Reagieren auf Bedrohungsakteure bei der Untersuchung oder Bedrohungssuche in Microsoft Sentinel

  • Artikel

In diesem Artikel erfahren Sie, wie Sie während der Untersuchung eines Vorfalls oder einer Bedrohungssuche umgehend Maßnahmen gegen Bedrohungsakteure ergreifen können, ohne die Ermittlungsarbeit unterbrechen oder den Kontext verlassen zu müssen. Dies erreichen Sie mithilfe von Playbooks, die auf dem neuen Entitätstrigger basieren.

Der Entitätstrigger unterstützt derzeit die folgenden Entitätstypen:

Wichtig

Der Entitätstrigger befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Ausführen von Playbooks mit dem Entitätstrigger

Wenn Sie einen Vorfall untersuchen und feststellen, dass eine bestimmte Entität – Benutzerkonto, Host, IP-Adresse, Datei usw. – eine Bedrohung darstellt, können Sie sofort Abhilfemaßnahmen für diese Bedrohung einleiten, indem Sie ein Playbook bedarfsgesteuert ausführen. Sie können dies auch tun, wenn Sie auf verdächtige Entitäten stoßen, während Sie proaktiv nach Bedrohungen außerhalb des Kontexts von Vorfällen suchen.

  1. Wählen Sie die Entität in dem Kontext aus, in dem sie auftritt, und die geeigneten Mittel zum Ausführen eines Playbooks wie folgt aus:

    • Wählen Sie im Widget Entitäten auf der Registerkarte Übersicht eines Incidents auf der Seite Neue Incidentdetails (jetzt in der Vorschau) oder auf der Registerkarte Entitäten eine Entität aus der Liste aus, wählen Sie die drei Punkte neben der Entität aus und wählen Sie Playbook ausführen (Vorschau) aus dem Popup-Menü aus.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Wählen Sie auf der Registerkarte Entitäten eines Vorfalls in der Liste eine Entität und am Ende ihrer Zeile in der Liste den Link Playbook ausführen (Vorschau) aus.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Wählen Sie im Untersuchungsdiagramm eine Entität und im Seitenbereich der Entität die Schaltfläche Playbook ausführen (Vorschau) aus.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Wählen Sie auf der Seite Entitätsverhalten eine Entität aus. Wählen Sie auf der resultierenden Entitätsseite im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Dadurch wird der Bereich Playbook für <Entitätstyp> ausführen geöffnet.

    Screenshot of Run playbook on entity panel.

    In jedem dieser Bereiche gibt es zwei Registerkarten: Playbooks und Ausführungen.

  3. Auf der Registerkarte Playbooks sehen Sie eine Liste aller Playbooks, auf die Sie Zugriff haben und die den Trigger Microsoft Sentinel-Entität für diesen Entitätstyp (in diesem Fall Benutzerkonten) verwenden. Wählen Sie die Schaltfläche Ausführen für das Playbook aus, das Sie sofort ausführen möchten.

    Hinweis

    Wenn das Playbook, das Sie ausführen möchten, nicht in der Liste angezeigt wird, bedeutet dies, dass Microsoft Sentinel nicht über die Berechtigungen zum Ausführen von Playbooks in dieser Ressourcengruppe verfügt (weitere Informationen). Um diese Berechtigungen zu gewähren, wählen Sie im Hauptmenü Einstellungen aus, wählen Sie die Registerkarte Einstellungen aus, erweitern Sie das erweiterbare Steuerelement Playbookberechtigungen, und wählen Sie Berechtigungen konfigurieren aus. Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus.

  4. Sie können die Aktivität Ihrer Playbooks mit Entitätstrigger auf der Registerkarte Ausführungen überprüfen. Dort sehen Sie eine Liste aller Ausführungszeiten eines Playbooks für die von Ihnen ausgewählte Entität. Es kann ein paar Sekunden dauern, bis ein gerade abgeschlossene Ausführung in dieser Liste erscheint. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Azure Logic Apps geöffnet.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie Playbooks manuell ausführen, um Bedrohungen von Entitäten zu beseitigen, während Sie gerade einen Vorfall untersuchen oder nach Bedrohungen suchen.