Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, co jsou playbooky Microsoft Sentinelu a jak je používat k implementaci operací orchestrace zabezpečení, automatizace a reakce (SOAR), dosažení lepších výsledků při úsporě času a prostředků.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Co je playbook?

Analytici SOC jsou obvykle v pravidelných intervalech zahlceni výstrahami zabezpečení a incidenty, a to v objemech tak velkých, že jsou k dispozici pracovníci zahlceni. Výsledkem je to příliš často v situacích, kdy se ignoruje mnoho výstrah a mnoho incidentů se nevyšetří, takže organizace bude zranitelná vůči útokům, které nejsou nepozorované.

Mnoho z těchto výstrah a incidentů, pokud ne většina, odpovídá opakujícím se vzorům, které je možné řešit konkrétními a definovanými sadami akcí nápravy. Analytici mají také za úkol provést základní nápravu a prošetření incidentů, které spravují za účelem řešení. V rozsahu, v jakém lze tyto aktivity automatizovat, může být SOC mnohem produktivnější a efektivnější, což analytikům umožňuje věnovat více času a energie na šetření aktivit.

Playbook je kolekce těchto nápravných akcí, které spouštíte z Microsoft Sentinelu jako rutiny, a pomáhá tak automatizovat a orchestrovat reakci na hrozby. Dá se spustit dvěma způsoby:

  • Ručně na vyžádání, na konkrétní entitě nebo upozornění
  • Automaticky v reakci na konkrétní výstrahy nebo incidenty, když je aktivuje pravidlo automatizace.

Například pokud dojde k ohrožení zabezpečení účtu a počítače, playbook může počítač izolovat od sítě a zablokovat účet v době, kdy je tým SOC upozorněn na incident.

Zatímco karta Aktivní playbooky na stránce Automation zobrazuje všechny aktivní playbooky dostupné napříč všemi vybranými předplatnými, ve výchozím nastavení se playbook dá použít jenom v rámci předplatného, do kterého patří, pokud výslovně neudělíte oprávnění Microsoft Sentinelu ke skupině prostředků playbooku.

Po onboardingu na sjednocenou platformu operací zabezpečení se na kartě Aktivní playbooky zobrazí předem definovaný filtr s předdefinovaným předplatným pracovního prostoru. Na webu Azure Portal přidejte data pro jiná předplatná pomocí filtru předplatného Azure.

Šablony playbooků

Šablona playbooku je předem připravený, otestovaný a připravený pracovní postup, který je možné přizpůsobit tak, aby vyhovoval vašim potřebám. Šablony můžou sloužit také jako referenční informace pro osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.

Šablony playbooků nejsou použitelné jako samotné playbooky. Z nich vytvoříte playbook (upravitelnou kopii šablony).

Šablony playbooků můžete získat z následujících zdrojů:

  • Na stránce Automatizace se na kartě Šablony playbooku zobrazí seznam nainstalovaných šablon playbooků. Ze stejné šablony lze vytvořit více aktivních playbooků.

    Při publikování nové verze šablony se aktivní playbooky vytvořené z této šablony zobrazí na kartě Aktivní playbooky s popiskem označujícím, že je k dispozici aktualizace.

  • Šablony playbooků jsou k dispozici jako součást produktových řešení nebo samostatného obsahu, který nainstalujete ze stránky Centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Obsah a řešení Služby Microsoft Sentinel a Zjišťování a správa obsahu od microsoft Sentinelu.

  • Úložiště Microsoft Sentinel Na GitHubu obsahuje mnoho šablon playbooků. Můžete je nasadit do předplatného Azure tak , že vyberete tlačítko Nasadit do Azure .

Šablona playbooku je technicky vzato šablona ARM, která se skládá z několika prostředků: pracovního postupu Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.

Důležité

Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Základní koncepty Azure Logic Apps

Playbooky v Microsoft Sentinelu jsou založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. To znamená, že playbooky můžou využívat všechny možnosti a funkce integrovaných šablon v Azure Logic Apps.

Poznámka:

Azure Logic Apps vytváří samostatné prostředky, takže se můžou účtovat další poplatky. Další informace najdete na stránce s cenami azure Logic Apps.

Azure Logic Apps komunikuje s jinými systémy a službami pomocí konektorů. Následuje stručné vysvětlení konektorů a některých důležitých atributů:

  • Spravovaný konektor: Sada akcí a triggerů, které se zabalí kolem volání rozhraní API pro konkrétní produkt nebo službu. Azure Logic Apps nabízí stovky konektorů pro komunikaci s Microsoftem i bez služby Microsoft. Další informace najdete v konektorech Azure Logic Apps a jejich dokumentaci.

  • Vlastní konektor: Možná budete chtít komunikovat se službami, které nejsou k dispozici jako předem připravené konektory. Vlastní konektory tuto potřebu řeší tím, že vám umožní vytvořit (a dokonce sdílet) konektor a definovat vlastní triggery a akce. Další informace najdete v tématu Vytvoření vlastních konektorů Azure Logic Apps.

  • Konektor Microsoft Sentinel: K vytváření playbooků, které komunikují s Microsoft Sentinelem, použijte konektor Microsoft Sentinelu. Další informace najdete v dokumentaci ke konektoru Microsoft Sentinelu.

  • Trigger: Komponenta konektoru, která spouští pracovní postup, v tomto případě playbook. Trigger Služby Microsoft Sentinel definuje schéma, které playbook očekává při aktivaci. Konektor Microsoft Sentinelu má aktuálně tři triggery:

    • Trigger upozornění: Playbook obdrží výstrahu jako vstup.
    • Trigger entity (Preview):Playbook přijímá entitu jako vstup.
    • Trigger incidentu: Playbook přijímá incident jako vstup spolu se všemi zahrnutými výstrahami a entitami.

  • Akce: Akce jsou všechny kroky, které se stanou po aktivaci triggeru. Lze je uspořádat postupně, paralelně nebo v matici složitých podmínek.

  • Dynamická pole: Dočasná pole určená výstupním schématem triggerů a akcí a naplněná jejich skutečným výstupem, která se dají použít v následujících akcích.

Typy aplikací logiky

Microsoft Sentinel teď podporuje následující typy prostředků aplikace logiky:

  • Consumption, která běží ve víceklientských azure Logic Apps a používá klasický původní modul Azure Logic Apps.
  • Standard, který běží v Azure Logic Apps s jedním tenantem a používá přepracovaný modul Azure Logic Apps.

Typ standardní aplikace logiky nabízí vyšší výkon, pevné ceny, více funkcí pracovního postupu, jednodušší správu připojení rozhraní API, nativní síťové funkce, jako je podpora virtuálních sítí a privátních koncových bodů (viz poznámka níže), integrované funkce CI/CD, lepší integrace editoru Visual Studio Code, aktualizovaný návrhář pracovních postupů a další.

Pokud chcete použít tuto verzi aplikace logiky, vytvořte nové playbooky Standard v Microsoft Sentinelu (viz poznámka níže). Tyto playbooky můžete používat stejným způsobem jako playbooky Consumption:

  • Připojte je k pravidlům automatizace nebo analytickým pravidlům.
  • Spouštět je na vyžádání z incidentů i výstrah.
  • Spravujte je na kartě Aktivní playbooky.

Poznámka:

  • Standardní pracovní postupy v současné době nepodporují šablony playbooků, což znamená, že playbook založený na standardním pracovním postupu nemůžete vytvořit přímo v Microsoft Sentinelu. Místo toho musíte vytvořit pracovní postup v Azure Logic Apps. Po vytvoření pracovního postupu se v Microsoft Sentinelu zobrazí jako playbook.

  • Standardní pracovní postupy logic apps podporují privátní koncové body, jak je uvedeno výše, ale Microsoft Sentinel vyžaduje definování zásad omezení přístupu v aplikacích logiky, aby bylo možné podporovat použití privátních koncových bodů v playbookech na základě standardních pracovních postupů.

    Pokud zásady omezení přístupu nejsou definované, můžou být pracovní postupy s privátními koncovými body stále viditelné a vybratelné, když zvolíte playbook ze seznamu v Microsoft Sentinelu (jestli se má spustit ručně, přidat do pravidla automatizace nebo v galerii playbooků) a budete je moct vybrat, ale jejich spuštění se nezdaří.

  • Indikátor identifikuje standardní pracovní postupy jako stavové nebo bezstavové. Microsoft Sentinel v tuto chvíli nepodporuje bezstavové pracovní postupy. Seznamte se s rozdíly mezi stavovými a bezstavovými pracovními postupy.

Mezi těmito dvěma typy prostředků existuje mnoho rozdílů, z nichž některé ovlivňují některé způsoby jejich použití v playbookech v Microsoft Sentinelu. V takových případech bude dokumentace odkazovat na to, co potřebujete vědět. Další informace najdete v tématu Rozdíly mezi typem prostředků a hostitelským prostředím v dokumentaci k Azure Logic Apps.

Požadována oprávnění

Pokud chcete týmu SecOps poskytnout možnost používat Azure Logic Apps k vytváření a spouštění playbooků v Microsoft Sentinelu, přiřaďte role Azure týmu operací zabezpečení nebo konkrétním uživatelům v týmu. Následující informace popisují různé dostupné role a úkoly, pro které mají být přiřazeny:

Role Azure pro Azure Logic Apps

  • Přispěvatel aplikací logiky umožňuje spravovat aplikace logiky a spouštět playbooky, ale nemůžete k nim změnit přístup (pro to potřebujete roli Vlastník ).
  • Operátor aplikace logiky umožňuje číst, povolit a zakázat aplikace logiky, ale nemůžete je upravovat ani aktualizovat.

Role Azure pro Microsoft Sentinel

  • Role Přispěvatel Microsoft Sentinelu umožňuje připojit playbook k analytickému nebo automatizačnímu pravidlu.

  • Role Microsoft Sentinel Responder umožňuje přístup k incidentu, abyste mohli playbook spustit ručně. Ale ke skutečnému spuštění playbooku potřebujete...

    • Role operátora playbooku Microsoft Sentinel umožňuje spustit playbook ručně.
    • Přispěvatel služby Microsoft Sentinel Automation umožňuje pravidla automatizace spouštět playbooky. Nepoužívá se k žádným jiným účelům.

Další informace

Postup vytvoření playbooku

Případy použití playbooků

Platforma Azure Logic Apps nabízí stovky akcí a triggerů, takže je možné vytvořit téměř jakýkoli scénář automatizace. Microsoft Sentinel doporučuje začít s následujícími scénáři SOC, pro které jsou předdefinované šablony playbooků k dispozici:

Rozšíření

Shromážděte data a připojte je k incidentu, abyste mohli dělat chytřejší rozhodnutí.

Příklad:

Incident Microsoft Sentinelu byl vytvořen z výstrahy analytickým pravidlem, které generuje entity IP adres.

Incident aktivuje pravidlo automatizace, které spustí playbook pomocí následujících kroků:

  • Začněte při vytvoření nového incidentu Microsoft Sentinelu. Entity reprezentované v incidentu se ukládají do dynamických polí triggeru incidentu.

  • Pro každou IP adresu zadejte dotaz na externího poskytovatele analýzy hrozeb, například Virus Total, a načtěte další data.

  • Přidejte vrácená data a přehledy jako komentáře k incidentu.

Obousměrná synchronizace

Playbooky se dají použít k synchronizaci incidentů Microsoft Sentinelu s jinými systémy lístků.

Příklad:

Vytvořte pravidlo automatizace pro vytvoření všech incidentů a připojte playbook, který otevře lístek ve službě ServiceNow:

  • Začněte při vytvoření nového incidentu Microsoft Sentinelu.

  • Vytvořte nový lístek ve službě ServiceNow.

  • Zahrňte do lístku název incidentu, důležitá pole a adresu URL incidentu Služby Microsoft Sentinel, abyste mohli snadno převést.

Orchestrace

K lepšímu řízení fronty incidentů použijte chatovací platformu SOC.

Příklad:

Incident Microsoft Sentinelu byl vytvořen z upozornění analytickým pravidlem, které generuje entity uživatelského jména a IP adresy.

Incident aktivuje pravidlo automatizace, které spustí playbook pomocí následujících kroků:

  • Začněte při vytvoření nového incidentu Microsoft Sentinelu.

  • Odešlete zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku , abyste měli jistotu, že o incidentu vědí vaši bezpečnostní analytici.

  • Všechny informace v upozornění odešlete e-mailem vedoucímu správci sítě a správci zabezpečení. E-mailová zpráva bude obsahovat tlačítka Blokovat a Ignorovat možnosti uživatele.

  • Počkejte na přijetí odpovědi od správců a pak pokračujte ve spuštění.

  • Pokud správci zvolili Možnost Blokovat, odešlete do brány firewall příkaz, který zablokuje IP adresu v upozornění, a jinou adresu Microsoft Entra ID a zakáže uživatele.

Response

Okamžitě reagovat na hrozby s minimálními lidskými závislostmi.

Dva příklady:

Příklad 1: Reakce na analytické pravidlo, které označuje ohroženého uživatele, jak zjistil Microsoft Entra ID Protection:

  • Začněte při vytvoření nového incidentu Microsoft Sentinelu.

  • Pro každou entitu uživatele v incidentu podezření na ohrožení zabezpečení:

    • Odešlete uživateli zprávu Teams s žádostí o potvrzení, že uživatel provedl podezřelou akci.

    • Zkontrolujte ochranu Microsoft Entra ID Protection a ověřte, že je uživatel ohrožený. Microsoft Entra ID Protection označí uživatele jako rizikové a použije už nakonfigurované zásady vynucení – například aby uživatel při příštím přihlášení vyžadoval použití vícefaktorového ověřování.

      Poznámka:

      Tato konkrétní akce Microsoft Entra nespouštět žádné aktivity vynucení uživatele ani nespouštět žádnou konfiguraci zásad vynucení. Informuje společnost Microsoft Entra ID Protection, aby podle potřeby použila všechny již definované zásady. Jakékoli vynucování závisí zcela na příslušných zásadách definovaných ve službě Microsoft Entra ID Protection.

Příklad 2: Reakce na analytické pravidlo, které označuje ohrožený počítač, jak zjistil Microsoft Defender for Endpoint:

  • Začněte při vytvoření nového incidentu Microsoft Sentinelu.

  • Pomocí akcí Entity – Získání hostitelů v Microsoft Sentinelu parsujte podezřelé počítače, které jsou součástí entit incidentu.

  • Vyžádřete do programu Microsoft Defender for Endpoint příkaz k izolaci počítačů v upozornění.

Ruční reakce během vyšetřování nebo při proaktivním vyhledávání

Reagujte na hrozby v průběhu aktivní vyšetřovací aktivity, aniž byste se museli vymýšlit z kontextu.

Díky triggeru nové entity (nyní ve verzi Preview) můžete okamžitě jednat s jednotlivými aktéry hrozeb, které zjistíte během vyšetřování, a to jednotlivě přímo z vyšetřování. Tato možnost je dostupná také v kontextu proaktivního vyhledávání hrozeb, která není připojená k žádnému konkrétnímu incidentu. Entitu můžete vybrat v kontextu a provádět s ní akce přímo tam, ušetřit čas a snížit složitost.

Akce, které můžete provést u entit pomocí tohoto typu playbooku, zahrnují:

  • Blokování ohroženého uživatele
  • Blokování provozu ze škodlivé IP adresy ve vaší bráně firewall
  • Izolování ohroženého hostitele ve vaší síti.
  • Přidání IP adresy do seznamu bezpečných nebo nebezpečných adres nebo do externí databáze CMDB.
  • Získání sestavy hash souboru z externího zdroje analýzy hrozeb a jeho přidání do incidentu jako komentáře

Spuštění playbooku

Playbooky je možné spouštět ručně nebo automaticky.

Jsou navrženy tak, aby běžely automaticky a v ideálním případě by se měly spouštět v normálním průběhu operací. Playbook spustíte automaticky tak, že ho definujete jako automatizovanou reakci v analytickém pravidle (pro výstrahy) nebo jako akci v pravidle automatizace (pro incidenty).

Za některých okolností se ale volání playbooků spouští ručně. Příklad:

  • Při vytváření nového playbooku ho budete chtít před uvedením do produkčního prostředí otestovat.

  • Může se stát, že budete chtít mít větší kontrolu a vstup člověka, kdy a jestli se spustí určitý playbook.

    Playbook spustíte ručně otevřením incidentu, výstrahy nebo entity a výběrem a spuštěním přidruženého playbooku, který se tam zobrazí. V současné době je tato funkce obecně dostupná pro výstrahy a ve verzi Preview pro incidenty a entity.

Nastavení automatizované odpovědi

Týmy operací zabezpečení mohou výrazně snížit svou úlohu tím, že plně automatizují rutinní reakce na opakující se typy incidentů a výstrah, což vám umožní soustředit se více na jedinečné incidenty a výstrahy, analyzovat vzory, proaktivní vyhledávání hrozeb a další.

Nastavení automatizované odpovědi znamená, že při každém aktivaci analytického pravidla se kromě vytvoření upozornění spustí playbook, který obdrží jako vstup upozornění vytvořeného pravidlem.

Pokud výstraha vytvoří incident, aktivuje incident pravidlo automatizace, které může zase spustit playbook, který obdrží jako vstup incidentu vytvořeného výstrahou.

Automatizovaná odezva při vytváření výstrah

U playbooků aktivovaných vytvořením upozornění a přijímáním výstrah jako jejich vstupů (prvním krokem je upozornění Microsoft Sentinelu) připojte playbook k analytickému pravidlu:

  1. Upravte analytické pravidlo, které vygeneruje výstrahu, pro kterou chcete definovat automatizovanou odpověď.

  2. V části Automatizace výstrah na kartě Automatizovaná odpověď vyberte playbook nebo playbooky, které toto analytické pravidlo aktivuje při vytvoření výstrahy.

Automatizované reakce na vytváření incidentů

Pro playbooky aktivované vytvořením incidentu a přijímání incidentů jako jejich vstupů (první krok je "Incident Microsoft Sentinel"), vytvořte pravidlo automatizace a definujte v něm akci run playbooku . Můžete to udělat 2 způsoby:

  • Upravte analytické pravidlo, které generuje incident, pro který chcete definovat automatizovanou odpověď. V části Automatizace incidentu na kartě Automatizovaná odpověď vytvořte pravidlo automatizace. Tím se vytvoří automatizovaná odpověď pouze pro toto analytické pravidlo.

  • Na kartě Pravidla automatizace na stránce Automation vytvořte nové pravidlo automatizace a zadejte příslušné podmínky a požadované akce. Toto pravidlo automatizace se použije na každé analytické pravidlo, které splňuje zadané podmínky.

    Poznámka:

    Microsoft Sentinel vyžaduje oprávnění ke spouštění playbooků aktivujících incidenty.

    Pokud chcete spustit playbook založený na triggeru incidentu, ať už ručně, nebo z pravidla automatizace, používá Microsoft Sentinel účet služby, který k tomu má výslovně oprávnění. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby a umožňuje rozhraní API pravidel automatizace podporovat případy použití CI/CD.

    Tento účet musí být udělena explicitní oprávnění (ve formě role Přispěvatel služby Microsoft Sentinel Automation) ve skupině prostředků, ve které se playbook nachází. V tomto okamžiku budete moct spustit libovolný playbook v této skupině prostředků, a to buď ručně, nebo z jakéhokoli pravidla automatizace.

    Když do pravidla automatizace přidáte akci run playbooku , zobrazí se rozevírací seznam playbooků pro váš výběr. Playbooky, ke kterým Microsoft Sentinel nemá oprávnění, se zobrazí jako nedostupné (šedě). Oprávnění ke službě Microsoft Sentinel můžete udělit na místě výběrem odkazu Spravovat oprávnění playbooku.

    Ve scénáři s více tenanty (Lighthouse) musíte definovat oprávnění pro tenanta, ve kterém se playbook nachází, i když je pravidlo automatizace volající playbook v jiném tenantovi. K tomu musíte mít oprávnění Vlastník ve skupině prostředků playbooku.

    Existuje jedinečný scénář, ve kterém poskytovatel spravované služby zabezpečení (MSSP) při přihlášení k vlastnímu tenantovi vytvoří pravidlo automatizace v pracovním prostoru zákazníka pomocí Azure Lighthouse. Toto pravidlo automatizace pak zavolá playbook patřící do tenanta zákazníka. V tomto případě musí být službě Microsoft Sentinel udělena oprávnění pro oba tenanty. V tenantovi zákazníka mu udělíte panel oprávnění ke správě playbooků stejně jako v běžném scénáři s více tenanty. Pokud chcete udělit příslušná oprávnění v tenantovi poskytovatele služeb, musíte přidat další delegování Azure Lighthouse, které uděluje přístupová práva k aplikaci Azure Security Přehledy s rolí Přispěvatel služby Microsoft Sentinel Automation ve skupině prostředků, ve které se nachází playbook. Zjistěte, jak přidat toto delegování.

Projděte si kompletní pokyny pro vytváření pravidel automatizace.

Ruční spuštění playbooku

Úplná automatizace je nejlepším řešením pro tolik úloh zpracování, vyšetřování a zmírnění incidentů, které vám nevadí. Jak jsme řekli, může existovat dobré důvody pro druh hybridní automatizace: použití playbooků ke konsolidaci řetězce aktivit s celou řadou systémů do jednoho příkazu, ale spouštění playbooků pouze tehdy, když a kde se rozhodnete. Příklad:

  • U analytiků SOC můžete chtít, aby v některých situacích měli větší lidské vstupy a kontrolu.

  • Můžete také chtít, aby mohli provádět akce proti konkrétním subjektům hrozeb (entitám) na vyžádání v průběhu vyšetřování nebo vyhledávání hrozeb v kontextu bez nutnosti přecházet na jinou obrazovku. (Tato možnost je teď ve verzi Preview.)

  • Možná budete chtít, aby technici SOC napsali playbooky, které fungují na konkrétních entitách (nyní ve verzi Preview) a které je možné spouštět jenom ručně.

  • Pravděpodobně byste chtěli, aby vaši inženýři mohli playbooky, které zapisují, otestovat před tím, než je plně nasadí v pravidlech automatizace.

Z těchto a dalších důvodů vám Microsoft Sentinel umožňuje spouštět playbooky ručně na vyžádání pro entity a incidenty (nyní ve verzi Preview) i pro výstrahy.

  • Pokud chcete spustit playbook na konkrétním incidentu, vyberte incident z mřížky na stránce Incidenty . Na webu Azure Portal vyberte v podokně podrobností incidentu akce a v místní nabídce zvolte Run playbook (Preview). Na portálu Defender vyberte spustit playbook (Preview) přímo ze stránky s podrobnostmi incidentu.

    Tím se na panelu incidentů otevře playbook Spustit.

  • Pokud chcete spustit playbook pro výstrahu, vyberte incident, zadejte podrobnosti o incidentu a na kartě Upozornění zvolte výstrahu a vyberte Zobrazit playbooky.

    Tím se otevře panel Playbooků upozornění.

  • Pokud chcete spustit playbook na entitě, vyberte entitu některým z následujících způsobů:

    • Na kartě Entity incidentu vyberte ze seznamu entitu a na konci řádku seznamu vyberte odkaz Spustit playbook (Preview).
    • V grafu Šetření vyberte entitu a na bočním panelu entity vyberte tlačítko Spustit playbook (Preview).
    • V chování entity vyberte entitu a na stránce entity vyberte tlačítko Spustit playbook (Preview) na levém panelu.

    Všechny tyto možnosti otevřou playbook Spustit na <panelu typů> entit.

Na některém z těchto panelů uvidíte dvě karty: Playbooky a Spuštění.

  • Na kartě Playbooky uvidíte seznam všech playbooků, ke kterým máte přístup, a který používá příslušný trigger – ať už incident Microsoft Sentinel, upozornění Microsoft Sentinelu nebo entitu Microsoft Sentinelu. Každý playbook v seznamu obsahuje tlačítko Spustit , které vyberete pro okamžité spuštění playbooku.
    Pokud chcete spustit playbook aktivovaný incidentem, který v seznamu nevidíte, přečtěte si poznámku o oprávněních služby Microsoft Sentinel výše.

  • Na kartě Spuštění se zobrazí seznam všech případů spuštění libovolného playbooku u incidentu nebo upozornění, které jste vybrali. Může trvat několik sekund, než se v tomto seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Azure Logic Apps otevře úplný protokol spuštění.

Správa playbooků

Na kartě Aktivní playbooky se zobrazí seznam všech playbooků, ke kterým máte přístup, filtrované podle předplatných, která se aktuálně zobrazují v Azure. Filtr předplatných je k dispozici v nabídce Adresář a předplatné v záhlaví globální stránky.

Kliknutí na název playbooku vás přesměruje na hlavní stránku playbooku v Azure Logic Apps. Sloupec Stav označuje, jestli je povolená nebo zakázaná.

Sloupec Plán označuje, jestli playbook používá typ prostředku Standard nebo Consumption v Azure Logic Apps. Seznam můžete filtrovat podle typu plánu a zobrazit jenom jeden typ playbooku. Všimněte si, že playbooky standardního typu používají LogicApp/Workflow zásady vytváření názvů. Tato konvence odráží skutečnost, že playbook Standard představuje pracovní postup, který existuje společně s jinými pracovními postupy v jedné aplikaci logiky .

Druh triggeru představuje trigger Azure Logic Apps, který tento playbook spouští.

Druh triggeru Označuje typy komponent v playbooku.
Incident, upozornění nebo entita služby Microsoft Sentinel Playbook se spustí s jednou z triggerů služby Sentinel (incident, výstraha, entita).
Použití akce Microsoft Sentinelu Playbook se spustí s triggerem, který není službou Sentinel, ale používá akci Microsoft Sentinelu.
Další Playbook neobsahuje žádné součásti služby Sentinel.
Inicializováno Playbook byl vytvořen, ale neobsahuje žádné komponenty (triggery nebo akce).

Na stránce Azure Logic Apps playbooku můžete zobrazit další informace o playbooku, včetně protokolu všech dob, kdy se spustil, a výsledku (úspěch nebo selhání a další podrobnosti). Pokud máte příslušná oprávnění, můžete také otevřít návrháře pracovního postupu v Azure Logic Apps a playbook upravit přímo.

Připojení API

Připojení rozhraní API se používají k připojení Azure Logic Apps k jiným službám. Pokaždé, když se vytvoří nové ověřování pro konektor v Azure Logic Apps, vytvoří se nový prostředek typu připojení rozhraní API a obsahuje informace poskytnuté při konfiguraci přístupu ke službě.

Pokud chcete zobrazit všechna připojení rozhraní API, zadejte připojení rozhraní API do vyhledávacího pole záhlaví webu Azure Portal. Všimněte si sloupců, které jsou zajímavé:

  • Zobrazovaný název – popisný název, který dáte připojení pokaždé, když ho vytvoříte.
  • Stav – označuje stav připojení: chyba, připojeno.
  • Skupina prostředků – Připojení rozhraní API se vytvářejí ve skupině prostředků playbooku (Azure Logic Apps).

Dalším způsobem, jak zobrazit připojení rozhraní API, je přejít na stránku Všechny prostředky a filtrovat ho podle typu připojení rozhraní API. Tímto způsobem můžete vybrat, označit a odstranit více připojení najednou.

Pokud chcete změnit autorizaci stávajícího připojení, zadejte prostředek připojení a vyberte Upravit připojení rozhraní API.

Následující doporučené playbooky a další podobné playbooky jsou k dispozici v centru obsahu nebo v úložišti Microsoft Sentinel Na GitHubu:

Další kroky