Partager via

Créer et exécuter des tâches d’incident dans Microsoft Sentinel à l’aide de playbooks

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article explique comment utiliser des playbooks pour créer et éventuellement exécuter des tâches d’incident pour gérer les processus complexes de flux de travail d’analyse dans Microsoft Sentinel.

Utilisez l’action Ajouter une tâche dans un playbook, dans le connecteur Microsoft Sentinel, pour ajouter automatiquement une tâche à l’incident qui a déclenché le playbook. Les flux de travail Standard et Consommation sont pris en charge.

Conseil

Les tâches d’incident peuvent être créées automatiquement non seulement par des playbooks, mais aussi par des règles d’automatisation, ainsi que manuellement, ad hoc et à partir d’un incident.

Pour plus d’informations, consultez Utiliser des tâches pour gérer les incidents dans Microsoft Sentinel.

Prérequis

  • Le rôle Répondeur Sentinel Microsoft est nécessaire pour afficher et modifier les incidents, ce qui est nécessaire pour ajouter, afficher et modifier des tâches.

  • Le rôle Contributeur Logic Apps est nécessaire pour créer et modifier des playbooks.

Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Utiliser un playbook pour ajouter une tâche et l’exécuter

Cette section fournit un exemple de procédure permettant d’ajouter une action de playbook qui effectue les opérations suivantes :

  • Ajoute une tâche à l’incident pour réinitialiser le mot de passe d’un utilisateur compromis
  • Ajoute une autre action de playbook pour envoyer un signal à Microsoft Entra ID Protection (AADIP) pour réinitialiser effectivement le mot de passe
  • Ajoute une action finale au playbook pour marquer la tâche comme terminée dans l’incident.

Pour ajouter et configurer ces actions, effectuez les étapes suivantes :

  1. À partir du connecteur Microsoft Sentinel, ajoutez l’action Ajouter une tâche à l’incident, puis :

    1. Sélectionnez l’élément de contenu dynamique ID ARM de l’incident pour le champ ID ARM de l’incident.

    2. Entrez Réinitialiser le mot de passe de l’utilisateur comme Titre.

    3. Si vous le souhaitez, ajoutez une description.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin de réinitialiser le mot de passe d’un utilisateur.

  2. Ajoutez l’action Entités – Obtenir des comptes (préversion). Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ Liste des entités. Par exemple :

    Capture d’écran montrant les actions du playbook pour obtenir les entités de compte dans l’incident.

  3. Ajoutez une boucle For each à partir de la bibliothèque d’actions Contrôle. Ajoutez l’élément de contenu dynamique Comptes à partir de la sortie Entités – Obtenir des comptes au champ Sélectionner une sortie dans les étapes précédentes. Par exemple :

    Capture d’écran montrant comment ajouter une action de boucle For each à un playbook afin d’exécuter une action sur chaque compte découvert.

  4. Dans la boucle For each, sélectionnez Ajouter une action. Ensuite :

    1. Rechercher et sélectionner le connecteur Microsoft Entra ID Protection
    2. Sélectionnez l’action Confirmer un utilisateur à risque comme compromis (préversion).
    3. Ajoutez l’élément de contenu dynamique Identifiant utilisateur Microsoft Entra des comptes au champ Élément ID utilisateur – 1.

    Cette action démarre des processus à l’intérieur de Microsoft Entra ID Protection qui vont réinitialiser le mot de passe de l’utilisateur.

    Capture d’écran montrant l’envoi d’entités à AADIP pour confirmer la compromission.

    Remarque

    Le champ Identifiant utilisateur Microsoft Entra des comptes est un moyen d’identifier un utilisateur dans AADIP. Il ne s’agit peut-être pas nécessairement de la meilleure méthode à utiliser dans tous les scénarios, mais elle est présentée ici à titre d’exemple.

    Pour obtenir de l’aide, consultez d’autres playbooks qui gèrent les utilisateurs compromis ou la documentation Microsoft Entra ID Protection.

  5. Ajoutez l’action Marquer une tâche comme terminée à partir du connecteur Microsoft Sentinel et ajoutez l’élément de contenu dynamique ID de tâche d’incident au champ ID ARM de tâche. Par exemple :

    Capture d’écran montrant comment ajouter une action de playbook pour marquer une tâche d’incident comme terminée.

Utiliser un playbook pour ajouter une tâche de manière conditionnelle

Cette section fournit un exemple de procédure permettant d’ajouter une action de playbook qui recherche une adresse IP qui apparaît dans un incident.

  • Si les résultats de cette recherche indiquent que l’adresse IP est malveillante, le playbook crée une tâche permettant à l’analyste de désactiver l’utilisateur qui se sert de cette adresse IP.
  • Si l’adresse IP n’est pas une adresse malveillante connue, le playbook crée une tâche différente, pour que l’analyste contacte l’utilisateur afin de vérifier l’activité.

Pour ajouter et configurer ces actions, effectuez les étapes suivantes :

  1. À partir du connecteur Microsoft Sentinel, ajoutez l’action Entités – Obtenir des adresses IP. Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ Liste des entités. Par exemple :

    Capture d’écran montrant les actions du playbook pour obtenir les entités d’adresse IP dans l’incident.

  2. Ajoutez une boucle For each à partir de la bibliothèque d’actions Contrôle. Ajoutez l’élément de contenu dynamique Adresses IP à partir de la sortie Entités – Obtenir des adresses IP au champ Sélectionner une sortie dans les étapes précédentes. Par exemple :

    Capture d’écran montrant comment ajouter une action de boucle For each à un playbook afin d’exécuter une action sur chaque adresse IP découverte.

  3. Dans la boucle For each, sélectionnez Ajouter une action, puis :

    1. Recherchez et sélectionnez le connecteur Virus Total.
    2. Sélectionnez l’action Obtenir un rapport IP (préversion).
    3. Ajoutez l’élément de contenu dynamique Adresses IP à partir de la sortie Entités – Obtenir des adresses IP au champ Adresse IP.

    Par exemple :

    Capture d’écran montrant l’envoi d’une demande de rapport d’adresse IP à Virus Total.

  4. Dans la boucle For each, sélectionnez Ajouter une action, puis :

    1. Ajoutez une condition à partir de la bibliothèque d’actions Contrôle.
    2. Ajoutez l’élément de contenu dynamique Statistiques de dernière analyse malveillante à partir de la sortie Obtenir un rapport IP. Vous devrez peut-être sélectionner Voir plus pour le trouver.
    3. Sélectionnez l’opérateur est supérieur à et entrez 0 comme valeur.

    Cette condition pose la question : « Le rapport IP de Virus Total contient-il des résultats ? » Exemple :

    Capture d’écran montrant comment définir une condition vrai-faux dans un playbook.

  5. Dans l’option Vrai, sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident à partir du connecteur Microsoft Sentinel.
    2. Sélectionnez l’élément de contenu dynamique ID ARM de l’incident pour le champ ID ARM de l’incident.
    3. Entrez Marquer l’utilisateur comme étant compromis comme Titre.
    4. Si vous le souhaitez, ajoutez une description.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin de marquer un utilisateur comme étant compromis.

  6. Dans l’option Faux, sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident à partir du connecteur Microsoft Sentinel.
    2. Sélectionnez l’élément de contenu dynamique ID ARM de l’incident pour le champ ID ARM de l’incident.
    3. Entrez Contacter l’utilisateur pour confirmer l’activité comme Titre.
    4. Si vous le souhaitez, ajoutez une description.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin de confirmer l’activité de l’utilisateur.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :