?
      - Autoryzacja OAuth 2.0 z identyfikatorem Entra firmy Microsoft
      Tożsamość usługi Jednostka usługi reprezentuje jednostkę, która wymaga dostępu do zasobów zabezpieczonych przez dzierżawę firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Obiekt główny usługi.
      Tożsamość zarządzana Tożsamość, która jest automatycznie zarządzana w identyfikatorze Entra firmy Microsoft. Aplikacje mogą używać tej tożsamości do uzyskiwania dostępu do zasobów obsługujących uwierzytelnianie firmy Microsoft Entra i uzyskiwania tokenów firmy Microsoft Entra bez konieczności zarządzania poświadczeniami.

      W celu zapewnienia optymalnego bezpieczeństwa firma Microsoft zaleca używanie tożsamości zarządzanej do uwierzytelniania, jeśli jest to możliwe. Ta opcja zapewnia lepsze zabezpieczenia i pomaga zapewnić bezpieczeństwo informacji uwierzytelniania, dzięki czemu nie trzeba zarządzać tymi poufnymi informacjami. Aby uzyskać więcej informacji, zobacz następujące zasoby:

      - Co to są tożsamości zarządzane dla zasobów platformy Azure?
      - Uwierzytelnianie dostępu i połączeń z zasobami platformy Azure przy użyciu tożsamości zarządzanych w usłudze Azure Logic Apps.

      Aby uzyskać więcej informacji, zapoznaj się z Komunikatami dotyczącymi uwierzytelniania.

    2. Na podstawie wybranej opcji uwierzytelniania podaj niezbędne wartości parametrów dla odpowiedniej opcji.

      Aby uzyskać więcej informacji na temat tych parametrów, zobacz Referencje łącznika Microsoft Sentinel.

    3. W polu Identyfikator dzierżawy wybierz identyfikator dzierżawy firmy Microsoft Entra.

    4. Po zakończeniu wybierz pozycję Zaloguj.

  8. Jeśli wcześniej wybrano element Playbook z wyzwalaczem jednostki, wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.

    Zrzut ekranu przedstawia playbook przepływu pracy Zużycia z wyzwalaczem jednostkowym oraz dostępnymi typami jednostek do wyboru w celu ustawienia schematu działania.

Monity dotyczące uwierzytelniania

Po dodaniu wyzwalacza lub kolejnej akcji wymagającej uwierzytelnienia może zostać wyświetlony monit o wybranie spośród dostępnych typów uwierzytelniania obsługiwanych przez odpowiedniego dostawcę zasobów. W tym przykładzie wyzwalacz usługi Microsoft Sentinel jest pierwszą operacją dodaną do przepływu pracy. Dlatego dostawca zasobów to Microsoft Sentinel, który obsługuje kilka opcji uwierzytelniania. Więcej informacji można znaleźć w następującej dokumentacji:

Dodawanie akcji do podręcznika

Teraz, gdy masz przepływ pracy dla podręcznika, zdefiniuj, co się stanie po wywołaniu podręcznika. Dodaj akcje, warunki logiczne, pętle lub warunki wielkości liter przełącznika, wybierając znak plus (+) w projektancie. Aby uzyskać więcej informacji, zobacz Tworzenie przepływu pracy z wyzwalaczem lub akcją.

To zaznaczenie otwiera okienko Dodawanie akcji , w którym można przeglądać lub wyszukiwać usługi, aplikacje, systemy, akcje przepływu sterowania i nie tylko. Po wprowadzeniu terminów wyszukiwania lub wybraniu żądanego zasobu na liście wyników są wyświetlane dostępne akcje.

W każdej akcji po wybraniu wewnątrz pola uzyskasz następujące opcje:

  • Zawartość dynamiczna (ikona błyskawicy): wybierz jedną z listy dostępnych danych wyjściowych z poprzednich akcji w przepływie pracy, w tym wyzwalacza usługi Microsoft Sentinel. Na przykład te dane wyjściowe mogą zawierać atrybuty alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i szczegółów niestandardowych w alercie lub incydencie. Możesz dodać odwołania do bieżącej akcji, wybierając te dane wyjściowe.

    Przykłady pokazujące używanie zawartości dynamicznej można znaleźć w następujących sekcjach:

  • Edytor wyrażeń (ikona funkcji): wybierz jedną z dużej biblioteki funkcji, aby dodać więcej logiki do przepływu pracy.

Aby uzyskać więcej informacji, zobacz Obsługiwane wyzwalacze i akcje w podręcznikach usługi Microsoft Sentinel.

Zawartość dynamiczna: podręczniki jednostek bez identyfikatora zdarzenia

Playbooki utworzone z użyciem wyzwalacza jednostki Microsoft Sentinel często korzystają z pola Identyfikator zdarzenia ARM, na przykład do zaktualizowania incydentu po podjęciu działania na jednostce. Jeśli taki podręcznik zostanie wyzwolony w scenariuszu, który nie jest połączony ze zdarzeniem, na przykład w przypadku wyszukiwania zagrożeń, nie ma identyfikatora zdarzenia do wypełnienia tego pola. Zamiast tego pole jest wypełniane wartością null. W związku z tym podręcznik może zakończyć się niepowodzeniem.

Aby zapobiec temu awarii, zalecamy utworzenie warunku sprawdzającego wartość w polu identyfikatora zdarzenia przed wykonaniem innych akcji przez przepływ pracy. Możesz przepisać inny zestaw akcji do wykonania, jeśli pole ma wartość null, ponieważ podręcznik nie jest uruchamiany ze zdarzenia.

  1. W przepływie pracy przed pierwszą akcją odwołującą się do pola Identyfikator zdarzenia usługi ARM wykonaj następujące ogólne kroki, aby dodać akcję Warunek.

  2. W okienku Warunek w wierszu warunku wybierz lewe pole Wybierz wartość , a następnie wybierz opcję Zawartość dynamiczna (ikona błyskawicy).

  3. Z listy zawartości dynamicznej w obszarze Incydent usługi Microsoft Sentinel użyj pola wyszukiwania, aby znaleźć i wybrać identyfikator zdarzenia usługi ARM.

    Napiwek

    Jeśli dane wyjściowe nie są wyświetlane na liście, obok nazwy wyzwalacza wybierz pozycję Zobacz więcej.

  4. W środkowym polu z listy operatorów wybierz pozycję nie jest równy.

  5. W prawym polu Wybierz wartość i wybierz opcję edytora wyrażeń (ikona funkcji).

  6. W edytorze wprowadź null, a następnie wybierz Dodaj.

Po zakończeniu warunek wygląda podobnie do następującego przykładu:

Zrzut ekranu przedstawia dodatkowy warunek do dodania przed polem Identyfikator ARM zdarzenia.

Zawartość dynamiczna: praca ze szczegółami niestandardowymi

W wyzwalaczu zdarzenia usługi Microsoft Sentinel dane wyjściowe szczegółów niestandardowych alertu to tablica obiektów JSON, w których każdy reprezentuje szczegóły niestandardowe z alertu. Szczegóły niestandardowe to pary klucz-wartość, które umożliwiają prezentowanie informacji zdarzeń w alercie, dzięki czemu mogą być reprezentowane, śledzone i analizowane w ramach zdarzenia.

To pole w alercie można dostosować, więc jego schemat zależy od typu zdarzenia, które jest wyświetlane. Aby wygenerować schemat określający sposób analizowania danych wyjściowych szczegółów niestandardowych, podaj dane z wystąpienia tego zdarzenia:

  1. W menu obszaru roboczego usługi Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wykonaj kroki, aby utworzyć lub otworzyć istniejącą zaplanowaną regułę zapytania lub regułę zapytania NRT.

  3. Na zakładce Ustawianie logiki regułyrozwiń sekcję Szczegóły niestandardowe, na przykład:

    Zrzut ekranu przedstawiający szczegóły niestandardowe zdefiniowane w regule analizy.

    Poniższa tabela zawiera więcej informacji na temat tych par klucz-wartość:

    Towar Lokalizacja opis
    Klucz Lewa kolumna Reprezentuje utworzone pola niestandardowe.
    Wartość Prawa kolumna Reprezentuje pola z danych zdarzeń, które wypełniają pola niestandardowe.

  4. Aby wygenerować schemat, podaj następujący przykładowy kod JSON:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

    Kod przedstawia nazwy kluczy jako tablice oraz wartości jako elementy w tablicach. Wartości są wyświetlane jako wartości rzeczywiste, a nie kolumna zawierająca wartości.

Aby użyć pól niestandardowych dla wyzwalaczy zdarzeń, wykonaj następujące kroki dla przepływu pracy:

  1. W projektancie przepływu pracy w obszarze wyzwalacza zdarzenia usługi Microsoft Sentinel dodaj wbudowaną akcję o nazwie Przeanalizuj kod JSON.

  2. Wybierz wewnątrz akcji parametr Content ( Zawartość ) i wybierz opcję listy zawartości dynamicznej (ikona błyskawicy).

  3. Z listy w sekcji wyzwalacza zdarzenia znajdź i wybierz pozycję Szczegóły niestandardowe alertu, na przykład:

    Zrzut ekranu przedstawiający wybraną pozycję Szczegóły niestandardowe alertu na liście zawartości dynamicznej.

    To zaznaczenie automatycznie dodaje pętlę Dla każdej wokół Analizuj JSON, ponieważ zdarzenie zawiera tablicę alertów.

  4. W okienku Analizowanie informacji JSON wybierz pozycję Użyj przykładowego ładunku do wygenerowania schematu, na przykład:

    Zrzut ekranu przedstawiający wybór opcji Użyj przykładowego ładunku do wygenerowania linku schematu.

  5. W polu Wprowadź lub wklej przykładowy ładunek JSON podaj przykładowy ładunek i wybierz pozycję Gotowe.

    Na przykład możesz znaleźć przykładowy ładunek, wyszukując w usłudze Log Analytics inne wystąpienie tego alertu, a następnie kopiując niestandardowy obiekt szczegółów, który można znaleźć w obszarze Właściwości rozszerzone. Aby uzyskać dostęp do danych usługi Log Analytics, przejdź do strony Dzienniki w portalu Azure lub na stronie Zaawansowane wyszukiwanie w portalu Defender.

    W poniższym przykładzie pokazano wcześniejszy przykładowy kod JSON:

    Zrzut ekranu przedstawia przykładowy ładunek JSON.

    Po zakończeniu pole Schemat zawiera teraz wygenerowany schemat na podstawie podanego przykładu. Akcja Przeanalizuj kod JSON tworzy pola niestandardowe, których można teraz używać jako pól dynamicznych z typem tablicy w kolejnych akcjach przepływu pracy.

    W poniższym przykładzie przedstawiono tablicę i jej elementy, zarówno w schemacie, jak i na liście zawartości dynamicznej dla kolejnej akcji o nazwie Compose:

    Zrzut ekranu przedstawia gotowe do użycia pól dynamicznych ze schematu.

Zarządzanie podręcznikami

Wybierz kartę Aktywnych podręczników usługi Automation>, aby wyświetlić wszystkie podręczniki, do których masz dostęp, filtrowane według widoku subskrypcji.

Po dołączeniu do portalu usługi Microsoft Defender domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal zmodyfikuj wyświetlane subskrypcje z menu Katalog i subskrypcja w nagłówku globalnej strony platformy Azure.

Zakładka Aktywne podręczniki zawiera wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach, ale domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że przyznasz określone uprawnienia usługi Microsoft Sentinel do grupy zasobów podręcznika.

Zakładka Aktywne scenariusze pokazuje Twoje scenariusze z następującymi informacjami:

Nazwa kolumny opis
Stan Wskazuje, czy podręcznik jest włączony, czy wyłączony.
Planowanie Wskazuje, czy plan działania używa typu zasobu Azure Logic Apps: Standardowa czy Zużycie.

Podręczniki typu Standard używają konwencji nazewnictwa LogicApp/Workflow, która odzwierciedla, jak podręcznik Standard reprezentuje przepływ pracy istniejący obok innych przepływów pracy w jednej aplikacji logiki.

Aby uzyskać więcej informacji, zobacz Podręczniki usługi Azure Logic Apps for Microsoft Sentinel.
Rodzaj wyzwalacza Wskazuje wyzwalacz w usłudze Azure Logic Apps, który uruchamia ten podręcznik:

- Zdarzenie/alert/jednostka usługi Microsoft Sentinel: podręcznik jest uruchamiany z jednym z wyzwalaczy usługi Sentinel, w tym zdarzenia, alertu lub jednostki
- Korzystanie z akcji usługi Microsoft Sentinel: podręcznik jest uruchamiany z nie-Microsoft Sentinel wyzwalaczem, ale używa akcji usługi Microsoft Sentinel
- Inne: podręcznik nie zawiera żadnych składników usługi Microsoft Sentinel
- Nie zainicjowano: podręcznik został utworzony, ale nie zawiera żadnych składników, ani nie wyzwala żadnych akcji.

Wybierz podręcznik, aby otworzyć stronę usługi Azure Logic Apps, która zawiera więcej szczegółów dotyczących podręcznika. Na stronie Azure Logic Apps:

  • Wyświetlanie dziennika wszystkich czasów uruchomienia podręcznika
  • Wyświetlanie wyników przebiegu, w tym sukcesów i niepowodzeń oraz innych szczegółów
  • Jeśli masz odpowiednie uprawnienia, otwórz projektanta przepływu pracy w usłudze Azure Logic Apps, aby bezpośrednio edytować podręcznik

Powiązana zawartość

Po utworzeniu podręcznika dołącz go do reguł, które mają być wyzwalane przez zdarzenia w danym środowisku, lub ręcznie uruchom podręczniki dotyczące określonych zdarzeń, alertów lub jednostek.

Aby uzyskać więcej informacji, zobacz:

  • Last updated on