安全運營中心(SOC)面臨不斷的安全警示和一連串的事件。 有效率地管理這些作業對於保持組織的安全性強大至關重要。 Microsoft Sentinel 劇本是自動化工作流程,可協助您快速且一致地回應威脅。 本文說明如何在 Microsoft Sentinel 中使用劇本,將威脅回應自動化、減少手動投入,並讓您的小組專注於更深入的調查。
使用 Microsoft Sentinel 自動化腳本來執行預先設定的補救動作集,並自動化和協調您的威脅回應。 自動執行劇本,以回應會觸發已設定 自動化規則 的特定警示和事件,或針對特定實體或警示手動執行劇本。
例如,如果帳戶和計算機遭到入侵,劇本可以自動隔離計算機與網路,並在SOC小組收到事件通知之前封鎖帳戶。
附註
由於劇本使用 Azure Logic Apps,因此可能會收取額外費用。 如需詳細資訊,請移至 Azure Logic Apps 定價頁面。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
建議使用案例
下表列出常見的使用案例,其中Microsoft Sentinel 劇本可協助自動化威脅回應:
| 使用案例 | 描述 |
|---|---|
| 擴充 | 收集數據並附加至事件,讓您的小組可以做出更好的決策。 |
| 雙向同步處理 | 與其他票證系統同步處理 Microsoft Sentinel 事件。 例如,為所有新事件建立自動化規則,並附加一個可在 ServiceNow 中開啟票證的作業程序。 |
| 協調流程 | 使用SOC小組的聊天平臺來管理事件佇列。 例如,將訊息傳送至 Microsoft Teams 或 Slack 中的安全性作業通道,讓安全性分析師知道該事件。 |
| 回應 | 立即以最少人力介入響應威脅,例如偵測到遭入侵的使用者或計算機時。 或者,在調查期間或在搜捕期間手動觸發自動化步驟。 |
如需詳細資訊,請參閱 建議的劇本使用案例、範例和範例。
先決條件
您需要下列角色,才能使用 Azure Logic Apps 在 Microsoft Sentinel 建立和執行劇本。
| 角色 | 描述 |
|---|---|
| 擁有者 | 可讓您授與資源群組中劇本的存取權。 |
| Microsoft Sentinel 參與者 | 可讓您將劇本附加至分析或自動化規則。 |
| Microsoft Sentinel 回應程式 | 可讓您存取事件,以便手動執行劇本,但不允許執行劇本。 |
| Microsoft Sentinel 劇本操作員 | 可讓您手動執行劇本。 |
| Microsoft Sentinel 自動化貢獻者 | 允許自動化規則執行劇本。 此角色不會用於任何其他用途。 |
下表會根據您選取使用量或標準邏輯應用程式來建立劇本,來說明必要的角色:
| 邏輯應用程式 | Azure 角色 | 描述 |
|---|---|---|
| 使用量 | 邏輯應用程式參與者 | 編輯和管理邏輯應用程式。 執行劇本。 不允許您將存取權授與劇本。 |
| 使用量 | 邏輯應用程式作員 | 讀取、啟用和停用邏輯應用程式。 不允許編輯或更新邏輯應用程式。 |
| 標準 | Logic Apps 標準運算元 | 在邏輯應用程式中啟用、重新提交和停用工作流程。 |
| 標準 | Logic Apps 標準開發人員 | 建立和編輯邏輯應用程式。 |
| 標準 | Logic Apps 標準參與者 | 管理邏輯應用程式的所有層面。 |
[自動化] 頁面上的 [作用中劇本] 索引卷標會顯示任何所選訂用帳戶中可用的所有作用中劇本。 根據預設,劇本只能在其所屬的訂用帳戶內使用,除非您特別將 Microsoft Sentinel 權限授與劇本的資源群組。
Microsoft Sentinel 執行劇本所需的額外權限
Microsoft Sentinel 會使用服務帳戶對事件執行劇本,以增加安全性,並啟用自動化規則 API 以支援 CI/CD 使用案例。 此服務帳戶會用於事件觸發的劇本,或在您對特定事件手動執行劇本時使用。
除了您自己的角色和權限外,此 Microsoft Sentinel 服務帳戶還必須以 Microsoft Sentinel 自動化參與者角色的形式,擁有劇本所在資源群組的一組自有權限。 Microsoft Sentinel 具有此角色之後,便能以手動方式或透過自動化規則在相關的資源群組中執行任何劇本。
若要將Microsoft Sentinel 授與必要的許可權,您必須擁有 擁有者 或 使用者存取系統管理員 角色。 若要執行劇本,您還需要有要執行的劇本所在資源群組的邏輯應用程式參與者角色。
劇本範本 (預覽)
重要事項
劇本範本目前處於預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版的補充使用規定。
劇本範本是預先建置、測試和現成可用的工作流程,這些工作流程無法作為劇本本身使用,但已準備好讓您自定義以符合您的需求。 我們也建議您在開發劇本時,使用劇本範本作為最佳做法的參考,或作為新自動化案例的靈感。
從這些來源取得劇本範本:
| 地點 | 描述 |
|---|---|
| Microsoft Sentinel 自動化頁面 | [ 劇本範本] 索引標籤會顯示所有已安裝的劇本。 使用相同的範本建立一或多個作用中的劇本。 發佈範本的新版本時,從該範本建立的所有使用中的劇本在 使用中劇本 索引標籤中會有一個額外的標籤,以顯示有可用更新。 |
| Microsoft Sentinel 內容中樞頁面 | 劇本範本是您從 內容中心安裝的產品解決方案或獨立內容的一部分。 如需詳細資訊,請參閱 關於Microsoft Sentinel 內容和解決方案 探索和管理 Microsoft Sentinel 現成可用的內容 |
| GitHub | Microsoft Sentinel GitHub 存放庫具有許多其他劇本範本。 選取 [部署至 Azure ] 以將範本部署至您的 Azure 訂用帳戶。 |
劇本範本是 Azure Resource Manager (ARM) 範本 ,其中包含數個資源:涉及的每個連線的 Azure Logic Apps 工作流程和 API 連線。
如需詳細資訊,請參閱
劇本建立和使用工作流程
請遵循下列步驟來建立並執行 Microsoft Sentinel 劇本:
如果您未使用範本,請建立劇本並建置邏輯應用程式。 如需詳細資訊,請參閱 建立和管理 Microsoft Sentinel 劇本。
手動執行邏輯應用程式來測試邏輯應用程式。 如需詳細資訊,請參閱 手動根據需求執行劇本。
設定操作指南,使其在建立新的警示或事件時自動執行,或根據流程需要手動執行。 如需詳細資訊,請參閱 使用Microsoft Sentinel 劇本回應威脅。