Freigeben über

Erstellen und Ausführen von Vorfallsaufgaben in Microsoft Sentinel mithilfe von Playbooks

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird erläutert, wie Sie Playbooks verwenden, um Vorfallsaufgaben zu erstellen und optional auszuführen, um komplexe Analysten-Workflowprozesse in Microsoft Sentinel zu verwalten.

Verwenden Sie die Aktion Aufgabe hinzufügen in einem Playbook im Microsoft Sentinel-Connector, um dem Vorfall automatisch eine Aufgabe hinzuzufügen, der das Playbook ausgelöst hat. Sowohl Standard- als auch Verbrauchsworkflows werden unterstützt.

Tipp

Vorfallsaufgaben können nicht nur von Playbooks, sondern auch von Automatisierungsregeln automatisch erstellt werden, sowie auch manuell ad-hoc innerhalb eines Vorfalls.

Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben.

Voraussetzungen

  • Die Rolle Microsoft Sentinel-Antwortberechtigter ist erforderlich, um Vorfälle anzuzeigen und zu bearbeiten, was zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben notwendig.

  • Die Rolle Logic Apps-Mitwirkender ist erforderlich, um Playbooks zu erstellen und zu bearbeiten.

Weitere Informationen finden Sie in den Voraussetzungen für Microsoft Sentinel-Playbooks.

Verwenden eines Playbooks zum Hinzufügen und Ausführen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbook-Aktion, die Folgendes ausführt:

  • Fügt dem Vorfall eine Aufgabe hinzu, und setzt das Kennwort eines kompromittierten Benutzers zurück
  • Fügt eine weitere Playbook-Aktion hinzu, um ein Signal an Microsoft Entra ID Protection (AADIP) zu senden, um das Kennwort tatsächlich zurückzusetzen
  • Fügt eine abschließende Playbook-Aktion hinzu, um die Aufgabe im Incident als abgeschlossen zu markieren.

Führen Sie zum Hinzufügen und Konfigurieren dieser Aktionen die folgenden Schritte aus:

  1. Fügen Sie aus dem Microsoft Sentinel-Connector die Aktion Aufgabe zum Vorfall hinzufügen hinzu, und:

    1. Wählen Sie das dynamische Inhaltselement Vorfalls-ARM-ID für das Feld Vorfalls-ARM-ID aus.

    2. Geben Sie Benutzerkennwort zurücksetzen als Titel ein.

    3. Geben Sie ggf. eine Beschreibung ein.

    Zum Beispiel:

    Screenshot von Playbookaktionen zum Hinzufügen einer Aufgabe zum Zurücksetzen des Kennworts eines Benutzers.

  2. Fügen Sie die Aktion Entitäten – Konten abrufen (Vorschau) hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel-Vorfallsschema) zum Feld Entitätenliste hinzu. Zum Beispiel:

    Screenshot von Playbookaktionen zum Abrufen der Kontoentitäten im Vorfall.

  3. Fügen Sie eine For each Schleife aus der Control-Aktionenbibliothek hinzu. Fügen Sie das dynamische Inhaltselement Konten aus der Ausgabe Entitäten – Konten abrufen dem Feld Ausgabe aus vorherigen Schritten auswählen hinzu. Zum Beispiel:

    Screenshot des Hinzufügens einer For-each-Schleifenaktion zu einem Playbook, um eine Aktion für jedes ermittelte Konto auszuführen.

  4. Wählen Sie innerhalb der For Each-Schleife den Befehl Aktion hinzufügen aus. Führen Sie dann folgende Schritte aus:

    1. Suchen und Auswählen des Microsoft Entra ID Protection-Connectors
    2. Wählen Sie die Aktion Bestätigen eines riskanten Benutzers als kompromittiert (Vorschau) aus.
    3. Fügen Sie das dynamische Inhaltselement Konten Microsoft Entra-Benutzer-ID dem Feld userIds-Element – 1 hinzu.

    Durch diese Aktion werden Prozesse in Microsoft Entra ID-Schutz ausgelöst, um das Kennwort des Benutzers zurückzusetzen.

    Screenshot des Sendens von Entitäten an AADIP zur Bestätigung der Kompromittierung.

    Hinweis

    Das Feld Konten Microsoft Entra-Benutzer-ID ist eine Möglichkeit, um einen Benutzer in AADIP zu identifizieren. Es ist möglicherweise nicht unbedingt der beste Weg in jedem Szenario, wird hier aber nur als Beispiel angeführt.

    Unterstützung finden Sie in anderen Playbooks, die kompromittierte Benutzer behandeln, oder in der Dokumentation zu Microsoft Entra ID-Schutz.

  5. Fügen Sie die Aktion Aufgabe als abgeschlossen markieren aus dem Microsoft Sentinel-Connector hinzu, und fügen Sie die Incidentaufgaben-ID des dynamischen Inhaltselements zum Feld Aufgaben-ARM-ID hinzu. Zum Beispiel:

    Screenshot des Hinzufügens einer Playbookaktion, um eine Vorfallsaufgabe als abgeschlossen zu markieren.

Verwenden eines Playbooks zum bedingten Hinzufügen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbook-Aktion, die eine IP-Adresse untersucht, die in einem Incident vorkommt.

  • Wenn diese Untersuchung ergibt, dass die IP-Adresse böswillig ist, erstellt das Playbook eine Aufgabe für den Analysten, um den Benutzer, der diese IP-Adresse verwendet, zu deaktivieren.
  • Wenn die IP-Adresse keine bekannte böswillige Adresse ist, erstellt das Playbook eine andere Aufgabe, mit der der Analyst den Benutzer kontaktiert, um die Aktivität zu überprüfen.

Führen Sie zum Hinzufügen und Konfigurieren dieser Aktionen die folgenden Schritte aus:

  1. Fügen Sie aus dem Microsoft Sentinel-Connector die Aktion Entitäten – IP-Adressen abrufen hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel-Vorfallsschema) zum Feld Entitätenliste hinzu. Zum Beispiel:

    Screenshot von Playbookaktionen zum Abrufen der IP-Adressentitäten im Vorfall.

  2. Fügen Sie eine For each-Schleife aus der Control-Aktionenbibliothek hinzu. Fügen Sie das dynamische Inhaltselement IP-Adressen aus der Ausgabe Entitäten – IP-Adressen abrufen dem Feld Ausgabe aus vorherigen Schritten auswählen hinzu. Zum Beispiel:

    Screenshot des Hinzufügens einer For-each-Schleifenaktion zu einem Playbook, um eine Aktion für jede ermittelte IP-Adresse auszuführen.

  3. Wählen Sie innerhalb der For Each-Schleife den Befehl Aktion hinzufügen aus und:

    1. Suchen Sie nach dem Connector Viren insgesamt, und wählen Sie den Connector aus.
    2. Wählen Sie die Aktion IP-Bericht abrufen (Vorschau) aus.
    3. Fügen Sie das dynamische Inhaltselement IP-Adressen aus der Ausgabe Entitäten – IP-Adressen abrufen dem Feld IP-Adresse hinzu.

    Zum Beispiel:

    Screenshot des Sendens der Anforderung an Virus Total für einen IP-Adressenbericht.

  4. Wählen Sie innerhalb der For Each-Schleife den Befehl Aktion hinzufügen aus und:

    1. Fügen Sie eine Bedingung aus der Control-Aktionenbibliothek hinzu.
    2. Fügen Sie das dynamische Inhaltselement Statistik der letzten Analyse, bösartig aus der Ausgabe IP-Bericht abrufen hinzu. Möglicherweise müssen Sie Weitere anzeigen, um sie zu finden.
    3. Wählen Sie den Operator Ist größer als aus, und geben Sie 0 als Wert ein.

    Diese Bedingung stellt die Frage „Enthielt der Virus Total-IP-Adressenbericht irgendwelche Ergebnisse? Beispiel:

    Screenshot des Festlegens einer true/false-Bedingung in einem Playbook.

  5. Wählen Sie in der Option True die Option Aktion hinzufügen aus und:

    1. Wählen Sie im Microsoft Sentinel-Connector die Aktion Aufgabe zum Vorfall hinzufügen aus.
    2. Wählen Sie das dynamische Inhaltselement Vorfalls-ARM-ID für das Feld Vorfalls-ARM-ID aus.
    3. Geben Sie Benutzer als kompromittiert markieren als Titel ein.
    4. Geben Sie ggf. eine Beschreibung ein.

    Zum Beispiel:

    Screenshot von Playbookaktionen zum Hinzufügen einer Aufgabe, um einen Benutzer als kompromittiert zu markieren.

  6. Wählen Sie in der Option False die Option Aktion hinzufügen aus und:

    1. Wählen Sie im Microsoft Sentinel-Connector die Aktion Aufgabe zum Vorfall hinzufügen aus.
    2. Wählen Sie das dynamische Inhaltselement Vorfalls-ARM-ID für das Feld Vorfalls-ARM-ID aus.
    3. Geben Sie Benutzer kontaktieren, um Aktivität zu bestätigen als Titel ein.
    4. Geben Sie ggf. eine Beschreibung ein.

    Zum Beispiel:

    Screenshot von Playbookaktionen zum Hinzufügen einer Aufgabe, damit ein Benutzer eine Aktivität bestätigt.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter