Kurz: Použití playbooků s pravidly automatizace ve službě Microsoft Sentinel

  • Článek
  • 9 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

V tomto kurzu se ukáže, jak pomocí playbooků společně s pravidly automatizace automatizovat reakce na incidenty a napravovat bezpečnostní hrozby zjištěné službou Microsoft Sentinel. Po dokončení tohoto kurzu budete schopni:

  • Vytvoření pravidla automatizace
  • Vytvoření playbooku
  • Přidání akcí do playbooku
  • Připojení playbooku k pravidlu automatizace nebo analytickému pravidlu pro automatizaci reakcí na hrozby

Poznámka

Tento kurz obsahuje základní pokyny pro hlavní zákaznický úkol: vytvoření automatizace pro hodnocení incidentů. Další informace najdete v části Postupy, například Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu a Použití triggerů a akcí v playboocích Microsoft Sentinel.

Co jsou pravidla automatizace a playbooky?

Pravidla automatizace pomáhají táhot incidenty ve službě Microsoft Sentinel. Můžete je použít k automatickému přiřazování incidentů správným pracovníkům, uzavření hlučných incidentů nebo známých falešně pozitivních případů,změně jejich závažnosti a přidání značek. Jsou to také mechanismus, pomocí kterého můžete spouštět playbooky v reakci na incidenty.

Playbooky jsou kolekce postupů, které je možné spustit ze služby Microsoft Sentinel v reakci na výstrahu nebo incident. Playbook může pomoct automatizovat a orchestrovat vaši odpověď a může se nastavit tak, aby se automaticky spouštěl při generování konkrétních výstrah nebo incidentů, a to tak, že se připojí k analytickému pravidlu nebo pravidlu automatizace. Můžete ho také spustit ručně na vyžádání.

Playbooky v Microsoft Sentinelu jsou založené na pracovních postupech integrovaných v Azure Logic Apps, což znamená, že získáte veškerý výkon, přizpůsobitelnost a integrované šablony Logic Apps. Každý playbook se vytvoří pro konkrétní předplatné, ke kterému patří, ale v zobrazení Playbooky se zobrazí všechny playbooky dostupné pro všechna vybraná předplatná.

Poznámka

Vzhledem k tomu, že playbooky používají Azure Logic Apps, mohou se vám za to platit další poplatky. Další podrobnosti Azure Logic Apps stránce s cenami služby.

Pokud například chcete zabránit tomu, aby se potenciálně ohrožení uživatelé pohyboval po vaší síti a kradou informace, můžete vytvořit automatizovanou vícevrstvou reakci na incidenty vygenerované pravidly, která detekují ohrožené uživatele. Začnete vytvořením playbooku, který bude provádět následující akce:

  1. Když playbook volá pravidlo automatizace, které mu předá incident, otevře lístek v ServiceNow nebo jiném systému lístků IT.

  2. Odešle zprávu do vašeho kanálu operací zabezpečení v Microsoft Teams nebo Slack, aby se analytici zabezpečení o incidentu ujistili.

  3. Odešle také všechny informace v incidentu v e-mailové zprávě vašemu vedoucímu správci sítě a správci zabezpečení. E-mailová zpráva bude obsahovat tlačítka blokovat a ignorovat uživatele.

  4. Playbook čeká, dokud správce neobdrží odpověď, a pak pokračuje v dalších krocích.

  5. Pokud správci zvolí Blokovat, odešle příkaz do Azure AD, který zakáže uživatele, a jeden příkaz do brány firewall, která zablokuje IP adresu.

  6. Pokud správci zvolí Ignorovat, playbook zavře incident ve službě Microsoft Sentinel a lístek v ServiceNow.

Abyste mohli playbook aktivovat, vytvoříte pravidlo automatizace, které se spustí při generování těchto incidentů. Toto pravidlo podniká tyto kroky:

  1. Pravidlo změní stav incidentu na Aktivní.

  2. Přiřadí incident analytikovi, který má na úkol tento typ incidentu spravovat.

  3. Přidá značku "ohrožený uživatel".

  4. Nakonec se nazývá playbook, který jste právě vytvořili. (Protento krok jsou vyžadována zvláštní oprávnění.)

Playbooky je možné spouštět automaticky v reakci na incidenty vytvořením pravidel automatizace, která playbooky volají jako akce jako v příkladu výše. Můžete je také spustit automaticky v reakci na výstrahy tím, že analytické pravidlo řekne, aby při generování upozornění automaticky spouštěl jeden nebo více playbooků.

Playbook můžete také spustit ručně na vyžádání jako odpověď na vybranou výstrahu.

Získejte úplnější a podrobnější úvod do automatizace reakcí na hrozby pomocí pravidel automatizace a playbooků v Microsoft Sentinelu.

Důležité

  • Pravidla automatizace a použití triggeru incidentu pro playbooky jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.

Vytvoření playbooku

Pomocí těchto kroků vytvořte v Microsoft Sentinelu nový playbook:

Příprava playbooku a aplikace logiky

  1. V navigační nabídce Microsoft Sentinelu vyberte Automation.

  2. V horní nabídce vyberte Vytvořit a přidat nový playbook.

    Přidání nového playbooku

    Otevře se nová karta prohlížeče, která vás převeze do průvodce vytvořením aplikace logiky.

    Vytvoření aplikace logiky

  3. Zadejte své předplatné a skupinu prostředků a do pole Název aplikace logiky zadejte název playbooku.

  4. V oblasti vyberte oblast Azure, ve které se budou ukládat informace o vaší aplikaci logiky.

  5. Pokud chcete aktivitu tohoto playbooku monitorovat pro diagnostické účely, zaškrtněte políčko Povolit Log Analytics a zadejte název pracovního prostoru služby Log Analytics.

  6. Pokud chcete u playbooku použít značky, klikněte na Další: Značky >(ne připojeno ke značce použité pravidly automatizace). Přečtěte si další informace o značkách. Jinak klikněte na Zkontrolovat a vytvořit. Potvrďte podrobnosti, které jste poskytli, a klikněte na Vytvořit.

  7. Zatímco se playbook vytváří a nasazovat (bude to několik minut trvat), budete přetáhněni na obrazovku s názvem Microsoft.EmptyWorkflow. Po zobrazení zprávy "Vaše nasazení je dokončeno" klikněte na Přejít k prostředku.

  8. Budete převezení do návrháře Logic Apps playbooku, kde můžete začít s návrhem pracovního postupu. Uvidíte obrazovku s krátkým úvodním videem a některými běžně používanými triggery a šablonami aplikace logiky. Přečtěte si další informace o vytvoření playbooku pomocí Logic Apps.

  9. Vyberte šablonu Prázdná aplikace logiky.

    galerie šablon Logic Apps Designeru

Výběr triggeru

Každý playbook musí začíná triggerem. Trigger definuje akci, která spustí playbook, a schéma, které playbook očekává.

  1. Na panelu hledání vyhledejte Microsoft Sentinel. Jakmile se zobrazí ve výsledcích, vyberte Microsoft Sentinel.

  2. Na výsledné kartě Triggery uvidíte dvě aktivační události, které nabízí Microsoft Sentinel:

    • Když se aktivuje odpověď na upozornění služby Microsoft Sentinel
    • Kdy se aktivoval pravidlo vytvoření incidentu Microsoft Sentinelu

    Zvolte aktivační událost, která odpovídá typu playbooku, který vytváříte.

    Poznámka

    Mějte na paměti, že pravidla automatizace mohou volat pouze playbooky založené na triggeru incidentu. Playbooky založené na triggeru upozornění musí být definované tak, aby se spouštěly přímo v analytických pravidlech, a je možné je také spustit ručně.

    Další informace o tom, kterou aktivační událost použít, najdete v tématu Použití triggerů a akcí v playboocích Microsoft Sentinelu.

    Volba triggeru pro playbook

Poznámka

Když zvolíte aktivační událost nebo jakoukoli další akci, budete vyzváni k ověření u libovolného poskytovatele prostředků, se kterým interagujete. V tomto případě je poskytovatelem Microsoft Sentinel. K ověřování můžete použít několik různých přístupů. Podrobnosti a pokyny najdete v tématu Ověřování playbooků ve službě Microsoft Sentinel.

Přidání akcí

Teď můžete definovat, co se stane, když playbook zavoláte. Výběrem možnosti Nový krok můžete přidat akce, logické podmínky, smyčky nebo podmínky přepnutí případu. Tento výběr otevře v návrháři nový snímek, ve kterém můžete zvolit systém nebo aplikaci, se kterou chcete pracovat, nebo podmínku, která se má nastavit. Do panelu hledání v horní části rámce zadejte název systému nebo aplikace a pak zvolte z dostupných výsledků.

V každém z těchto kroků se po kliknutí na libovolné pole zobrazí panel se dvěma nabídkami: Dynamický obsah a Výraz. Z nabídky Dynamický obsah můžete přidat odkazy na atributy výstrahy nebo incidentu, které byly předány playbooku, včetně hodnot a atributů všech zapojených entit. V nabídce Výraz si můžete vybrat z velké knihovny funkcí a přidat do svých kroků další logiku.

Návrhář aplikace logiky

Tento snímek obrazovky ukazuje akce a podmínky, které byste při vytváření playbooku popsali v příkladu na začátku tohoto dokumentu. Jediným rozdílem je, že v playbooku zobrazeném tady používáte aktivační událost upozornění místo triggeru incidentu. To znamená, že tento playbook budete volat přímo z analytického pravidla, nikoli z pravidla automatizace. Oba způsoby volání playbooku jsou popsané níže.

Automatizace reakcí na hrozby

Vytvořili jste playbook a definovali trigger, nastavili podmínky a nastavili akce, které bude provádět, a výstupy, které vytvoří. Teď potřebujete určit kritéria, za kterých se spustí, a nastavit mechanismus automatizace, který ho spustí při jejich splněny.

Reakce na incidenty

Playbook použijete k reakci na incident vytvořením pravidla automatizace, které se spustí při vygenerování incidentu, a pak bude tento playbook volat.

Vytvoření pravidla automatizace:

  1. V okně Automatizace v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce Vytvořit a pak Přidat nové pravidlo.

    Přidání nového pravidla

  2. Otevře se panel Vytvořit nové pravidlo automatizace. Zadejte název pravidla.

    Vytvoření pravidla automatizace

  3. Pokud chcete, aby se pravidlo automatizace projeví jenom na určitých analytických pravidlech, určete to úpravou podmínky Názvu pravidla If Analytics.

  4. Přidejte všechny další podmínky, na které má aktivace tohoto pravidla automatizace záviset. Klikněte na Přidat podmínku a v rozevíracím seznamu zvolte podmínky. Seznam podmínek se naplní podrobnostmi výstrahy a poli identifikátoru entity.

  5. Zvolte akce, které má toto pravidlo automatizace provádět. Mezi dostupné akce patří Přiřadit vlastníka, Změnit stav, Změnit závažnost, Přidat značky a Spustit playbook. Můžete přidat tolik akcí, kolik chcete.

  6. Pokud přidáte akci Spustit playbook, zobrazí se výzva k výběru z rozevíracího seznamu dostupných playbooků. Z pravidel automatizace se dají spustit jenom playbooky, které se spouštějí triggerem incidentu, takže se v seznamu zobrazí jenom ty.

    Důležité

    Aby bylo možné spouštět playbooky z pravidel automatizace, microsoft Sentinel musí mít explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí jako "zašedlý", znamená to, že Sentinel nemá oprávnění ke skupině prostředků tohoto playbooku. Oprávnění můžete přiřadit kliknutím na odkaz Spravovat oprávnění playbooku. Na panelu Spravovat oprávnění, který se otevře, zaškrtněte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a klikněte na Použít. Správa oprávnění

    • Vy sami musíte mít oprávnění vlastníka pro všechny skupiny prostředků, kterým chcete udělit oprávnění Microsoft Sentinelu, a u všech skupin prostředků obsahujících playbooky, které chcete spustit, musíte mít roli Přispěvatel aplikace logiky.

    • Pokud je v nasazení s více tenanty playbook, který chcete spustit, v jiném tenantovi, musíte Microsoftu Sentinelu udělit oprávnění ke spuštění playbooku v tenantovi playbooku.

      1. V navigační nabídce Microsoft Sentinelu v tenantovi playbooků vyberte Nastavení.
      2. V Nastavení playbooku vyberte kartu Nastavení a pak rozbalte Oprávnění playbooku.
      3. Kliknutím na tlačítko Konfigurovat oprávnění otevřete panel Spravovat oprávnění uvedený výše a pokračujte, jak je popsáno tady.

    • Pokud ve scénáři MSSP chcete spustit playbook v tenantovi zákazníka z pravidla automatizace vytvořeného při přihlášení k tenantovi poskytovatele služeb, musíte microsoftu Sentinelu udělit oprávnění ke spuštění playbooku v obou tenantech_. V tenantovi _ zákazníka postupujte podle pokynů pro nasazení s více tenanty v předchozí odrážkě. V tenantovi poskytovatele služeb musíte přidat aplikaci Azure Security Přehledy do Azure Lighthouse onboardingu:

      1. Na webu Azure Portal přejděte na Azure Active Directory.
      2. Klikněte na Enterprise Aplikace.
      3. Vyberte Typ aplikace a vyfiltrujte Aplikace Microsoftu.
      4. Do vyhledávacího pole zadejte Azure Security Přehledy.
      5. Zkopírujte pole ID objektu. Tuto další autorizaci budete muset přidat do stávajícího delegování Azure Lighthouse delegování.

      Role Přispěvatel automatizace Microsoft Sentinelu má pevný identifikátor GUID, což je f4c81013-99ee-4d62-a7ee-b3f1f648599a . Ukázka Azure Lighthouse by v šabloně parametrů vypadala takhle:

      {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

  7. Nastavte datum vypršení platnosti pravidla automatizace, pokud ho chcete mít.

  8. Zadáním čísla do pole Order (Objednávka) určete, kde v posloupnosti pravidel automatizace se toto pravidlo spustí.

  9. Klikněte na Použít. A je to hotové!

Objevte další způsoby vytváření pravidel automatizace.

Reakce na výstrahy

Playbook použijete k reakci na upozornění vytvořením analytického pravidla nebo úpravou existujícího pravidla, které se spustí při vygenerování upozornění, a výběrem playbooku jako automatické odpovědi v průvodci analytickým pravidlem .

  1. V okně Analýza v navigační nabídce Microsoft Sentinelu vyberte analytické pravidlo, pro které chcete odpověď automatizovat, a v podokně podrobností klikněte na Upravit.

  2. Na stránce Průvodce analytickým pravidlem – Upravit existující pravidlo vyberte kartu Automatizovaná odpověď.

    Karta Automatizovaná odpověď

  3. V rozevíracím seznamu vyberte svůj playbook. Můžete vybrat více playbooků, ale k dispozici budou jenom playbooky, které používají trigger upozornění.

  4. Na kartě Zkontrolovat a vytvořit vyberte Uložit.

Spuštění playbooku na vyžádání

Playbook můžete spustit také na vyžádání.

Poznámka

Na vyžádání je možné spouštět jenom playbooky, které používají trigger upozornění.

Spuštění playbooku na vyžádání:

  1. Na stránce Incidenty vyberte incident a klikněte na Zobrazit úplné podrobnosti.

  2. Na kartě Výstrahy klikněte na výstrahu, na které chcete playbook spustit, posuňte se doprava, klikněte na Zobrazit playbooky a v seznamu dostupných playbooků v předplatném vyberte playbook, který chcete spustit.

Další kroky

V tomto kurzu jste zjistili, jak reagovat na hrozby pomocí playbooků a pravidel automatizace ve službě Microsoft Sentinel.