Kurz: Reakce na hrozby pomocí playbooků s pravidly automatizace v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V tomto kurzu se dozvíte, jak pomocí playbooků společně s pravidly automatizace automatizovat reakce na incidenty a napravit bezpečnostní hrozby zjištěné službou Microsoft Sentinel. Po dokončení tohoto kurzu budete umět:

• Vytvoření pravidla automatizace
• Vytvoření playbooku
• Přidání akcí do playbooku
• Připojení playbooku k pravidlu automatizace nebo analytickému pravidlu pro automatizaci reakce na hrozby

Poznámka:

Tento kurz obsahuje základní pokyny pro hlavní úlohu zákazníka: vytváření automatizace pro třídění incidentů. Další informace najdete v části Postupy, jako je automatizace reakce na hrozby pomocí playbooků v Microsoft Sentinelu a použití triggerů a akcí v playbookech Microsoft Sentinelu.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Co jsou pravidla automatizace a playbooky?

Pravidla automatizace pomáhají při třídění incidentů v Microsoft Sentinelu. Můžete je použít k automatickému přiřazování incidentů správným pracovníkům, zavření hlučných incidentů nebo známých falešně pozitivních událostí, změně jejich závažnosti a přidání značek. Jedná se také o mechanismus, pomocí kterého můžete spouštět playbooky v reakci na incidenty nebo výstrahy.

Playbooky jsou kolekce postupů, které je možné spustit z Microsoft Sentinelu v reakci na celý incident, na jednotlivá upozornění nebo na konkrétní entitu. Playbook může pomoct automatizovat a orchestrovat odpověď a může se nastavit tak, aby se spouštěla automaticky, když se vygenerují konkrétní výstrahy nebo když se incidenty vytvoří nebo aktualizují, a to tím, že se připojí k pravidlu automatizace. Dá se také spouštět ručně na vyžádání na konkrétní incidenty, výstrahy nebo entity.

Playbooky v Microsoft Sentinelu jsou založené na pracovních postupech integrovaných v Azure Logic Apps, což znamená, že získáte veškerou sílu, přizpůsobitelnost a předdefinované šablony Logic Apps. Každý playbook se vytvoří pro konkrétní předplatné, ke kterému patří, ale na displeji Playbooků se zobrazí všechny playbooky dostupné napříč všemi vybranými předplatnými.

Poznámka:

Vzhledem k tomu, že playbooky využívají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps .

Pokud například chcete zastavit potenciálně ohrožené uživatele v pohybu po síti a odcizení informací, můžete vytvořit automatizovanou a vícestrannou reakci na incidenty generované pravidly, která detekují ohrožené uživatele. Začnete vytvořením playbooku, který provede následující akce:

1. Když playbook zavolá pravidlo automatizace, které ho předá incidentu, playbook otevře lístek ve službě ServiceNow nebo jiném systému lístků IT.

2. Odešle zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku , aby se ujistili, že o incidentu vědí vaši analytici zabezpečení.

3. Odešle také všechny informace v incidentu v e-mailové zprávě vedoucímu správci sítě a správci zabezpečení. E-mailová zpráva bude obsahovat tlačítka Blokovat a Ignorovat možnosti uživatele.

4. Playbook čeká na přijetí odpovědi od správců a pak pokračuje dalšími kroky.

5. Pokud správci vyberou Možnost Blokovat, odešle příkaz do Microsoft Entra ID, aby zakázal uživatele, a jeden do brány firewall zablokoval IP adresu.

6. Pokud správci zvolí Ignorovat, playbook incident zavře v Microsoft Sentinelu a lístek ve službě ServiceNow.

Pokud chcete playbook aktivovat, vytvoříte pravidlo automatizace, které se spustí při vygenerování těchto incidentů. Toto pravidlo provede následující kroky:

1. Pravidlo změní stav incidentu na Aktivní.

2. Incident přiřadí analytiku, který má za úkol spravovat tento typ incidentu.

3. Přidá značku "ohrožený uživatel".

4. Nakonec zavolá playbook, který jste právě vytvořili. (Pro tento krok jsou vyžadována zvláštní oprávnění.)

Playbooky je možné spouštět automaticky v reakci na incidenty vytvořením pravidel automatizace, která volají playbooky jako akce, jako v příkladu výše. Můžou se také spouštět automaticky v reakci na výstrahy tím, že sdělí analytickému pravidlu, aby při vygenerování výstrahy automaticky spustilo jeden nebo více playbooků.

Playbook můžete také spouštět ručně na vyžádání jako odpověď na vybranou výstrahu.

Získejte podrobnější a podrobnější úvod k automatizaci reakcí na hrozby pomocí pravidel automatizace a playbooků v Microsoft Sentinelu.

Vytvoření playbooku

Při vytváření nového playbooku v Microsoft Sentinelu postupujte takto:

Azure Portal

Portál Defenderu

1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.

2. V horní nabídce vyberte Vytvořit.

3. Rozevírací nabídka, která se zobrazí v části Vytvořit , nabízí čtyři možnosti pro vytváření playbooků:

   1. Pokud vytváříte playbook Úrovně Standard (nový druh – viz typy aplikací logiky), vyberte Prázdný playbook a pak postupujte podle pokynů na kartě Standard pro Logic Apps níže.

   2. Pokud vytváříte playbook Consumption (původní, klasický druh), pak v závislosti na tom, kterou aktivační událost chcete použít, vyberte playbook s triggerem incidentu, playbook s triggerem upozornění nebo playbook s triggerem entity. Pak pokračujte podle kroků na kartě Využití Logic Apps níže.

      Další informace o tom, který trigger se má použít, najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinelu.

Využití Logic Apps

Příprava playbooku a aplikace logiky

Bez ohledu na to, který trigger jste se rozhodli vytvořit playbook v předchozím kroku, zobrazí se průvodce vytvořením playbooku.

1. Na kartě Základy :

   1. V příslušných rozevíracích seznamech vyberte předplatné, skupinu prostředků a oblast. Vybraná oblast je místo, kde se budou ukládat informace o aplikaci logiky.

   2. Do pole Název playbooku zadejte název playbooku.

   3. Pokud chcete monitorovat aktivitu tohoto playbooku pro účely diagnostiky, zaškrtněte políčko Povolit diagnostické protokoly v Log Analytics a v rozevíracím seznamu zvolte pracovní prostor služby Log Analytics.

   4. Pokud vaše playbooky potřebují přístup k chráněným prostředkům, které jsou uvnitř virtuální sítě Azure nebo připojené k virtuální síti Azure, budete možná muset použít prostředí integrační služby (ISE). Pokud ano, označte políčko Přidružit k prostředí integrační služby a v rozevíracím seznamu vyberte požadovanou sadu ISE.

   5. Vyberte Další: Připojení iony >.

2. Na kartě Připojení ions:

   V ideálním případě byste měli tuto část ponechat tak, jak je, a nakonfigurovat Logic Apps tak, aby se připojila k Microsoft Sentinelu pomocí spravované identity. Přečtěte si další informace o této a dalších alternativách ověřování.

   Vyberte Další: Zkontrolovat a vytvořit >.

3. Na kartě Revize a vytvoření :

   Projděte si volby konfigurace, které jste provedli, a vyberte Vytvořit a pokračovat v návrháři.

4. Vytvoření a nasazení playbooku bude trvat několik minut, po kterém se zobrazí zpráva "Vaše nasazení je hotové" a budete přesměrováni do návrháře aplikace logiky nového playbooku. Trigger, který jste zvolili na začátku, se automaticky přidá jako první krok a můžete pokračovat v návrhu pracovního postupu odsud.

   

   Pokud jste zvolili trigger entity Microsoft Sentinelu (Preview), vyberte typ entity, kterou má tento playbook přijímat jako vstup.

   

Logic Apps Standard

Příprava aplikace logiky a pracovního postupu

Začněte vytvářet playbook Logic Apps Úrovně Standard třemi kroky:

1. Vytvoření aplikace logiky
2. Vytvořte pracovní postup (toto je skutečný playbook).
3. Zvolte aktivační událost.

Vytvoření aplikace logiky

Vzhledem k tomu, že jste vybrali prázdný playbook, otevře se nová karta prohlížeče a přejdete do průvodce vytvořením aplikace logiky.

1. Na kartě Základy :

   1. V příslušných rozevíracích seznamech vyberte předplatné a skupinu prostředků.

   2. Zadejte název aplikace logiky. U možnosti Publikovat zvolte Pracovní postup. Vyberte oblast, do které chcete nasadit aplikaci logiky.

   3. Jako typ plánu zvolte Standard.

   4. Vyberte Další: Hostování >.

2. Na kartě Hostování :

   1. Jako typ úložiště zvolte Azure Storage a zvolte nebo vytvořte účet úložiště.

   2. Zvolte plán Windows.

3. Vyberte Další: Monitorování >.

4. Na kartě Monitorování:

   1. Pokud chcete povolit monitorování výkonu ve službě Azure Monitor pro tuto aplikaci, nechte přepínač Ano. V opačném případě ho přepněte na Ne.

      Poznámka:

      Toto monitorování se pro Microsoft Sentinel nevyžaduje a bude vás stát navíc.

   2. Pokud chcete vybrat Možnost Další: Značky > , které mají v této aplikaci logiky použít značky pro účely kategorizace prostředků a fakturace. V opačném případě vyberte Zkontrolovat a vytvořit.

5. Na kartě Revize a vytvoření :

   Zkontrolujte, které možnosti konfigurace jste provedli, a vyberte Vytvořit.

6. Vytvoření a nasazení playbooku bude trvat několik minut, během kterých se zobrazí některé zprávy o nasazení. Na konci procesu přejdete na poslední obrazovku nasazení, kde se zobrazí zpráva "Vaše nasazení je dokončeno".

   Vyberte Přejít k prostředku. Přejdete na hlavní stránku nové aplikace logiky.

   Na rozdíl od klasických playbooků Consumption ještě nejste hotovi. Teď musíte vytvořit pracovní postup.

Vytvoření pracovního postupu (playbook)

1. V navigační nabídce stránky aplikace logiky vyberte Pracovní postupy.

2. Vyberte + Přidat z panelu tlačítek v horní části (může trvat několik sekund, než bude tlačítko aktivní).

3. Zobrazí se panel Nový pracovní postup . Zadejte název pracovního postupu.

4. V části Typ stavu vyberte Stavový.

   Poznámka:

   Microsoft Sentinel v současné době nepodporuje používání bezstavových pracovních postupů jako playbooků.

5. Vyberte Vytvořit. Pracovní postup se uloží a zobrazí se v seznamu pracovních postupů v aplikaci logiky. Pokračujte výběrem pracovního postupu.

6. Zadáte stránku pracovního postupu. Tady můžete zobrazit všechny informace o vašem pracovním postupu, včetně záznamu všech časů, kdy bude spuštěn. V navigační nabídce vyberte Návrhář.

7. Otevře se obrazovka Návrháře a okamžitě se zobrazí výzva k přidání triggeru a dalšímu návrhu pracovního postupu.

   

Volba triggeru

1. Vyberte kartu Azure a do řádku Hledání zadejte "Sentinel".

2. Na kartě Triggery níže uvidíte tři triggery nabízené službou Microsoft Sentinel:

   • Upozornění služby Microsoft Sentinel (Preview)
   • Entita Microsoft Sentinelu (Preview)
   • Incident Microsoft Sentinelu (Preview)

   Vyberte trigger, který odpovídá typu playbooku, který vytváříte.

   

   Pokud jste zvolili trigger entity Microsoft Sentinelu (Preview), vyberte typ entity, kterou má tento playbook přijímat jako vstup.

   

Poznámka:

Když zvolíte trigger nebo jakoukoli následnou akci, zobrazí se výzva k ověření u libovolného poskytovatele prostředků, se kterým pracujete. V tomto případě je poskytovatelem Microsoft Sentinel. Existuje několik různých přístupů, které můžete použít k ověřování. Podrobnosti a pokyny najdete v tématu Ověřování playbooků v Microsoft Sentinelu.

Další informace o tom, který trigger se má použít, najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinelu.

Přidání akcí

Teď můžete definovat, co se stane při volání playbooku. Všechny akce, logické podmínky, smyčky nebo podmínky pro případ přepnutí můžete přidat tak, že vyberete Nový krok. Tento výběr otevře nový rámec v návrháři, kde můžete zvolit systém nebo aplikaci pro interakci s podmínkou nebo podmínku, která se má nastavit. Do panelu hledání v horní části rámce zadejte název systému nebo aplikace a pak vyberte z dostupných výsledků.

V každém z těchto kroků se po kliknutí na libovolné pole zobrazí panel se dvěma nabídkami: Dynamický obsah a výraz. V nabídce Dynamického obsahu můžete přidat odkazy na atributy výstrahy nebo incidentu předané do playbooku, včetně hodnot a atributů všech mapovaných entit a vlastních podrobností obsažených v upozornění nebo incidentu. V nabídce Výraz si můžete vybrat z velké knihovny funkcí a přidat do svých kroků další logiku.

Tento snímek obrazovky ukazuje akce a podmínky, které byste přidali při vytváření playbooku popsaného v příkladu na začátku tohoto dokumentu. Přečtěte si další informace o přidávání akcí do playbooků.

Podrobnosti o akcích, které můžete přidat do playbooků pro různé účely, najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinelu.

Všimněte si zejména těchto důležitých informací o playbookech založených na triggeru entity v kontextu, který není incidentem.

Automatizace reakcí na hrozby

Vytvořili jste playbook a definovali jste trigger, nastavili podmínky a nastavili jste akce, které provede, a výstupy, které vytvoří. Teď potřebujete určit kritéria, ve kterých se budou spouštět, a nastavit mechanismus automatizace, který se spustí při splnění těchto kritérií.

Reakce na incidenty a výstrahy

Pokud chcete playbook použít k automatické reakci na celý incident nebo na jednotlivou výstrahu, vytvořte pravidlo automatizace, které se spustí při vytvoření nebo aktualizaci incidentu nebo při vygenerování výstrahy. Toto pravidlo automatizace bude obsahovat krok, který volá playbook, který chcete použít.

Vytvoření pravidla automatizace:

1. Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a pak pravidlo Automation.

   

2. Otevře se panel Vytvořit nové pravidlo automatizace. Zadejte název pravidla.

   Vaše možnosti se liší v závislosti na tom, jestli je váš pracovní prostor nasazený na sjednocené platformě operací zabezpečení. Příklad:

   Onboardované pracovní prostory

   

   Pracovní prostory, které nejsou nasazené

   

3. Aktivační událost: Vyberte odpovídající aktivační událost podle okolností, pro kterou vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.

4. Podmínky:

   1. Pokud se váš pracovní prostor ještě nepřipojený k jednotné platformě operací zabezpečení, můžou mít incidenty dva možné zdroje:

      • Incidenty je možné vytvořit v Microsoft Sentinelu.
      • Incidenty je možné importovat a synchronizovat s XDR v programu Microsoft Defender.

      Pokud jste vybrali jeden z triggerů incidentu a chcete, aby se pravidlo automatizace projevilo jenom na incidenty zdrojové v Microsoft Sentinelu nebo případně v XDR v programu Microsoft Defender, zadejte zdroj v podmínce Pokud se poskytovatel incidentu rovná podmínce.

      Tato podmínka se zobrazí jenom v případě, že je vybrána aktivační událost incidentu a váš pracovní prostor není onboardován na sjednocenou platformu operací zabezpečení.

   2. Pokud chcete, aby se pravidlo automatizace projevilo pouze u určitých analytických pravidel, určete, které typy aktivačních událostí upravíte úpravou názvu pravidla Analýzy, která obsahuje podmínku.

   3. Přidejte všechny další podmínky, které chcete určit, jestli se toto pravidlo automatizace spustí. V rozevíracím seznamu vyberte + Přidat a zvolte podmínky nebo skupiny podmínek. Seznam podmínek se naplní podrobnostmi výstrahy a poli identifikátoru entity.

5. Akce:

   1. Vzhledem k tomu, že toto pravidlo automatizace používáte ke spuštění playbooku, zvolte v rozevíracím seznamu akci Spustit playbook . Zobrazí se výzva k výběru z druhého rozevíracího seznamu, který zobrazuje dostupné playbooky. Pravidlo automatizace může spouštět jenom ty playbooky, které začínají stejným triggerem (incidentem nebo výstrahou) jako trigger definovaný v pravidle, takže se v seznamu zobrazí jenom tyto playbooky.

      Důležité

      Aby bylo možné spouštět playbooky ručně nebo z pravidel automatizace, musí být službě Microsoft Sentinel udělena explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí šedě, znamená to, že Sentinel nemá oprávnění k této skupině prostředků playbooku. Oprávnění můžete přiřadit kliknutím na odkaz Spravovat oprávnění playbooku.

      Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a klikněte na Použít.

      

      • Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění Microsoft Sentinelu, a musíte mít roli Přispěvatel aplikací logiky u jakékoli skupiny prostředků obsahující playbooky, které chcete spustit.

      • Pokud je playbook, který chcete spustit, v nasazení s více tenanty, musíte službě Microsoft Sentinel udělit oprávnění ke spuštění playbooku v tenantovi playbooku.

        1. V navigační nabídce Služby Microsoft Sentinel v tenantovi playbooků vyberte Nastavení.
        2. V okně Nastavení vyberte kartu Nastavení a rozbalte rozbalení oprávnění playbooku.
        3. Kliknutím na tlačítko Konfigurovat oprávnění otevřete panel Spravovat oprávnění uvedený výše a pokračujte podle popisu.

      • Pokud ve scénáři MSSP chcete spustit playbook v tenantovi zákazníka z pravidla automatizace vytvořeného při přihlášení k tenantovi poskytovatele služeb, musíte službě Microsoft Sentinel udělit oprávnění ke spuštění playbooku v obou tenantech. V tenantovi zákazníka postupujte podle pokynů pro nasazení s více tenanty v předchozím odrážkovém bodu. V tenantovi poskytovatele služeb musíte do šablony onboardingu Azure Lighthouse přidat aplikaci Azure Security Přehledy:

        1. Na webu Azure Portal přejděte na ID Microsoft Entra.
        2. Klikněte na Podnikové aplikace.
        3. Vyberte Typ aplikace a vyfiltrujte aplikace Microsoftu.
        4. Do vyhledávacího pole zadejte Azure Security Přehledy.
        5. Zkopírujte pole ID objektu. Tuto další autorizaci budete muset přidat do stávajícího delegování Azure Lighthouse.

        Role Přispěvatel služby Microsoft Sentinel Automation má pevný identifikátor GUID, který je f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ukázková autorizace Azure Lighthouse by v šabloně parametrů vypadala takto:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Přidejte všechny další akce, které chcete pro toto pravidlo použít. Pořadí provádění akcí můžete změnit tak, že vyberete šipky nahoru nebo dolů napravo od jakékoli akce.

6. Pokud chcete, aby pravidlo automatizace mělo datum vypršení platnosti, nastavte ho.

7. Zadejte číslo v části Pořadí a určete, kde se bude toto pravidlo spouštět v posloupnosti pravidel automatizace.

8. Vyberte Použít. Už jste hotovi!

Objevte další způsoby vytváření pravidel automatizace.

Reakce na upozornění – starší metoda

Dalším způsobem, jak spustit playbooky automaticky v reakci na upozornění , je volat je z analytického pravidla. Když pravidlo vygeneruje upozornění, playbook se spustí.

Tato metoda bude od března 2026 zastaralá.

Od června 2023 už tímto způsobem nemůžete do analytických pravidel přidávat playbooky. Stále ale uvidíte existující playbooky volané z analytických pravidel a tyto playbooky budou pořád běžet až do března 2026. Důrazně doporučujeme vytvořit pravidla automatizace, která místo toho budou tyto playbooky volat.

Spuštění playbooku na vyžádání

Playbook můžete také spustit ručně na vyžádání, ať už v reakci na výstrahy, incidenty (ve verzi Preview) nebo entity (také ve verzi Preview). To může být užitečné v situacích, kdy potřebujete více lidského vstupu do procesů orchestrace a reakce a kontrolu nad nimi.

Ruční spuštění playbooku u výstrahy

Tento postup není podporován na jednotné platformě operací zabezpečení.

Na webu Azure Portal vyberte jednu z následujících karet podle potřeby pro vaše prostředí:

Stránka s podrobnostmi o novém incidentu

1. Na stránce Incidenty vyberte incident.

   Na webu Azure Portal vyberte Zobrazit úplné podrobnosti v dolní části podokna podrobností incidentu a otevřete stránku s podrobnostmi incidentu.

2. Na stránce s podrobnostmi incidentu ve widgetu Časová osa incidentu vyberte výstrahu, na které chcete playbook spustit. Vyberte tři tečky na konci řádku upozornění a v místní nabídce zvolte Spustit playbook .

   

3. Otevře se podokno Playbooky upozornění. Zobrazí se seznam všech playbooků nakonfigurovaných pomocí triggeru Logic Apps upozornění Služby Microsoft Sentinel, ke kterému máte přístup.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Graf šetření

1. Na stránce Incidenty vyberte incident.

   Na webu Azure Portal vyberte Zobrazit úplné podrobnosti v dolní části podokna podrobností incidentu a otevřete stránku s podrobnostmi incidentu.

2. Na stránce s podrobnostmi incidentu vyberte kartu Výstrahy , zvolte výstrahu, na které chcete playbook spustit, a na konci řádku výstrahy vyberte odkaz Zobrazit playbooky .

3. Otevře se podokno Playbooky upozornění. Zobrazí se seznam všech playbooků nakonfigurovaných pomocí triggeru Logic Apps upozornění Služby Microsoft Sentinel, ke kterému máte přístup.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Historii spuštění playbooků můžete zobrazit v upozornění výběrem karty Spuštění v podokně Playbooky výstrahy. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Logic Apps otevře úplný protokol spuštění.

Ruční spuštění playbooku v incidentu (Preview)

Tento postup se liší v závislosti na tom, jestli pracujete v Microsoft Sentinelu nebo na sjednocené provozní platformě zabezpečení. Vyberte příslušnou kartu pro vaše prostředí:

Azure Portal

1. Na stránce Incidenty vyberte incident.

2. V podokně podrobností incidentu, které se zobrazí vpravo, vyberte Playbook Spustit akce > (Preview).
   (Výběrem tří teček na konci řádku incidentu v mřížce nebo kliknutím pravým tlačítkem myši na incident se zobrazí stejný seznam jako Tlačítko akce .)

3. Playbook Spustit na panelu incidentů se otevře vpravo. Zobrazí se seznam všech playbooků nakonfigurovaných triggerem Logic Apps pro Incident Apps služby Microsoft Sentinel, ke kterému máte přístup.

   Pokud playbook, který chcete spustit v seznamu, nevidíte, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků (viz poznámka výše).

   Pokud chcete těmto oprávněním udělit, vyberte Nastavení> Nastavení> Konfigurujte oprávnění Ke konfiguraci oprávnění.> Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

   U jakékoli skupiny prostředků obsahující playbooky, které chcete spustit, musíte mít roli operátora playbooku Microsoft Sentinel. Pokud playbook nemůžete spustit kvůli chybějícím oprávněním, doporučujeme vám kontaktovat správce, aby vám udělil příslušná oprávnění. Další informace najdete v tématu Oprávnění požadovaná pro práci s playbooky.

Portál Microsoft Defenderu

1. Na stránce Incidenty vyberte incident.

2. V podokně podrobností incidentu, které se zobrazí vpravo, vyberte Spustit playbook.

3. Playbook Spustit na panelu incidentů se otevře napravo se všemi souvisejícími playbooky pro vybraný incident. Ve sloupci Akce vyberte Spustit playbook pro playbook , který chcete spustit okamžitě.

Ve sloupci Akce se může zobrazit také jeden z následujících stavů:

Stav	Vyžaduje se popis a akce
Chybějící oprávnění	U jakékoli skupiny prostředků obsahující playbooky, které chcete spustit, musíte mít roli operátora playbooku Microsoft Sentinel. Pokud vám chybí oprávnění, doporučujeme kontaktovat správce, aby vám udělil příslušná oprávnění. Další informace najdete v tématu Oprávnění požadovaná pro práci s playbooky.
Udělení oprávnění	V Microsoft Sentinelu chybí role Přispěvatel služby Microsoft Sentinel Automation, která je nutná ke spouštění playbooků v incidentech. V takových případech vyberte Udělit oprávnění a otevřete podokno Spravovat oprávnění . Podokno Spravovat oprávnění se ve výchozím nastavení filtruje na vybranou skupinu prostředků playbooku. Vyberte skupinu prostředků a pak vyberte Použít , abyste udělili požadovaná oprávnění. Musíte být vlastníkem nebo správcem uživatelských přístupů ve skupině prostředků, ke které chcete udělit oprávnění služby Microsoft Sentinel. Pokud vám chybí oprávnění, skupina prostředků je neaktivní a nebudete ji moct vybrat. V takových případech doporučujeme kontaktovat správce, aby vám udělil příslušná oprávnění. Další informace najdete v poznámce výše.

Historii spuštění pro playbooky v incidentu zobrazíte tak, že na panelu incidentu vyberete kartu Spuštění na playbooku Spustit. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Logic Apps otevře úplný protokol spuštění.

Ruční spuštění playbooku u entity (Preview)

Tento postup není podporován na jednotné platformě operací zabezpečení.

1. V závislosti na původním kontextu vyberte entitu jedním z následujících způsobů:

   Pokud jste na stránce s podrobnostmi incidentu (nová verze):

   1. Ve widgetu Entity na kartě Přehled najděte entitu ze seznamu (nevybírejte ji).
   2. Vyberte tři tečky napravo od entity.
   3. V místní nabídce vyberte Spustit playbook (Preview) a pokračujte krokem 2 níže.
      Pokud jste vybrali entitu a zadali kartu Entity na stránce s podrobnostmi incidentu, pokračujte dalším řádkem níže.
   4. Najděte entitu ze seznamu (nevybírejte ji).
   5. Vyberte tři tečky napravo od entity.
   6. V místní nabídce vyberte Spustit playbook (Preview ).
      Pokud jste vybrali entitu a zadali její stránku entity, vyberte na levém panelu tlačítko Spustit playbook (Preview ).

   Pokud jste na stránce s podrobnostmi incidentu (starší verze):

   1. Vyberte kartu Entity incidentu.
   2. Najděte entitu ze seznamu (nevybírejte ji).
   3. Na konci řádku seznamu vyberte odkaz Spustit playbook (Preview).
      Pokud jste vybrali entitu a zadali její stránku entity, vyberte na levém panelu tlačítko Spustit playbook (Preview ).

   Pokud jste v grafu šetření:

   1. Vyberte entitu v grafu.
   2. Na bočním panelu entity vyberte tlačítko Spustit playbook (Preview ).
      U některých typů entit možná budete muset vybrat tlačítko Akce entity a z výsledné nabídky vybrat Run playbook (Preview).

   Pokud proaktivně hledáte hrozby:

   1. Na obrazovce Chování entity vyberte entitu ze seznamů na stránce nebo vyhledejte a vyberte jinou entitu.
   2. Na stránce entity vyberte na levém panelu tlačítko Spustit playbook (Preview).

2. Bez ohledu na kontext, ze který jste přišli, otevřou výše uvedené pokyny playbook Spustit na <panelu typů> entit. Zobrazí se seznam všech playbooků, ke kterým máte přístup nakonfigurovaný pomocí triggeru Entity Logic Apps služby Microsoft Sentinel pro vybraný typ entity.

3. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Historii spuštění playbooků v dané entitě můžete zobrazit tak, že na panelu typů> entit vyberete kartu Spuštění na< playbooku Spustit. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Logic Apps otevře úplný protokol spuštění.

Další kroky

V tomto kurzu jste se naučili používat playbooky a pravidla automatizace v Microsoft Sentinelu k reakci na hrozby.

• Další informace o ověřování playbooků v Microsoft Sentinelu
• Další informace o používání triggerů a akcí v playbookech Microsoft Sentinelu
• Zjistěte, jak proaktivně vyhledávat hrozby pomocí Služby Microsoft Sentinel.