共用方式為

使用 playbook 在 Microsoft Sentinel 中創建和執行事件任務

  • 適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

本文介紹如何使用 playbook 創建事件任務,並選擇性地執行事件任務,以在 Microsoft Sentinel 中管理複雜的分析師工作流流程。

在 Microsoft Sentinel 連接器的 playbook 中使用 Add task 作,將任務自動添加到觸發 playbook 的事件。 支援 Standard 和 Consumption 工作流。

小提示

事件任務不僅可以通過 playbook 自動創建,還可以通過自動化規則自動創建,也可以在事件中臨時手動創建。

如需詳細資訊,請參閱 使用工作管理 Microsoft Sentinel 中的事件

先決條件

  • 查看和編輯事件需要 Microsoft Sentinel 回應方 角色,這是添加、查看和編輯任務所必需的。

  • 要建立和編輯劇本,必須擁有Logic Apps Contributor角色。

如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件

使用 playbook 添加任務並執行該任務

本節提供了添加 playbook作的示例過程,該作執行以下作:

  • 向事件添加任務,重置已洩露用戶的密碼
  • 添加另一個 playbook作,用於向 Microsoft Entra ID 保護 (AADIP) 發送信號以實際重置密碼
  • 添加最終 playbook作以將事件中的任務標記為完成。

要添加和配置這些作,請執行以下步驟:

  1. Microsoft Sentinel 連接器中,添加 Add task to incident 作,然後:

    1. Incident ARM ID 欄位選擇 Incident ARM ID 動態內容項。

    2. 輸入 Reset user password (重置使用者密碼 ) 作為 Title (標題)。

    3. 添加可選描述。

    例如:

    屏幕截圖顯示了用於添加任務以重置用戶密碼的 playbook作。

  2. 添加 Entities - Get Accounts (Preview) 作。 將 Entities 動態內容項(來自 Microsoft Sentinel 事件架構)添加到 Entities list 字段。 例如:

    屏幕截圖顯示了用於獲取事件中的帳戶實體的 playbook作。

  3. 從 Control actions (控制作) 庫中添加 For each 迴圈。 將 Accounts 動態內容項從 Entities - Get Accounts 輸出添加到 Select an output from previous steps 字段。 例如:

    屏幕截圖顯示了如何將 for-each 迴圈作添加到 playbook,以便對每個發現的帳戶執行作。

  4. For each 迴圈中,選擇 Add an action。 然後:

    1. 搜索並選擇 Microsoft Entra ID 保護 連接器
    2. 選擇 Confirm a risky user as compromised (Preview) (確認有風險的使用者已洩露 (預覽)) 作。
    3. Accounts Microsoft Entra user ID 動態內容項添加到 userIds 項 - 1 字段。

    此作將在 Microsoft Entra ID 保護中設置用於重置使用者密碼的進程。

    屏幕截圖顯示了將實體發送到 AADIP 以確認洩露。

    備註

    帳戶 Microsoft Entra 使用者 ID 欄位是在 AADIP 中識別使用者的一種方法。 它可能不一定是每種情況下的最佳方法,但僅作為示例引入此處。

    要獲得説明,請查閱其他處理被盜使用者的作手冊,或 Microsoft Entra ID Protection 文件

  5. 從 Microsoft Sentinel 連接器添加「 將任務標記為已完成 」作,並將 「事件任務 ID」 動態內容項添加到 「任務 ARM ID 」字段。 例如:

    屏幕截圖顯示了如何添加 playbook作以將事件任務標記為完成。

使用 playbook 有條件地添加任務

本節提供了一個示例過程,用於添加 playbook作,用於研究事件中出現的 IP 位址。

  • 如果此研究的結果是IP位址是惡意的,則 playbook 會為分析師創建一個任務,以禁用使用該IP位址的使用者。
  • 如果IP位址不是已知的惡意位址,則 playbook 會創建一個不同的任務,供分析師聯繫使用者以驗證活動。

要添加和配置這些作,請執行以下步驟:

  1. 在 Microsoft Sentinel 連接器中,添加 「實體 - 獲取 IP」 作。 將 Entities 動態內容項(來自 Microsoft Sentinel 事件架構)添加到 Entities list 字段。 例如:

    屏幕截圖顯示了用於獲取事件中IP位址實體的 playbook作。

  2. 從 Control actions (控制作) 庫中添加 For each 迴圈。 將 Entities - Get IPs 輸出中的 IPs 動態內容項添加到 Select an output from previous steps 字段中。 例如:

    屏幕截圖顯示了如何將 for-each 迴圈作添加到 playbook,以便對每個發現的 IP 位址執行作。

  3. For each 迴圈中,選擇 Add an action,然後:

    1. 搜索並選擇 Virus Total 連接器。
    2. 選擇 Get an IP report (Preview) 作。
    3. Entities - Get IPs 輸出中的 IPs Address 動態內容項添加到 IP Address 字段。

    例如:

    屏幕截圖顯示了向 Virus Total for IP address 報告發送請求。

  4. For each 迴圈中,選擇 Add an action,然後:

    1. 從 Control actions (控制作) 庫添加 Condition (條件)。
    2. Get an IP report 輸出中添加 Last analysis statistics Malicious dynamic content 項。 您可能必須選擇 See more (查看更多 ) 才能找到它。
    3. 選擇 is greater than 運算子並輸入 0 值。

    此條件會詢問問題「病毒總IP報告是否有任何結果?例如:

    屏幕截圖顯示了如何在 playbook 中設置 true-false 條件。

  5. True 選項中,選擇 Add an action,然後:

    1. Microsoft Sentinel 連接器中選擇「將任務添加到事件」 作。
    2. Incident ARM ID 欄位選擇 Incident ARM ID 動態內容項。
    3. 輸入 Mark user as compromised (將使用者標記為已洩露 ) 作為 Title (標題)。
    4. 添加可選描述。

    例如:

    屏幕截圖顯示了用於添加任務以將用戶標記為已洩露的 playbook作。

  6. False 選項中,選擇 Add an action,然後:

    1. Microsoft Sentinel 連接器中選擇「將任務添加到事件」 作。
    2. Incident ARM ID 欄位選擇 Incident ARM ID 動態內容項。
    3. 輸入 Reach out to the user 以確認活動作為Title
    4. 添加可選描述。

    例如:

    屏幕截圖顯示了用於添加任務以讓使用者確認活動的 playbook作。

相關內容

如需詳細資訊,請參閱:

  • Last updated on