Udostępnij przez

Tworzenie i wykonywanie zadań incydentów w usłudze Microsoft Sentinel przy użyciu playbooków

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W tym artykule wyjaśniono, jak używać playbooków do tworzenia i opcjonalnego wykonywania zadań związanych z incydentami w celu zarządzania złożonymi procesami przepływu pracy analityka w usłudze Microsoft Sentinel.

Użyj akcji Dodaj zadanie w podręczniku w łączniku usługi Microsoft Sentinel, aby automatycznie dodać zadanie do zdarzenia, które wyzwoliło podręcznik. Obsługiwane są zarówno standardowe, jak i zużyciowe przepływy pracy.

Wskazówka

Zadania związane ze zdarzeniami mogą być tworzone automatycznie nie tylko przez skrypty, ale także przez reguły automatyzacji, oraz ręcznie, bezpośrednio z poziomu zdarzenia.

Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel.

Wymagania wstępne

  • Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do wyświetlania i edytowania zdarzeń, co jest niezbędne do dodawania, wyświetlania i edytowania zadań.

  • Rola Kontrybutor Logic Apps jest wymagana do tworzenia i edytowania schematów działania.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne planu Microsoft Sentinel.

Użyj podręcznika, aby dodać zadanie i je wykonać.

Ta sekcja zawiera przykładową procedurę dodawania akcji podręcznika, która wykonuje następujące czynności:

  • Dodaje zadanie do zdarzenia, resetując hasło naruszonego użytkownika
  • Dodaje kolejną akcję podręcznika w celu wysłania sygnału do usługi Microsoft Entra ID Protection (AADIP) w celu rzeczywistego zresetowania hasła
  • Dodaje ostateczne działanie w playbooku, aby oznaczyć zadanie w incydencie jako zakończone.

Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Dodaj zadanie do zdarzenia , a następnie:

    1. Wybierz element zawartości dynamicznej Identyfikator zdarzenia ARM dla pola Identyfikator zdarzenia ARM.

    2. Wprowadź Resetuj hasło użytkownika jako Tytuł.

    3. Dodaj opcjonalny opis.

    Przykład:

    Zrzut ekranu przedstawia akcje podręcznika umożliwiające dodanie zadania w celu zresetowania hasła użytkownika.

  2. Dodaj akcję Jednostki — Pobierz konta (wersja zapoznawcza). Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek . Przykład:

    Zrzut ekranu przedstawia działania playbooka w celu pobrania składników konta w incydencie.

  3. Dodaj pętlę For each z biblioteki akcji kontroli. Dodaj element zawartości dynamicznej Konta z obszaru Jednostki — pobierz dane wyjściowe kont do pola Wybierz dane wyjściowe z poprzednich kroków . Przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji pętli for-each do podręcznika w celu wykonania akcji na każdym odnalezionym koncie.

  4. W pętli Dla każdego wybierz pozycję Dodaj akcję. Następnie:

    1. Wyszukaj i wybierz łącznik Microsoft Entra ID Protection
    2. Wybierz akcję Potwierdź ryzykownego użytkownika jako naruszoną (wersja zapoznawcza).
    3. Dodaj element zawartości dynamicznej Accounts Microsoft Entra user ID do pola userIds Item - 1 .

    Ta akcja uruchamia procesy wewnątrz Microsoft Entra ID Protection w celu zresetowania hasła użytkownika.

    Zrzut ekranu przedstawiający wysyłanie jednostek do usługi AADIP w celu potwierdzenia naruszenia zabezpieczeń.

    Uwaga / Notatka

    Pole Accounts Microsoft Entra user ID to jeden ze sposobów identyfikowania użytkownika w usłudze AADIP. Niekoniecznie jest to najlepszy sposób w każdym scenariuszu, ale jest tu przedstawiony jako przykład.

    Aby uzyskać pomoc, zapoznaj się z innymi podręcznikami obsługującymi naruszonych użytkowników lub dokumentacją usługi Microsoft Entra ID Protection.

  5. Dodaj akcję Oznacz zadanie jako ukończone z łącznika usługi Microsoft Sentinel i dodaj element zawartości dynamicznej identyfikatora zadania zdarzenia do pola Identyfikator usługi ARM zadania . Przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji podręcznika w celu oznaczania ukończenia zadania zdarzenia.

Warunkowe dodawanie zadania przy użyciu podręcznika

Ta sekcja zawiera przykładową procedurę dodawania akcji skryptu, która bada adres IP, który pojawia się w incydencie.

  • Jeśli wyniki tych badań są takie, że adres IP jest złośliwy, podręcznik tworzy zadanie dla analityka, aby wyłączyć użytkownika przy użyciu tego adresu IP.
  • Jeśli adres IP nie jest znanym złośliwym adresem, podręcznik tworzy inne zadanie, aby analityk skontaktował się z użytkownikiem w celu zweryfikowania działania.

Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Jednostki — Pobierz adresy IP . Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek . Przykład:

    Zrzut ekranu przedstawia działania playbooka w celu uzyskania elementów adresu IP w incydencie.

  2. Dodaj pętlę For each z biblioteki akcji kontroli. Dodaj element zawartości dynamicznej adresów IP z obszaru Jednostki — Pobierz adresy IP do pola Wybierz dane wyjściowe z poprzednich kroków. Przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji pętli dla każdego elementu do podręcznika w celu wykonania akcji na każdym odnalezionym adresie IP.

  3. W pętli Dla każdej z nich wybierz pozycję Dodaj akcję, a następnie:

    1. Wyszukaj i wybierz łącznik Virus Total.
    2. Wybierz akcję Pobierz raport IP (wersja zapoznawcza).
    3. Dodaj element zawartości dynamicznej Adres IP z pola Jednostki — Pobierz adresy IP do pola Adres IP .

    Przykład:

    Zrzut ekranu przedstawia wysyłanie żądania do Virus Total w celu uzyskania raportu dotyczącego adresu IP.

  4. W pętli Dla każdej z nich wybierz pozycję Dodaj akcję, a następnie:

    1. Dodaj warunek z biblioteki działań kontrolnych.
    2. Dodaj element zawartości dynamicznej Złośliwe dane statystyczne z ostatniej analizy z danych wyjściowych raportu IP Pobierz raport IP. Może być konieczne wybranie Zobacz więcej, aby to znaleźć.
    3. Wybierz operator jest większy niż i wprowadź 0 jako wartość.

    Ten warunek zadaje pytanie "Czy raport Dotyczący całkowitego adresu IP wirusa miał jakieś wyniki?" Na przykład:

    Zrzut ekranu przedstawia sposób ustawiania warunku true-false w podręczniku.

  5. W obszarze True wybierz pozycję Dodaj akcję, a następnie:

    1. Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel .
    2. Wybierz element zawartości dynamicznej Identyfikator zdarzenia ARM dla pola Identyfikator zdarzenia ARM.
    3. Wprowadź Oznacz użytkownika jako zagrożonego jako Tytuł.
    4. Dodaj opcjonalny opis.

    Przykład:

    Zrzut ekranu przedstawia czynności w podręczniku umożliwiające dodanie zadania, aby oznaczyć użytkownika jako zagrożonego.

  6. Wewnątrz opcji Fałsz wybierz pozycję Dodaj akcję, a następnie:

    1. Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel .
    2. Wybierz element zawartości dynamicznej Identyfikator zdarzenia ARM dla pola Identyfikator zdarzenia ARM.
    3. Wpisz Skontaktuj się z użytkownikiem, aby potwierdzić działanie jako Tytuł.
    4. Dodaj opcjonalny opis.

    Przykład:

    Zrzut ekranu pokazuje działania scenariusza dodające zadanie mające na celu potwierdzenie aktywności użytkownika.

Treści powiązane

Aby uzyskać więcej informacji, zobacz:

  • Last updated on